CRYPTOITDATACRYPTOITDATA

Infrastructură IT

Backup 3-2-1-0: de ce „ai backup" nu înseamnă că ești protejat

Backup-urile sunt ținta a 96% dintre atacurile ransomware. Ce adaugă „0"-ul din 3-2-1-0, de ce RPO/RTO se decid înaintea uneltelor și cum implementezi un backup pe care chiar te poți baza.

11 min citire

Aproape orice firmă îți va spune, cu un aer liniștit, că „are backup". Problema e că atacatorii știu asta mai bine decât tine — și se bazează pe ea. Conform rapoartelor Veeam din 2025, în 96% dintre atacurile ransomware backup-urile sunt vizate direct, iar în circa 76% dintre cazuri atacatorii reușesc să le compromită. Cu alte cuvinte, prima țintă nu sunt datele tale de producție, ci exact plasa de siguranță pe care contezi ca să te ridici.

Aici e capcana: „ai backup" și „poți reveni în funcțiune într-un timp acceptabil" sunt două afirmații complet diferite. Prima e despre stocare. A doua e despre o capacitate de recuperare pe care ai testat-o și în care ai încredere. Între ele stau firmele care, în ziua unui incident, descoperă că fișierele copiate erau și ele criptate, sau că restaurarea completă durează trei zile în loc de trei ore.

Backup-ul pe care nu l-ai testat este doar o speranță

Datele despre recuperarea reală sunt necruțătoare. Din organizațiile lovite de ransomware, doar aproximativ 10% au reușit să recupereze peste 90% din date, în timp ce 57% au recuperat sub jumătate (Veeam, 2025). Un raport din 2026 confirmă tiparul: doar 28% dintre victime și-au recuperat integral datele afectate, iar 44% au rămas sub pragul de 75%. Nu vorbim despre firme fără niciun backup — vorbim despre firme care „aveau backup".

Chiar și când datele sunt recuperabile, timpul te omoară. Un studiu din 2026 arată că 60% dintre responsabilii IT au nevoie de șase ore sau mai mult pentru o restaurare completă, iar doar 5% o pot face în sub o oră. Pentru o firmă care facturează, produce sau livrează în fiecare zi, diferența dintre trei ore și trei zile de nefuncționare nu e un detaliu tehnic — e diferența dintre un incident și o criză existențială.

De ce eșuează backup-urile exact când ai cea mai mare nevoie de ele? De obicei din câteva motive care se repetă:

  • Backup-ul e conectat permanent la aceeași rețea — așa că e criptat împreună cu tot restul, în același atac.
  • Nu a fost testat niciodată printr-o restaurare reală — nimeni nu știe dacă arhiva se deschide până în ziua în care contează.
  • Restaurarea „merge", dar aplicațiile nu pornesc: lipsesc permisiuni, dependențe, ordinea de pornire a serviciilor.
  • Nimeni nu a decis, în cifre, cât de multe date își permite firma să piardă și cât timp poate sta oprită — deci nu există un obiectiv față de care să măsori succesul.

Sincronizarea în cloud nu este backup

Există o confuzie costisitoare, foarte răspândită în firmele mici: sincronizarea nu este backup. OneDrive, Google Drive sau Dropbox țin fișierele la zi pe toate dispozitivele — dar exact de aceea propagă și criptarea. Când ransomware-ul îți criptează fișierele local, versiunea „sigură" din cloud se suprascrie cu cea criptată în câteva secunde. Un serviciu de sincronizare fără versionare și fără o copie imutabilă separată nu te salvează de un atac, ci doar îl replică mai repede pe toate dispozitivele conectate.

Motivul pentru care merită efortul este simplu: costul nefuncționării. Pentru o firmă care depinde de sistemele ei ca să factureze, să producă sau să livreze, fiecare oră de stagnare înseamnă comenzi întârziate, oameni plătiți degeaba și încredere pierdută. Un backup ieftin care nu funcționează nu economisește bani — doar amână și amplifică factura.

