Awaria komputera, przypadkowo usunięty folder, zaszyfrowane pliki po ataku ransomware, uszkodzony dysk, błąd pracownika albo problem z systemem księgowym — utrata danych w firmie może wydarzyć się szybciej, niż się wydaje.
Dobra kopia zapasowa, czyli backup, to jedna z najważniejszych form zabezpieczenia firmy. Nie chodzi tylko o „zgranie czegoś na dysk raz na jakiś czas”. Backup powinien być przemyślany, regularny, bezpiecznie przechowywany i — co bardzo ważne — testowany.
W tym poradniku wyjaśniamy prostym językiem, co warto kopiować w firmie, gdzie trzymać kopie zapasowe i jak często je wykonywać.
Dlaczego backup jest tak ważny?
Dane firmowe są dziś jednym z najważniejszych zasobów przedsiębiorstwa. To nie tylko dokumenty i faktury. To także historia korespondencji z klientami, bazy danych, projekty, umowy, konfiguracje systemów, pliki księgowe, dane kadrowe i informacje potrzebne do codziennej pracy.
Brak kopii zapasowej może oznaczać:
- przestój w pracy firmy,
- utratę ważnych dokumentów,
- problem z obsługą klientów,
- opóźnienia w fakturowaniu,
- konieczność odtwarzania danych ręcznie,
- ryzyko naruszenia bezpieczeństwa,
- dodatkowe koszty naprawy lub odzyskiwania danych.
CISA, czyli amerykańska agencja ds. cyberbezpieczeństwa, w zaleceniach dla małych firm wskazuje backup jako jeden z podstawowych elementów ochrony przed cyberzagrożeniami. Podkreśla też znaczenie ochrony danych, kont, urządzeń i systemów, ponieważ małe firmy często nie mają rozbudowanych zasobów IT, a mimo to są narażone na poważne incydenty.
Backup to nie tylko ochrona przed awarią
Wielu przedsiębiorców kojarzy backup głównie z awarią komputera. To oczywiście ważny scenariusz, ale nie jedyny.
Kopie zapasowe pomagają także wtedy, gdy:
- pracownik przypadkowo usunie pliki,
- ktoś nadpisze ważny dokument,
- komputer zostanie skradziony,
- dysk ulegnie uszkodzeniu,
- firma padnie ofiarą ransomware,
- aktualizacja systemu uszkodzi dane,
- poczta e-mail zostanie utracona,
- system księgowy lub CRM przestanie działać,
- trzeba szybko przenieść firmę na nowy sprzęt.
CERT Polska w poradniku dotyczącym ransomware zwraca uwagę, że kopie zapasowe powinny być regularnie testowane pod kątem późniejszego przywrócenia danych. Sam fakt posiadania backupu nie wystarczy, jeśli w praktyce nie da się z niego skutecznie odtworzyć działania firmy.
Co warto kopiować w firmie?
1. Dokumenty firmowe
To najbardziej oczywista kategoria, ale często także najbardziej zaniedbana.
Do backupu powinny trafiać między innymi:
- umowy,
- oferty,
- faktury,
- dokumenty księgowe,
- dokumenty kadrowe,
- regulaminy,
- prezentacje,
- arkusze kalkulacyjne,
- dokumentacja projektowa,
- pliki robocze pracowników.
Warto pamiętać, że dokumenty często są rozproszone. Część znajduje się na komputerze właściciela, część na laptopach pracowników, część w chmurze, a część w załącznikach e-mail.
Dobry backup powinien obejmować nie tylko jeden folder „Dokumenty”, ale realne miejsca, w których firma faktycznie przechowuje dane.
2. Poczta e-mail
Poczta firmowa to często centrum komunikacji z klientami. Znajdują się tam ustalenia, zamówienia, dane kontaktowe, załączniki, faktury i historia rozmów.
Wiele firm zakłada, że skoro poczta działa w chmurze, to „na pewno jest bezpieczna”. To nie zawsze jest właściwe podejście. Dostawcy poczty dbają o dostępność usługi, ale firma nadal powinna wiedzieć, jak chronione są wiadomości, jak długo można odzyskać usunięte dane i czy potrzebna jest dodatkowa archiwizacja.
Warto kopiować lub archiwizować:
- skrzynki kluczowych pracowników,
- skrzynki ogólne, np.
biuro@,kontakt@,faktury@, - korespondencję z klientami,
- załączniki,
- kalendarze,
- kontakty.
