Vandaag is het Wereld Backup Dag, voor veel msp’s een dag om ongemakkelijk van te worden. De kennis is er meestal wel, maar de vraag die vaak onbeantwoord blijft: werkt het écht? Laten we bij het begin beginnen.
Wat is er mis met de klassieke regel?
De 3-2-1-regel stamt uit een tijdperk waarin het grootste risico een defecte harde schijf of een brand in het serverlokal was. Drie kopieën, twee verschillende media, één offsite. Logisch, pragmatisch, en tot een jaar of vijf geleden afdoende.
De komst van ransomware heeft de spelregels veranderd. Een aanvaller die binnen is op het netwerk maakt geen onderscheid tussen productiedata en backups. Als die backupserver bereikbaar is, is hij ook versleutelbaar. En cloudbackups? Als de credentials gecompromitteerd zijn, zijn die kopieën even hard weg.
Dat is waarom de industrie de afgelopen jaren is opgeschoven naar 3-2-1-1-0. De twee extra stappen zijn geen overbodige luxe; ze zijn de reden dat een recovery na een ransomware-aanval überhaupt mogelijk is.
De extra 1: immutable storage
Een immutable backup is een kopie die na het wegschrijven niet meer aangepast kan worden, niet door software, niet door een beheerder, en dus ook niet door ransomware. Object storage met WORM-beleid (Write Once, Read Many) is de meest gangbare implementatie. Leveranciers als Veeam, Rubrik en Nakivo ondersteunen dit, net als cloudplatforms van AWS, Azure en Backblaze B2.
Belangrijk detail: ‘immutable’ is alleen immutable als de beheertoegang goed afgeschermd is. Een aanvaller met toegang tot je S3-bucket-credentials kan alsnog retention-beleid aanpassen als je dat toelaat. Zorg voor gescheiden accounts, MFA en het least-privilege principe, ook op je backupinfrastructuur.
De tweede extra 1: air-gapped opslag
Een air-gapped backup is volledig losgekoppeld van het netwerk. De ouwe gouwe tape is hier nog altijd relevant, omdat het fysiek transportabel is en niet via een IP-adres te benaderen. Voor msp’s die geen tape willen beheren zijn er ook softwarematige air-gap varianten, waarbij de verbinding naar de backuplocatie alleen op gezette tijden en geverifieerd tot stand komt.
Is air-gap voor elke klant noodzakelijk? Nee. Maar voor klanten met hoge hersteleisen, financieel, medisch of juridisch, is het de enige manier om te garanderen dat er altijd een online onbereikbare kopie bestaat.
De nul: het deel dat de meeste msp’s overslaan
En dan de nul. Die staat voor nul fouten bij de geverifieerde restore. Een groene backupjob is geen bewijs. Een bestand dat ‘er wel staat’ is geen bewijs. Bewijs is: we hebben daadwerkelijk een restore uitgevoerd en bevestigd dat de data bruikbaar is.
Dit is het deel waar het bij veel msp’s misgaat. Tijdgebrek en aanname zijn de vaste boosdoeners. De backupsoftware meldt succes, de klant betaalt zijn factuur, en niemand controleert of die backup ook écht terugzet. Tot het moment dat het moet.
Wat staat er op het spel?
Backup-als-dienst is een van de meest vertrouwensgevoelige onderdelen van een msp-propositie. Een klant die jou zijn databeheer toevertrouwt, gaat ervan uit dat jij het regelt. En als het misgaat, is de eerste vraag van die klant dan ook: waarom wist jij dit niet?
Dat is een lastige vraag als het antwoord is dat de backupjob wekenlang op groen stond terwijl de data al corrupt was, of dat de testrestores al twee jaar niet zijn uitgevoerd. In juridische termen: een msp die backup-dienstverlening verkoopt zonder aantoonbare verificatie, staat bij een incident bijzonder zwak. De schade, denk aan herstelkosten, omzetverlies bij de klant en eventuele boetes onder de AVG bij dataverlies, kan de omvang van een jarenlange contractrelatie makkelijk overstijgen.
De oplossing zit hem grotendeels in documentatie en aantoonbaarheid. Een getekende verwerkersovereenkomst is een begin, maar wat je echt nodig hebt is een gedocumenteerd backup-beleid per klant, met daarin vastgelegd welke systemen beschermd worden, volgens welke architectuur, met welke retentie, en hoe vaak verificatie plaatsvindt. Dat document is zowel je werkdocument als je verweer.
Contractueel loont het om herstelverantwoordelijkheid expliciet te benoemen. Wat garandeer je wel, en wat valt buiten scope? Een klant die zijn eigen laptops niet laat aanmelden bij de backupoplossing kan die data niet bij jou claimen. Maar die afbakening moet je dan wel op papier hebben staan, ondertekend, vóór het incident plaatsvindt.
Van product naar proces
Dit is waar Wereld Backup Dag eigenlijk over zou moeten gaan: backup is geen product, het is een proces.
‘We hebben Veeam’ is het begin van een backup-strategie. Wat er daarna moet komen:
Monitoring die alarmeert bij afwijkingen. Ook bij backupjobs die langer duren dan verwacht, bij datasets die onverwacht groeien of krimpen, of bij retentiebeleid dat stilletjes veranderd is.
Geplande testrestores. Structureel dus, per kwartaal voor kritische systemen en jaarlijks voor de rest minimaal. En gedocumenteerd, zodat je richting de klant kunt aantonen dat het werkt.
RTO en RPO als business-gesprek. Recovery Time Objective en Recovery Point Objective zijn technische begrippen, maar de antwoorden komen van de klant. Hoeveel downtime kan een accountantskantoor zich permitteren in maart? Hoeveel dataverlies is acceptabel voor een webshop op een drukke vrijdag? Die vragen horen in het onboardinggesprek, niet pas na een incident.
Rapportage aan de klant. Backup is onzichtbaar als het goed gaat, en dat werkt in je nadeel. Een maandelijkse statusrapportage (‘uw backups draaiden zonder fouten, deze systemen zijn geverifieerd’) maakt de waarde van je dienstverlening zichtbaar en bouwt vertrouwen op voordat er iets misgaat.
Wat je vandaag kunt doen
Wereld Backup Dag is een goed moment om de interne audit te doen die je al een tijdje voor je uitschuift. Een paar concrete vragen:
Heb je voor elke klant in kaart hoeveel van de opgeslagen data ook daadwerkelijk immutable opgeslagen is? Specifiek: welke kopie is write-protected en tot wanneer?
Wanneer heb je voor het laast een restore geverifieerd? En is dat gedocumenteerd?
Zijn de RTO- en RPO-verwachtingen van je klanten formeel vastgelegd, en stemt je huidige architectuur daarmee overeen?
Is de toegang tot je backupinfrastructuur gescheiden van je reguliere beheeromgeving?
Heb je per klant een gedocumenteerd backup-beleid, en weet de klant wat er wel en niet onder de dienstverlening valt?
Als je op één van deze vragen het antwoord schuldig blijft, is dat een reden om deze week actie te ondernemen. Het incident houdt zich niet aan de kalender. De 3-2-1-1-0-regel geeft je de architectuur. Het proces geeft je de zekerheid. Beide zijn nodig, en beiden beginnen met de bereidheid om de vraag te stellen: werkt het écht?
Bekijk ons overzicht van leveranciers voor backup-oplossingen.
Dit artikel maakt deel uit van de redactionele coverage rondom Wereld Backup Dag (31 maart) op ChannelConnect/MSP Business.