De la 3-2-1 la 3-2-1-0: ce schimbă ultimul zero

Regula clasică 3-2-1 rămâne fundația corectă: 3 copii ale datelor, pe 2 tipuri diferite de medii, cu 1 copie off-site. Ani de zile a fost suficientă. În era ransomware, nu mai este — pentru că presupune că o copie „off-site" e automat și în siguranță, ceea ce nu mai e adevărat când atacatorii caută activ backup-urile.

De aici a apărut extensia 3-2-1-0 (și varianta 3-2-1-1-0). Cele două cifre adăugate nu sunt marketing, ci exact golul prin care intră astăzi majoritatea firmelor:

  1. 1„1" suplimentar — o copie imutabilă sau air-gapped: o copie care nu poate fi modificată sau ștearsă nici măcar cu credențiale de administrator compromise. Este singura care supraviețuiește unui atac care a preluat controlul rețelei.
  2. 2„0" — zero erori la recuperare: fiecare backup este verificat, iar restaurarea este testată periodic până când numărul de erori este zero. Un backup netestat nu este protecție, este o presupunere.

Cifra care ar trebui să te îngrijoreze: deși 89% dintre organizații raportează că atacatorii le-au vizat backup-urile, doar 32% folosesc efectiv un depozit imutabil (Veeam, 2025). Restul au înțeles amenințarea, dar nu au închis ușa. Aici se câștigă sau se pierde recuperarea — nu în softul de backup, ci în arhitectura din jurul lui.

Un backup pe care nu l-ai restaurat niciodată nu este o copie de siguranță — este o promisiune pe care nu ai verificat-o. Ransomware-ul o verifică în locul tău, exact în ziua în care nu îți permiți să afli.

RPO și RTO: cele două numere care se decid înaintea uneltelor

Cea mai frecventă greșeală de implementare este să începi cu întrebarea „ce soft de backup cumpăr?". Ordinea corectă e inversă. Înainte de orice unealtă, firma trebuie să răspundă la două întrebări de business, în cifre concrete:

  • RPO (Recovery Point Objective) — cât de multe date îți permiți să pierzi, măsurat în timp? O oră de muncă? O zi întreagă? Răspunsul stabilește cât de des rulează backup-ul.
  • RTO (Recovery Time Objective) — cât timp poate sta firma oprită până când revenirea devine inacceptabil de scumpă? Răspunsul stabilește ce fel de infrastructură de restaurare ai nevoie.

Un obiectiv de recuperare pe care nu l-ai testat niciodată este o simplă ghicitoare. Aceste două numere, decise împreună cu managementul și nu doar cu „omul de IT", transformă backup-ul dintr-o cheltuială tehnică vagă într-o decizie de continuitate a afacerii. Fără ele, orice implementare este supra- sau subdimensionată — plătești prea mult pentru date care nu contează, sau prea puțin pentru cele de care depinde firma.

Un exemplu face totul concret. Dacă RPO-ul stabilit este de o oră, un backup zilnic nu e o soluție: la un incident la ora 17:00 ai pierde toată ziua de muncă. Dacă RTO-ul este de patru ore, o restaurare care trage terabytes peste internet dintr-un cloud îndepărtat nu se încadrează — ai nevoie și de o copie locală rapidă, pe lângă cea off-site. Cele două numere nu sunt birocrație; ele dictează direct arhitectura, frecvența și bugetul întregii soluții.

Cum arată o implementare care chiar te protejează

O implementare serioasă nu înseamnă „instalăm un program și bifăm backup-ul". Este un mic proiect cu pași clari, în care fiecare etapă închide una dintre gaurile de mai sus. Așa structurăm o implementare de strategie de backup 3-2-1-0:

  1. 1Workshop RPO/RTO cu managementul: stabilim, pe fiecare sistem critic, cât de multe date se pot pierde și cât timp de nefuncționare e acceptabil. Aici se nasc obiectivele reale.
  2. 2Design 3-2-1-0: proiectăm cele 3 copii pe 2 medii, cu o copie off-site și, esențial, o copie imutabilă pe care ransomware-ul nu o poate atinge.
  3. 3Configurare (Veeam Backup & Replication + storage QNAP): montăm efectiv soluția, cu retenție, criptare și imutabilitate activate — nu doar „pornit", ci configurat pentru scenariul de atac.
  4. 4Test de restore real: restaurăm efectiv date și aplicații într-un mediu controlat, ca să dovedim că se deschid, pornesc și funcționează — și că ne încadrăm în RTO-ul promis.
  5. 5Runbook-uri + training pentru administratorul local: documentăm pas cu pas cine ce face în ziua unui incident, ca recuperarea să nu depindă de o singură persoană sau de noroc.

