Backup dei dati efficace e aderente alla norma: ecco cosa sapere per essere compliant!

di Giovanni Finetto e Paola Finetto

In informatica, il backup è la duplicazione di un file o di un insieme di dati su un supporto esterno al computer. Il backup serve per conservare una copia delle nostre fotografie, di conversazioni sui software di messaggistica, dei contenuti del nostro sito e molto altro.
Per affrontare questa tematica con approccio scientifico, è necessario fare riferimento alle pubblicazioni internazionali e nazionali, che si sono occupate della questione e hanno rilasciato strumenti di confronto e best practice utili per poter valutare compiutamente la situazione della propria organizzazione e giungere a conclusioni utili per il miglioramento continuo. A questo proposito, sono state selezionate le seguenti pubblicazioni:

• National Institute of Standards and Technology U.S. Department of Commerce/National Cybersecurity center of Excellence. PROTECTING DATA FROM RANSOMWARE AND OTHER DATA LOSS EVENTS – A Guide for Managed Service Providers to Conduct, Maintain and Test Backup Files.
• LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI ai sensi del c. 3, lettera b) dell’art. 50bis del Codice dell’Amministrazione Digitale – Aggiornamento 2013. AGENZIA PER L’ITALIA DIGITALE.
• COMPUTER SECURITY INCIDENT RESPONSE TEAM ITALIA – RANSOMWARE Misure di protezione e organizzazione dei dati per un ripristino efficace – agosto 2021.

Il National Cybersecurity Center of Excellence (NCCoE) presso il National Institute of Standards and Technology (NIST) ha sviluppato la pubblicazione “PROTECTING DATA FROM RANSOMWARE AND OTHER DATA LOSS EVENTS – A Guide for Managed Service Providers to Conduct, Maintain and Test Backup Files” per aiutare i fornitori di servizi gestiti (MSP) a migliorare la loro sicurezza informatica e la sicurezza informatica dei rispettivi clienti. Gli MSP sono diventati un bersaglio attraente per i criminali informatici. Quando un MSP è vulnerabile, anche i suoi clienti sono vulnerabili. Spesso gli attacchi assumono la forma di ransomware.
Gli incidenti di perdita di dati, che si tratti di un attacco ransomware, di un guasto hardware o di una distruzione accidentale o intenzionale dei dati, possono avere effetti catastrofici sugli MSP e sui loro clienti.
Il documento fornisce raccomandazioni per supportare gli MSP nel condurre, mantenere e testare i file di backup al fine di ridurre l’impatto di questi incidenti.
Un file di backup è una copia di file e programmi creata per facilitare il ripristino.
Le raccomandazioni (Pianificazione, Implementazione, Test) fornite nel documento in esame supportano i piani di backup così come previsto dalla sottocategoria PR.IP-4 del quadro di sicurezza informatica del NIST: i backup delle informazioni sono eseguiti, mantenuti e testati.
Questo documento fornisce dunque un set di raccomandazioni per aiutare un’organizzazione a determinare:

• gli elementi da considerare quando si pianificano i backup e si acquista un servizio/prodotto di backup;
• gli aspetti da valutare per massimizzare le possibilità che i file di backup siano utili e disponibili quando necessario;
• le questioni da non trascurare in merito al ripristino a seguito di un’emergenza nell’organizzazione.

L’attività di pianificazione è un processo iterativo fondamentale per aiutare un’organizzazione a ottimizzare e bilanciare i costi e le esigenze operative. Le seguenti raccomandazioni si basano sulla guida della pubblicazione speciale NIST (SP) 800-53, Rev 4, per i controlli CP-2, “Pianificazione di emergenza”, nonché CP-9, “Backup del sistema informativo di pianificazione di emergenza”. Quando si crea un piano di backup, è necessario affrontare le considerazioni e i problemi operativi di seguito specificati:

