Защита бэкапов от ransomware: правило 3-2-1-1-0

Раньше логика была простой: есть копии — можно спать спокойно. Сегодня это ложное спокойствие. По отраслевым наблюдениям, операторы шифровальщиков изменили тактику и всё чаще атакуют сами резервные копии. Расчёт простой: если уничтожить или зашифровать бэкапы, у жертвы не остаётся способа восстановиться, и вероятность, что она заплатит выкуп, растёт.

В результате бэкап, который должен быть вашей страховкой, сам становится целью. Компания может годами исправно делать копии — и обнаружить в день атаки, что они зашифрованы вместе с основными данными, потому что лежали в той же сети с теми же правами доступа. Поэтому вопрос сместился с «делаете ли вы бэкапы» на «переживут ли ваши бэкапы атаку на вас».

Свежие данные это подтверждают. В отчёте Mandiant M-Trends 2026 это выделено в отдельную тактику — «recovery denial», отказ в восстановлении: прежде чем шифровать рабочие системы, заметные группировки (Akira, Qilin и другие) целенаправленно выводят из строя именно то, на что бизнес рассчитывает при восстановлении — резервные копии, службы аутентификации и среду виртуализации. То есть бэкап атакуют не «иногда», а по плану, первым делом.

Классическое правило резервного копирования звучало как 3-2-1. Под давлением шифровальщиков оно эволюционировало в 3-2-1-1-0. Разберём по цифрам:

• 3 — три копии данных. Основные данные плюс минимум две резервные. Одна копия — это не резерв, а иллюзия.
• 2 — на двух разных типах носителей. Чтобы отказ одного типа хранения не убил сразу все копии.
• 1 — одна копия вне основной площадки (off-site). Пожар, затопление или взлом одной локации не должны уничтожать всё.
• 1 — одна копия неизменяемая или offline. Это новый, критичный элемент: копия, которую физически нельзя изменить или удалить в течение заданного срока. Именно она переживает атаку шифровальщика.
• 0 — ноль ошибок при проверке восстановления. Бэкап считается рабочим, только если из него реально разворачивались. Непроверенная копия — это надежда, а не резерв.

Последние две цифры (1 и 0) — то, что отличает современную защиту от устаревшего подхода «копия где-то лежит».

Неизменяемая (immutable) копия — это резервная копия, которую на заданный срок невозможно изменить или удалить. Именно она прямо противостоит шифровальщику: данные записываются, но трогать их до истечения срока нельзя.

Это меняет расклад в вашу пользу. Даже в худшем сценарии — злоумышленник проник в сеть и завладел паролями администратора — в строгом режиме он не сможет перезаписать или удалить неизменяемую копию. Пока срок защиты не истёк, у вас при проверенном восстановлении остаётся способ вернуть данные без выкупа.

Важная деталь, на которой ошибаются: у защиты от изменения бывают разные режимы. В мягком режиме администратор всё же может снять защиту досрочно — а значит, может и атакующий, укравший его доступ. Надёжную защиту даёт строгий режим, где снять блокировку до срока не может никто. Поэтому мы по умолчанию настраиваем строгий режим.

Самая обидная катастрофа — когда копии есть, но восстановиться из них не получается: повреждённый архив, неполные данные, забытая база. Поэтому в правиле есть «0»: регулярная проверка восстановления. Бэкап получает статус рабочего только после того, как из него реально развернули систему в тестовой среде. Всё остальное — это «копия лежит», а не «мы защищены». Этот же принцип у нас зафиксирован в чек-листе надёжности данных.

Пошагово, как мы выстраиваем защиту бэкапов:

1. Инвентаризация. Что именно резервируем, как часто и насколько критична потеря (это задаёт частоту копий).
2. Локальная копия для быстрого восстановления повседневных сбоев.
3. Off-site копия — отдельно от основной площадки (другая локация или хранилище).
4. Неизменяемая копия в строгом режиме — защита от шифровальщика и от удаления.
5. Шифрование копий, чтобы данные были бесполезны при краже хранилища.
6. Регулярная проверка восстановления — плановое разворачивание из бэкапа, чтобы «0 ошибок» был фактом, а не лозунгом.
7. Контроль доступа и журналирование — кто и что делал с копиями.

Конкретные параметры (как часто снимать копии, как быстро восстанавливать, на какой срок фиксировать неизменяемость) подбираются под критичность вашего бизнеса и фиксируются в договоре — единых «правильных» цифр для всех нет.

Выстроить такую защиту можно своими силами или подключить бэкап как услугу (backup as a service, BaaS) — когда копии, неизменяемость и проверку восстановления настраивает и держит подрядчик; неизменяемую off-site копию при этом можно держать в облаке с оплатой в манатах по безналу. По сути это и есть ваше аварийное восстановление (disaster recovery): заранее готовый план, по которому бизнес возвращается к работе после сбоя или атаки. Подробнее — инфраструктура и резервное копирование как услуга.

Об этом не любят думать, но цена отсутствия защиты реальна: простой бизнеса, потеря накопленных данных, репутационный удар и — в худшем случае — выплата выкупа без гарантии, что данные вернут. На этом фоне стоимость правильно настроенного резервного копирования, как правило, заметно ниже возможного ущерба. Это не статья расходов «на всякий случай», а страховка с понятной ценой против риска с непонятной.

• Что такое правило 3-2-1-1-0? Три копии данных, на двух типах носителей, одна вне площадки, одна неизменяемая, ноль ошибок при проверке восстановления. Современный стандарт защиты бэкапов от шифровальщиков.
• Что такое неизменяемый (immutable) бэкап? Копия, которую на заданный срок нельзя перезаписать или удалить; при корректно настроенном строгом режиме этого практически не может сделать никто, включая администратора. Поэтому шифровальщик её, как правило, не перезаписывает и не удаляет.
• Почему обычного бэкапа недостаточно против ransomware? Потому что, по отраслевым наблюдениям, атаки нередко начинают с резервных копий. Если они лежат в той же сети с теми же правами, их зашифруют вместе с основными данными.
• Как восстановить данные после шифровальщика? Развернуть систему из неизменяемой копии, которую атака не затронула, предварительно убедившись, что она проверена на восстановление. Тогда платить выкуп не нужно.
• Можно ли восстановиться без выкупа? Да — если есть целая неизменяемая копия и проверенное восстановление. Тогда атака становится управляемым инцидентом, а не катастрофой.
• Можно ли отдать защиту бэкапов на аутсорс? Да — это бэкап как услуга (BaaS): подрядчик настраивает и держит копии, неизменяемость и проверку восстановления. Подробнее — инфраструктура.
• Как часто нужно делать и проверять копии? Зависит от того, сколько данных вы готовы потерять при сбое. Конкретную частоту и скорость восстановления подбираем под критичность бизнеса и фиксируем в договоре.