Ultimul pas e cel pe care majoritatea firmelor îl sar — și exact cel care face diferența. Un backup se testează pe un ritm, nu o singură dată la instalare. Cadența practică pe care o recomandăm:

  • Lunar: o restaurare de fișiere, ca verificare de rutină că arhivele se deschid.
  • Trimestrial: o restaurare la nivel de aplicație, cu tot cu dependențe și permisiuni.
  • Anual: un exercițiu complet de failover al mediului critic, cronometrat față de RTO.

Câteva capcane pe care le vedem des și pe care o implementare bună le închide din start: retenție prea scurtă (descoperi infecția abia după ce singura copie curată a expirat), imutabilitate „pe hârtie" dar nesetată efectiv pe storage, o singură persoană care știe cum se face restaurarea, și lipsa unei copii complet deconectate pentru cele mai critice sisteme. Fiecare dintre ele transformă un backup care „există" într-unul care nu te ajută exact în ziua Z.

Vestea bună e că maturitatea contează: firmele care testează și au copii imutabile se recuperează vizibil mai repede — proporția celor care revin complet într-o săptămână a urcat de la 35% la 53% într-un singur an. Nu e magie, e metodă. Dacă vrei să vezi cum se traduce asta pentru infrastructura ta, pornim de la arhitectura ta de infrastructură IT și de la sistemele care nu au voie să cadă.

Concluzie

Backup-ul nu este o cutie pe care o bifezi, ci o capacitate de recuperare pe care o dovedești. Diferența dintre „am backup" și „mi-am adus firma înapoi în două ore" o fac exact cele două zerouri: o copie imutabilă și un test de restore real, pe obiective RPO/RTO decise conștient. Dacă nu ești sigur că backup-ul tău ar trece un test real astăzi, hai să vorbim 30 de minute — îți spun concret unde ești vulnerabil și de unde începi.

Întrebări frecvente

Ce înseamnă regula de backup 3-2-1-0?+

Este extensia modernă a regulii clasice 3-2-1 (3 copii, pe 2 medii, 1 off-site). „0" adaugă cerința de zero erori la recuperare — adică backup-uri verificate și restaurări testate periodic. Varianta 3-2-1-1-0 adaugă explicit și o copie imutabilă sau air-gapped, care nu poate fi ștearsă sau criptată de ransomware.

Ce este un backup imutabil și de ce contează împotriva ransomware-ului?+

Un backup imutabil este o copie care nu poate fi modificată sau ștearsă pentru o perioadă definită, nici măcar cu credențiale de administrator compromise. Contează pentru că în 96% dintre atacurile ransomware backup-urile sunt vizate direct; o copie imutabilă este singura care supraviețuiește garantat unui atacator care a preluat controlul rețelei.

Cât de des trebuie testat backup-ul?+

Recomandăm un ritm: lunar o restaurare de fișiere, trimestrial o restaurare la nivel de aplicație (cu dependențe și permisiuni) și anual un exercițiu complet de failover, cronometrat față de obiectivul RTO. Un backup testat o singură dată, la instalare, nu îți garantează nimic peste șase luni.

Cât durează implementarea unei strategii de backup 3-2-1-0?+

Depinde de numărul de echipamente și de complexitate. Pentru un mediu mic (până la ~10 echipamente) o implementare tipică durează circa o săptămână; pentru 10-50 de echipamente, 2-3 săptămâni; pentru medii mai mari, 4-6 săptămâni. Fiecare implementare include workshop RPO/RTO, design, configurare, test de restore real și documentație.

Ai o întrebare concretă?

30 de minute, gratuit. Discutăm exact despre situația ta.

Programează consultanță