1. Identificare i file di cui eseguire il backup nonché assegnare la priorità ai file in base al valore aziendale. Ad esempio, un’organizzazione potrebbe non essere in grado di eseguire il backup di tutti i file a causa di costi, dimensioni o accessibilità. Si pone quindi la necessità di identificare i file da salvaguardare con priorità: esempi di file chiave sono i registri eventi, i file utente e le applicazioni. Per ulteriori informazioni a questo riguardo, si rinvia a NIST SP 800-53, Rev. 4, AU-9, “Protezione delle informazioni di audit”.
2. Determinare il tempo di ripristino. Ciò significa stabilire l’intervallo di tempo desiderato per ripristinare file e applicazioni per ridurre al minimo gli impatti negativi sulla missione dell’organizzazione o sulle operazioni aziendali, noto come Recovery Time Objective (RTO). I problemi che possono influire sulla capacità di soddisfare il RTO includono la larghezza di banda Internet disponibile, la larghezza di banda della struttura di backup, le limitazioni di trasferimento file e le limitazioni di trasferimento file hardware.
3. Determinare i tempi di backup dei file. Questa sotto-fase implica la determinazione dell’età massima dei file di backup utile per consentire il ripristino delle normali operazioni con il minimo e accettabile tempo di interruzione delle stesse, noto come Recovery Point Objective (RPO). L’età accettabile dei file di backup può variare in base ai tipi di file e ai processi aziendali interessati (operazioni, risorse umane, contabilità, etc).
4. Determinare le relazioni tra i sistemi per comprendere eventuali dipendenze o l’ordine di ripristino sulla base dei requisiti dei sistemi stessi.
5. Determinare quale set di file di backup e altre informazioni devono essere protetti offline e gli intervalli di aggiornamento che soddisfano il RPO e il RTO per tali file. Questi dati e informazioni possono includere password, certificati digitali, chiavi di crittografia e altre informazioni necessarie per ristabilire rapidamente le operazioni aziendali.
6. Pianificare il salvataggio di più di un file di backup per salvaguardare le informazioni. Per aumentare le possibilità di recuperare dati persi o danneggiati, è inoltre necessario seguire la regola 3-2-1:
   3 – Conservare tre copie di qualsiasi file importante: una primaria e due di backup;
   2 – Conservare i file su due diversi tipi di supporto per proteggerli dalle differenti tipologie di rischi;
   1 – Conservare una copia – o “borsa da viaggio” – fuori sede (ad es. fuori casa o al di fuori della struttura aziendale).
7. Sviluppare processi e procedure di risposta e ripristino che utilizzino i file di backup e i sistemi di backup.
8. Determinare l’approccio tecnico appropriato alla generazione di backup (automazione, processi manuali, stampe di file).
9. Determinare le opzioni di trasferimento del posto di lavoro. Incendi, inondazioni o altri eventi catastrofici potrebbero richiedere il trasferimento temporaneo o permanente degli operatori, nel qual caso non tutte le funzionalità di backup risulteranno portatili.
10. Identificare eventuali requisiti normativi e legali di conservazione dei dati, come la catena di custodia, che potrebbero influire sul piano di backup e sull’approccio tecnico.
11. Testare la pianificazione per il recupero sia per gli individui che per l’intera organizzazione.

Per quanto attiene l’implementazione è necessario tener presente i seguenti controlli:

• Integrare le tecnologie appropriate nell’operazione.
• Tenere una serie di sistemi completamente disconnessi dalla rete aziendale (offline o su una rete separata/con firewall o situata all’esterno dell’ufficio) per l’utilizzo durante una situazione di ripristino/emergenza.
• Preparare una “Go Bag” per il recupero dei dati: conservare una copia dei dati critici, comprese password e chiavi di sicurezza, in un luogo separato, sicuro e accessibile per facilitare le operazioni di ripristino in caso di perdita di dati. Potrebbero essere necessarie copie cartacee di alcuni dati (assicurarsi di conservare le credenziali per i provider di hosting cloud in formato cartaceo e/o moduli elettronici fuori sede e offline, come numeri di identificazione personale di autenticazione del servizio cloud, chiavi di crittografia e Web cookie del browser).
• Capacità di differenziazione fisica: considerare un sito di recupero alternativo nel caso in cui la struttura principale non sia disponibile per le attività di recupero.

Infine, per quanto attiene l’esecuzione dei test e monitoraggio è necessario:

• Testare (sia manualmente che in modo automatizzato) i processi, le procedure e le tecnologie di risposta e ripristino per:
• verificare l’integrità dei file di backup;
• assicurare l’efficacia e l’efficienza dei processi e delle procedure di ripristino;
• sviluppare le lezioni apprese, con la precisazione che le lezioni apprese dai test possono evidenziare:
• il tempo necessario per recuperare i file dall’esterno (cloud o data center su Internet);
• se il tempo di recupero dei file è direttamente correlato alle dimensioni dei file, il tempo occorrente per ripristinare i file sui sistemi;
• il tempo necessario per ricostruire i sistemi;
• il grado di comprensione delle responsabilità e delle autorità tra il personale coinvolto;
• l’efficacia dei processi e delle procedure;
• l’individuazione delle lacune (tecniche e procedurali);
• condurre test automatici, che possono includere il test dei vari aspetti delle tecnologie di backup, ad esempio il ripristino automatico, il ripristino dei file e la connettività di rete;
• fornire lezioni simili attraverso esercizi di test da tavolo.
• Monitorare (sia manualmente che in modo automatizzato) i sistemi e i file di backup per:
• assicurarsi che i file di backup siano creati
• assicurarsi che i file di backup possano essere recuperati correttamente e siano utilizzabili
• monitorare i test automatizzati.