To szczególnie ważne, gdy pracownik odchodzi z firmy albo gdy konto zostanie przejęte lub błędnie usunięte.
3. Bazy danych i systemy firmowe
Jeżeli firma korzysta z systemów informatycznych, backup powinien obejmować nie tylko pliki, ale też dane z aplikacji.
Przykłady:
- system księgowy,
- system magazynowy,
- CRM,
- ERP,
- system rezerwacji,
- sklep internetowy,
- baza klientów,
- baza zamówień,
- system helpdesk,
- aplikacje branżowe.
W przypadku systemów bazodanowych nie wystarczy zwykłe skopiowanie folderu z programem. Często potrzebny jest poprawnie wykonany eksport bazy danych albo kopia wykonana przez mechanizm danego systemu.
To ważne, ponieważ źle wykonana kopia może wyglądać poprawnie, ale po awarii okaże się bezużyteczna.
4. Strona internetowa i sklep online
Firmowa strona internetowa również powinna mieć backup.
Warto kopiować:
- pliki strony,
- bazę danych,
- zdjęcia i grafiki,
- treści wpisów blogowych,
- konfigurację CMS, np. WordPressa,
- konfigurację sklepu internetowego,
- dane zamówień,
- szablony,
- wtyczki i ustawienia.
W przypadku sklepu internetowego częstotliwość backupu powinna być większa niż przy prostej stronie wizytówkowej. Jeżeli codziennie pojawiają się nowe zamówienia, konta klientów i płatności, kopia raz na miesiąc to zdecydowanie za mało.
5. Konfiguracje serwerów, urządzeń i usług
Backup danych to jedno. Druga sprawa to możliwość szybkiego przywrócenia działania infrastruktury.
Warto zabezpieczać konfiguracje:
- serwerów,
- maszyn wirtualnych,
- routerów,
- firewalli,
- przełączników sieciowych,
- systemów VPN,
- usług pocztowych,
- reguł DNS,
- ustawień domen,
- certyfikatów,
- systemów monitoringu.
Dzięki temu po awarii nie trzeba wszystkiego odtwarzać ręcznie od zera.
Dla przykładu: awaria routera w firmie może być znacznie mniej dotkliwa, jeśli administrator ma aktualną kopię konfiguracji i może szybko przenieść ustawienia na nowe urządzenie.
6. Komputery pracowników
Nie zawsze trzeba wykonywać pełny obraz każdego komputera, ale warto określić, które dane z urządzeń pracowników są ważne.
Do backupu mogą trafiać:
- dokumenty lokalne,
- foldery projektowe,
- profile aplikacji,
- pliki robocze,
- dane z programów branżowych,
- konfiguracje ważnych narzędzi.
Dobrym rozwiązaniem jest ograniczenie przechowywania ważnych danych lokalnie na komputerach. Lepiej, aby kluczowe pliki znajdowały się w kontrolowanym miejscu: na serwerze firmowym, dysku sieciowym albo w dobrze zarządzanej chmurze.
Gdzie przechowywać kopie zapasowe?
Nie ma jednego idealnego miejsca dla każdej firmy. Najczęściej najlepsze efekty daje połączenie kilku metod.
1. Dysk zewnętrzny
To najprostsza metoda, ale ma ograniczenia.
Zalety:
- niski koszt,
- prosta obsługa,
- szybkie kopiowanie danych.
Wady:
- dysk może się zepsuć,
- można go zgubić,
- może zostać skradziony,
- jeśli jest stale podłączony, ransomware może zaszyfrować również backup,
- często nikt nie sprawdza, czy kopie faktycznie działają.
Dysk zewnętrzny może być częścią strategii backupu, ale nie powinien być jedyną kopią danych firmy.
2. Serwer NAS w firmie
NAS to sieciowy magazyn danych. Może służyć do przechowywania plików firmowych i kopii zapasowych.
Zalety:
- duża pojemność,
- wygodny dostęp w sieci firmowej,
- możliwość automatyzacji kopii,
- możliwość stosowania macierzy dyskowych,
- centralne zarządzanie.
Wady:
- nadal znajduje się fizycznie w firmie,
- może zostać uszkodzony, zalany lub skradziony,
- wymaga poprawnej konfiguracji,
- bez zabezpieczeń również może być celem ataku.
NAS jest dobrym rozwiązaniem, ale powinien być zabezpieczony i uzupełniony kopią poza firmą.
