Digikuun blogissa tänään:

Kyl sitä pilveä on pakko varmuuskopioida, vai onko sittenkään?

Kirjoittaja:

Varmuuskopiointi, tuo tunteita herättävä pakollinen paha, jonka osa laiminlyö kokonaan ja toiset suhtautuvat asiaan turhakin pikkutarkasti. On hyvä, että varmuuskopiointi herättää tunteita, mutta siihen liittyy myös pilviympäristöjen kanssa paljon väärää tietoa. Väärää tietoa levitetään tahallisesti sekä lisäksi on myös puhtaita uskomuksia, kuten esimerkiksi se, että Microsoft hoitaisi perinteisen varmuuskopioinnin asiakkaan puolesta.

Itse olen useasti päässyt keskustelemaan aiheesta ja sen tarpeellisuudesta. Hyvin usein keskustelu alkaa sillä, että asiakas hieman kiihtyneessä tilassa ottaa yhteyttä ja kertoo, että saivat tietoa että ”Joku” on sanonut, että pilveä on aina pakko varmuuskopioida. On kuulemma erittäin suuri riski että ”joku” poistaa ”jotain” tai sitten ainakin joka toinen saa koneelleen cryptolockerin, joka kryptaa kaikki datat.

Aloitan yleensä tämän purkamisen siitä, että kysyn että sattuiko tuo pelottelija olemaan myös sama henkilö, joka voisi sen varmuuskopioinnin myydä. Vastaus on aika usein ”kyllä”.

Olen käynyt asian johdosta useamman varmuuskopiointia myyvän tahon kanssa keskusteluja ja kysynyt, eikö olisi parempi, että pelolla myymisen sijasta käytettäisiin oikeita faktoja. Myydään asiakkaalle tuote tarpeeseen, eikä siitä syystä, että se näyttää myyntitilastoissa hyvältä.

Varmuuskopioinnin myynnissä käytetään tarkoituksella kärjistettyjä esimerkkejä. Osalle näistä todennäköisyys lähentelee lottovoittoa (0,000005%) tai meteoriitin aiheuttamaa maailmanloppua (0,000001%). Yksikään varmuuskopiointi ei myöskään itsessään ratkaise juuri mitään, jos asiakas ei ole suunnitellut omaan tietoonsa liittyviä asioita kunnolla. Kaikki alkaa siitä, että tunnistetaan mitä missäkin on ja sitten mietitään, mikä on järkevää ja mikä ei.

Tarve varmuuskopioinnille on hyvin yrityskohtaista. Kaikille se kuitenkin edellyttää sitä, että riskit on mietitty ja kirjattu ylös, jonka jälkeen voidaan oikeasti tehdä päätös varmuuskopioinnin tarpeellisuudesta. Kaikki pilvessä olevat asiakkaat eivät varmuuskopiointia tarvitse, vaan monelle todennäköisimpiin riskeihin varautuminen voidaan rakentaa täysin esimerkiksi Microsoft 365:n työkaluilla. Oikein konfiguroituna, oikein rakennettuna moni asia pystytään ratkaisemaan ilman kolmannen osapuolen työkaluja, mutta samaan aikaan kaikkia vaatimuksia ei ilman varmuuskopiointia voida täyttää. Yrityksestä riippuu, onko tällaisia vaatimuksia olemassa vai ei.

Jos riskiarviossa todetaan, että tietojen menetys esim. palveluntarjoajan, tässä tapauksessa Microsoftin virheestä johtuen aiheuttaa firmalle vakavaa haittaa (rahallista, maine tai jopa toiminnan loppumista), voi varmuuskopiointi olla enemmän kuin paikallaan. Jos taas tietoon kohdistuu vaatimuksia esim. säädellyn toimialan johdosta, on myös tällöin varmuuskopiointi enemmän kuin paikallaan.

Varmuuskopioinnissa kyse on ennen kaikkea yrityksen kokemasta riskistä. Millainen riski ollaan valmis ottamaan. Varmuuskopiointi on ennen kaikkea vakuutus ja sellaiseen myös hankinta tai hankkimatta jättämisen päätös pitäisi rinnastaa. Osa menee vakuutuksissa sillä mikä on pakollista, toiset ottavat kaiken mahdollisen.

Käyttäjien sähläykseen varautuminen varmuuskopioinnilla sen sijaan on hyvin harvoin tarpeellista. Parempi vaihtoehto on säästää käyttäneet eurot osaamisen kasvattamiseen ja siihen, että opetetaan käyttäjät toimimaan oikein ja tekemään oikeita valintoja. 365 sisältää myös hyvät työkalut cryptolockerin aiheuttamiin ongelmiin, joten senkään osalta varmuuskopiointia on aika vaikea tarpeellisena pitää.

Pelkkä tieto ja päätös siitä, että varmuuskopiointi on saatava käyttöön ei kuitenkaan vielä riitä. Seuraavaksi kannattaa kiinnittää huomiota siihen, millaista varmuuskopiointia on hankkimassa ja minne tieto tallennetaan. Jos se tieto jemmataan Microsoft 365:n tapauksessa vaikkapa Azureen, onko se silloin kuitenkaan oikeanlaista varautumista mahdolliseen riskiin, jossa Microsoftilla käy käpy ja tiedot ovat sitä myöten hukassa?

Näiden lisäksi on myös syytä kiinnittää huomiota hankittavaan työkaluun. Palvelimen reunalle asennettava sovellus on mennyttä maailmaa, varsinkin jos sovellus edellyttää käyttäjätunnusta ja salasanaa, jolla varmuuskopiointi hoidetaan. Nykypäivän varmuuskopiointituotteet osaavat hoitaa hommansa suoraan rajapintoja pitkin, jolloin niiden tietoturvan osalta on myös mahdollisuus tehdä merkittävästi enemmän.

Varmuuskopioinnilla on siis paikkansa, osalle organisaatioita, mutta ei missään nimessä kaikille. Päätös pitää tehdä tiedon, ei olettamien ja pelottelun perusteella.

Pilvikamu Ville Kankare

Lue seuraavaksi: Bitcoinit tai digihenki! Voiko pilvipalveluun iskeä kiristäjä?