La preparazione di un’organizzazione alla creazione e al ripristino dei file di backup può aiutare a mitigare i danni causati da attacchi ransomware o altri tipi di incidenti di perdita di dati. Le raccomandazioni di implementazione e implementazione sopra descritte possono aiutare gli MSP a condurre, mantenere, testare e monitorare i file di backup per ripristinare file/dati e sistemi con un impatto minimo sulle operazioni aziendali. Le capacità e le tecnologie descritte possono essere utilizzate per implementare le politiche e le tecniche necessarie per raggiungere gli obiettivi di un piano di backup. Il diagramma dell’architettura illustra le varie reti, sottoreti e servizi cloud in cui le tecnologie di backup di dati/file possono essere implementate per raggiungere gli obiettivi dei piani di backup. In tutto il documento si fa riferimento alle pubblicazioni del NIST per fornire ulteriori dettagli a supporto dei pianificatori e degli integratori di tecnologia.
Il documento LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI ai sensi del c. 3, lettera b) dell’art. 50bis del Codice dell’Amministrazione Digitale – Aggiornamento 2013. AGENZIA PER L’ITALIA DIGITALE, è correlato ai contenuti e redatto ai sensi del c. 3, lettera b) dell’art. 50bis “Continuità operativa” del Codice dell’Amministrazione Digitale.
I contenuti sono i seguenti:

• il Capitolo 1 definisce, all’interno della più ampia Continuità Operativa Generale dell’Organizzazione, gli obiettivi e gli scenari della Continuità Operativa ICT – nel prosieguo del documento per brevità denominata solo “Continuità Operativa” (CO) – e, in particolare, gli aspetti del Disaster Recovery (DR), previsto nella Continuità Operativa, nell’ambito delle Pubbliche Amministrazioni all’interno del quadro normativo vigente e, anche, alla luce del percorso avviato e condotto a seguito delle Linee Guida, 1° versione, emanate nel novembre 2011;
• il Capitolo 2 descrive il Codice della Amministrazione Digitale, con riferimento specifico alla tematica della Continuità Operativa, illustrando i ruoli e le responsabilità assegnate dallo stesso e dalla Digital Agenda alle Pubbliche Amministrazioni e alla Agenzia per l’Italia Digitale (ex-DigitPA);
• il Capitolo 3 attiene alle infrastrutture ICT e all’organizzazione della Pubblica Amministrazione in materia di Continuità Operativa;
• il Capitolo 4 illustra il percorso per la realizzazione della Continuità Operativa e delle soluzioni di Disaster Recovery nella Pubblica Amministrazione e costituisce una guida sulle modalità con cui affrontare il problema della Continuità Operativa sia dal punto di vista tecnico che dal punto di vista organizzativo. Nel capitolo vengono fornite indicazioni sul percorso e gli strumenti da utilizzare per individuare i Tier (soluzioni tecnologiche) e poi impostare il progetto e definire tempestivamente i Piani di Continuità Operativa e di Disaster Recovery, che consentiranno all’Amministrazione di dotarsi di soluzioni di Continuità Operativa al servizio dei compiti istituzionali in linea con il proprio contesto tecnico operativo di riferimento e prevedendo anche gli opportuni meccanismi di verifica periodica e manutenzione nel tempo, indispensabili a rendere la soluzione individuata adeguata anche a fronte di rilevanti variazioni tecnico organizzative;
• il Capitolo 5 illustra lo Studio di Fattibilità Tecnica e fornisce ulteriori suggerimenti, alla luce dei pareri emessi, per la redazione della documentazione da produrre per richiedere il parere ai sensi dell’art. 50bis, c. 4 del CAD;
• il Capitolo 6 fornisce indicazioni in merito alle modalità di approvvigionamento delle forniture e dei servizi necessari alla realizzazione di soluzioni di Disaster Recovery individuate. In detto capitolo, alla luce del lavoro svolto dal Tavolo tecnico a ciò deputato, sono anche individuati i servizi minimi essenziali legati alle soluzioni di Disaster Recovery (schede servizi), esempi di possibile combinazione di dette schede per i vari casi, nonché alcuni spunti per la definizione di forme associative tra Amministrazioni che consentono il contenimento dei costi (accordi di mutuo soccorso, convenzioni, consorzi, centri di backup comuni, ecc.);
• il Capitolo 7 tratta della Continuità Operativa e delle soluzioni di Disaster Recovery delle Amministrazioni interessate dalla normativa che attiene alla protezione delle infrastrutture critiche, oggetto di recenti interventi normativi a livello europeo e nazionale;
• il Capitolo 8 riporta le conclusioni e una sintesi dei contenuti ed obiettivi del documento.