3. Chmura
Backup w chmurze jest wygodny, szczególnie dla firm pracujących zdalnie lub hybrydowo.
Zalety:
- dane są poza siedzibą firmy,
- łatwiejsza automatyzacja,
- możliwość wersjonowania plików,
- dostęp z różnych lokalizacji,
- skalowalność.
Wady:
- zależność od internetu,
- konieczność dobrej konfiguracji dostępu,
- ryzyko błędnego udostępniania danych,
- potrzebna kontrola kosztów,
- warto wiedzieć, gdzie i jak dane są przechowywane.
ENISA w materiałach dla MŚP wskazuje, że małe i średnie firmy powinny świadomie podchodzić do bezpieczeństwa, ochrony danych, ciągłości działania i korzystania z usług chmurowych.
4. Kopia offline
Kopia offline to backup odłączony od sieci i komputerów. Może to być np. dysk przechowywany w bezpiecznym miejscu i podłączany tylko na czas wykonania kopii.
To bardzo ważne w kontekście ransomware. Jeśli złośliwe oprogramowanie zaszyfruje dane w firmie, może próbować zaszyfrować również dostępne kopie. Dlatego CERT Polska zaleca, aby co najmniej jedna kopia była odizolowana, aby uniknąć jej zaszyfrowania przez ransomware.
Zasada 3-2-1, czyli proste podejście do backupu
Jedną z najczęściej stosowanych zasad jest reguła 3-2-1.
Oznacza ona:
- 3 kopie danych — oryginał i dwie kopie zapasowe,
- 2 różne nośniki — np. serwer NAS i chmura,
- 1 kopia poza firmą — np. w chmurze albo w innej lokalizacji.
Przykład dla małej firmy:
- dane robocze na serwerze firmowym,
- kopia na NAS w biurze,
- dodatkowa kopia w chmurze lub offline poza siedzibą.
Taka strategia zmniejsza ryzyko, że jedna awaria, kradzież, pożar, błąd użytkownika albo atak ransomware zniszczy wszystkie kopie jednocześnie.
Jak często wykonywać backup?
Nie ma jednej odpowiedzi dla każdej firmy. Częstotliwość backupu powinna zależeć od tego, ile danych firma może realnie stracić bez poważnych konsekwencji.
Warto zadać sobie proste pytanie:
Jeżeli awaria wydarzy się dziś o 15:00, to czy możemy stracić dane z ostatniej godziny, dnia, tygodnia czy miesiąca?
Im ważniejsze i częściej zmieniane dane, tym częściej trzeba je kopiować.
Przykładowe częstotliwości
Dokumenty firmowe:
najczęściej codziennie lub kilka razy dziennie, jeśli zespół intensywnie na nich pracuje.
Poczta e-mail:
codziennie lub zgodnie z polityką archiwizacji i retencji.
System księgowy:
codziennie, szczególnie w okresach rozliczeniowych.
Bazy danych CRM/ERP/sklepu:
codziennie, kilka razy dziennie albo częściej — zależnie od liczby zmian.
Strona wizytówkowa:
po każdej większej zmianie oraz cyklicznie, np. raz w tygodniu.
Sklep internetowy:
często, nawet kilka razy dziennie, jeśli pojawiają się nowe zamówienia.
Konfiguracje serwerów i urządzeń sieciowych:
po każdej zmianie konfiguracji oraz okresowo.
Komputery pracowników:
zależnie od tego, czy dane są przechowywane lokalnie. Jeśli ważne pliki są na komputerach, backup powinien być regularny i automatyczny.
NIST Cybersecurity Framework 2.0 uwzględnia funkcję „Recover”, czyli odtwarzanie działania po incydencie, jako jeden z podstawowych elementów zarządzania cyberbezpieczeństwem. W praktyce oznacza to, że firma powinna mieć nie tylko ochronę przed problemami, ale również plan powrotu do pracy po awarii lub ataku.
Backup automatyczny czy ręczny?
Ręczne kopie zapasowe mają jedną dużą wadę: łatwo o nich zapomnieć.
Na początku firmy ktoś może powiedzieć: „Będę kopiować pliki na dysk w każdy piątek”. Przez pierwszy miesiąc działa. Potem pojawia się urlop, pilne zlecenie, choroba, wyjazd, natłok pracy — i backup przestaje być regularny.
Dlatego w firmie najlepiej stosować backup automatyczny.