Il documento è completato da alcune appendici in cui sono proposti schemi di documenti di analisi e pianificazione, nonché́ elementi utili ai fini contrattuali, quali i requisiti dei siti di Disaster Recovery ed esempi di livelli di servizio contrattualizzati con i fornitori.
In esito agli sviluppi che gli attacchi ransomware hanno avuto negli ultimi tempi nei confronti di questo tipo di minaccia, il documento COMPUTER SECURITY INCIDENT RESPONSE TEAM ITALIA – RANSOMWARE Misure di protezione e organizzazione dei dati per un ripristino efficace – agosto 2021, mira all’individuazione di buone pratiche di organizzazione dei dati che facilitino il ripristino a seguito di un attacco.

Per l’individuazione delle misure è stato preso come riferimento il Framework Nazionale per la Cybersecurity e la Data Protection (FNCS), il quale, condivide le misure di sicurezza del Cybersecurity Framework del NIST1 ed è stato utilizzato quale base di partenza per le misure volte a garantire elevati livelli di sicurezza definite dal DPCM del 14 aprile 2021, n. 81.
Per ridurre la probabilità che un attacco vada a buon fine, diventa essenziale applicare un approccio basato sulla gestione del rischio integrando, all’interno delle procedure aziendali sulla valutazione dei rischi cyber, la minaccia associata al ransomware, recentemente evolutasi con il fenomeno della double extortion, in cui, prima di cifrare e rendere irrecuperabili i dati, questi vengono esfiltrati, consentendo così agli attaccanti di avere una doppia leva per estorcere denaro alle vittime.
Rivedere regolarmente le misure di sicurezza relative alla protezione e all’organizzazione dei dati critici e integrarle/formalizzarle all’interno dei propri piani di continuità operativa (Business Continuity Plan – BCP), diventa essenziale in ottica di un ripristino efficace dei dati a seguito di attacchi andati a buon fine. Il processo di creazione di quei meccanismi di prevenzione e ripristino, che garantiscano la continuità di servizio a seguito di incidenti, deve partire dallo studio di quanto posto in essere (AS-IS) in termini di misure di sicurezza, fino a definire il target (TO-BE) ed una roadmap per il raggiungimento di tale obiettivo.
Quanto sopra esposto illustra tre diverse modalità di affrontare la tematica in esame, per cui anche la singola azienda od organizzazione può scegliere l’approccio (la pubblicazione) che, data l’analisi dei rischi effettuata, si attagli maggiormente alla propria struttura ed operatività, con la consapevolezza che l’osservanza di buone pratiche anche per la gestione del backup  può senz’altro concorrere a incrementare le caratteristiche di robustezza, capacità di reazione e resilienza, che ogni sistema tecnologico-informativo deve possedere by design per affrontare attacchi cyber mirati.
E’ dunque, ancora una volta, evidente che il punto di partenza, per identificare le misure di sicurezza in concreto necessarie per la specifica organizzazione e, nel caso specifico, per scegliere quale sistema di backup adottare è costituito dall’attività di risk assessment: la corretta e completa mappatura dei rischi, la valutazione della superficie di attacco e il monitoraggio delle vulnerabilità dei sistemi informativi sono, dunque, attività necessarie per creare un perimetro di sicurezza, che protegga le reti, i sistemi e i dati da incidenti di sicurezza e data breach. Anche l’Agenzia europea per la cybersicurezza (European Union Agency for Cybersecurity – ENISA), nella relazione “Cybersicurezza per le PMI: sfide e raccomandazioni” pubblicata il 28 giugno 2021, ha richiamato 12 buone pratiche da adottare per proteggere efficacemente i sistemi informatici e, tra queste, figura anche la messa in sicurezza dei backup, con la precisazione che per il backup dovrebbero applicarsi, tra le altre, le seguenti regole: il backup deve essere regolare e automatico ogniqualvolta possibile; il backup deve essere tenuto separatamente dall’ambiente di produzione della PMI; i backup devono essere criptati, soprattutto se saranno spostati tra diversi luoghi; deve essere verificata la capacità di ripristinare regolarmente i dati dai backup. Idealmente, andrebbe effettuato un test periodico di un ripristino completo dall’inizio alla fine. Il riferimento normativo principale, anche in questo ambito, è l’art. 32 del Regolamento Generale sulla Protezione dei Dati (GDPR – Regolamento UE 2016/679), nel cui primo comma si legge:  “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, esplicitando poi la norma le principali e più significative misure di sicurezza, tra le quali rientra senz’altro anche un sistema efficace di backup, in quanto diretto a ripristinare tempestivamente la disponibilità e l’accesso dei dai personali in caso di incidente fisico o tecnico.