Automatyzacja pozwala:
- wykonywać kopie o stałych porach,
- ograniczyć błędy ludzkie,
- raportować powodzenie lub błąd kopii,
- szybciej wykrywać problemy,
- ustawić różne harmonogramy dla różnych danych.
Ważne: backup automatyczny też trzeba kontrolować. System powinien wysyłać powiadomienia o błędach, a ktoś powinien regularnie sprawdzać raporty.
Sam backup nie wystarczy. Trzeba testować odtwarzanie
To jeden z najważniejszych punktów.
Backup, którego nigdy nie testowano, jest tylko nadzieją, a nie gwarancją.
Firma powinna regularnie sprawdzać, czy z kopii da się odzyskać dane. Test może być prosty: odtworzenie kilku plików, skrzynki pocztowej, bazy danych testowej albo konfiguracji urządzenia.
W większych środowiskach warto testować pełny scenariusz awaryjny, np.:
- odtworzenie systemu na nowym serwerze,
- przywrócenie bazy danych,
- uruchomienie aplikacji,
- sprawdzenie, czy użytkownicy mogą pracować,
- weryfikacja, czy dane są aktualne.
CERT Polska wyraźnie podkreśla znaczenie testowania kopii zapasowych, aby uniknąć sytuacji, w której backup istnieje, ale nie pozwala przywrócić stanu sprzed infekcji lub awarii.
Backup a ransomware
Ransomware to rodzaj złośliwego oprogramowania, które szyfruje dane i żąda okupu za ich odblokowanie. Dla firmy może to oznaczać całkowite zatrzymanie pracy.
Dobrze przygotowany backup jest jednym z kluczowych elementów obrony przed skutkami ransomware.
Warto jednak pamiętać o kilku zasadach:
- kopia nie powinna być cały czas dostępna z tego samego konta,
- przynajmniej jedna kopia powinna być odizolowana,
- dostęp do backupu powinien być ograniczony,
- konta administracyjne muszą być dobrze zabezpieczone,
- backup powinien mieć wersjonowanie,
- trzeba regularnie testować odtwarzanie,
- przed przywróceniem danych po ataku należy upewnić się, że kopia nie jest zainfekowana.
W materiałach administracji publicznej dotyczących postępowania po ransomware wskazano, że przed przywróceniem danych z kopii zapasowej trzeba sprawdzić, czy kopia nie zawiera malware lub ransomware.
Najczęstsze błędy firm przy backupie
1. Jedna kopia na dysku podłączonym do komputera
To lepsze niż nic, ale nadal bardzo ryzykowne. Jeśli komputer zostanie zainfekowany lub uszkodzony, podłączony dysk również może być zagrożony.
2. Brak testów odtwarzania
Firma ma backup, ale nikt nigdy nie sprawdził, czy działa. Problem wychodzi dopiero w czasie awarii.
3. Kopiowanie tylko części danych
Często backup obejmuje dokumenty, ale pomija pocztę, bazy danych, konfiguracje systemów lub dane na komputerach pracowników.
4. Brak automatyzacji
Ręczne backupy są nieregularne. A nieregularny backup zwykle zawodzi wtedy, gdy jest najbardziej potrzebny.
5. Brak kopii poza firmą
Jeśli wszystkie dane i kopie są w jednym biurze, jedno zdarzenie fizyczne może zniszczyć wszystko.
6. Zbyt szerokie dostępy do backupu
Jeśli każdy użytkownik może usuwać lub modyfikować kopie, backup nie jest dobrze chroniony.
7. Brak dokumentacji
W razie awarii nikt nie wie, gdzie są kopie, kto ma dostęp, jak je odtworzyć i które dane są najnowsze.
Jak zacząć? Prosta checklista backupu dla małej firmy
Na początek warto przejść przez kilka pytań.
Krok 1: Spisz, gdzie są dane
Wypisz wszystkie miejsca, w których firma przechowuje dane:
- komputery,
- serwer,
- NAS,
- poczta,
- chmura,
- system księgowy,
- CRM,
- sklep internetowy,
- strona www,
- dyski zewnętrzne,
- aplikacje branżowe.
Krok 2: Określ, które dane są krytyczne
Nie wszystkie dane mają taką samą wagę. Najważniejsze są te, bez których firma nie może działać.
Przykłady:
- dane klientów,
- faktury,
- baza zamówień,
- poczta firmowa,
- dokumenty projektowe,
- dane księgowe,
- konfiguracje systemów.
Krok 3: Ustal częstotliwość backupu
Dla każdej kategorii danych określ, jak często trzeba wykonywać kopię.
Przykład:
- dokumenty — codziennie,
- poczta — codziennie,
- sklep internetowy — kilka razy dziennie,
- strona wizytówkowa — raz w tygodniu i po zmianach,
- konfiguracje — po każdej zmianie.
Krok 4: Wybierz miejsca przechowywania
Najlepiej połączyć kilka metod:
- lokalny backup na NAS,
- backup w chmurze,
- kopia offline lub poza siedzibą firmy.
Krok 5: Zabezpiecz backup
Zadbaj o:
- ograniczenie dostępu,
- silne hasła,
- MFA dla kont administracyjnych,
- szyfrowanie kopii,
- oddzielenie backupu od zwykłych kont użytkowników,
- monitoring błędów.
Krok 6: Testuj odtwarzanie
Ustal harmonogram testów, np. raz na miesiąc lub raz na kwartał. Test nie musi od razu obejmować całej firmy, ale powinien potwierdzać, że najważniejsze dane można odzyskać.
Praktyczny przykład
Mała firma usługowa ma:
- 5 komputerów,
- pocztę firmową,
- stronę internetową,
- program księgowy,
- folder z dokumentami klientów,
- dysk sieciowy w biurze.
Rozsądny model backupu może wyglądać tak:
Codziennie:
- kopia dokumentów firmowych,
- kopia danych księgowych,
- kopia kluczowych folderów z dysku sieciowego,
- archiwizacja poczty.
Raz w tygodniu:
- kopia strony internetowej,
- kopia wybranych komputerów,
- kopia konfiguracji urządzeń.
Po każdej większej zmianie:
- kopia strony www,
- kopia konfiguracji serwera,
- kopia konfiguracji routera lub firewalla.
Dodatkowo:
- jedna kopia lokalna,
- jedna kopia w chmurze,
- jedna kopia offline lub poza firmą,
- test odtwarzania raz w miesiącu.
Taki model nie musi być skomplikowany, ale wymaga konsekwencji i odpowiedniej konfiguracji.
Backup a RODO i dane klientów
Backup często zawiera dane osobowe: dane klientów, pracowników, kontrahentów, dokumenty księgowe, umowy, korespondencję i załączniki.
Dlatego kopie zapasowe powinny być traktowane jak dane produkcyjne. Oznacza to, że trzeba zadbać o:
- kontrolę dostępu,
- szyfrowanie,
- bezpieczne przechowywanie,
- ograniczenie liczby osób z dostępem,
- usuwanie niepotrzebnych kopii,
- dokumentację,
- świadomość, gdzie dane są przechowywane.
W praktyce backup nie może być „luźnym dyskiem w szufladzie”, do którego każdy ma dostęp. To część infrastruktury firmy i powinna być zarządzana odpowiedzialnie.
Ile backupów potrzebuje firma?
Nie ma jednej uniwersalnej liczby. Mała firma może zacząć od prostego modelu 3-2-1, a później go rozbudowywać.
Ważniejsze od samej liczby kopii jest to, czy:
- obejmują wszystkie ważne dane,
- są wykonywane automatycznie,
- są chronione przed usunięciem i zaszyfrowaniem,
- znajdują się w różnych miejscach,
- da się je szybko odtworzyć,
- ktoś regularnie sprawdza ich poprawność.
Backup powinien być dopasowany do działalności firmy. Inne potrzeby ma biuro projektowe, inne sklep internetowy, inne kancelaria, a jeszcze inne firma produkcyjna.
Najważniejsze wnioski
- Backup to podstawowe zabezpieczenie firmy przed utratą danych.
- Kopiować warto nie tylko dokumenty, ale też pocztę, bazy danych, stronę www, konfiguracje i dane z systemów firmowych.
- Jedna kopia na dysku zewnętrznym to za mało.
- Dobrą praktyką jest zasada 3-2-1: trzy kopie, dwa różne nośniki, jedna kopia poza firmą.
- Backup powinien być automatyczny i monitorowany.
- Kopie zapasowe muszą być regularnie testowane.
- Przynajmniej jedna kopia powinna być odizolowana, aby ograniczyć skutki ransomware.
- Backup powinien być zabezpieczony tak samo poważnie jak dane produkcyjne.
- Firma powinna mieć prostą procedurę: co kopiujemy, gdzie, jak często i kto za to odpowiada.