Disaster Recovery Plan (DRP). Trzy złote zasady jego przygotowania.

Zakład produkcyjny, placówka medyczna, sklep internetowy — niezależnie od skali i charakteru prowadzonej działalności biznesowej, jej podstawą jest obecnie posiadanie konkretnego planu przywracania działania po awarii (ang. Disaster Recovery Plan, DRP). Z jego opracowaniem wiąże się jednak często wiele problemów. Co zrobić, by nie był ani zbyt ogólnikowy, ani szczegółowy (a przez to nieczytelny)? Na co zwrócić szczególną uwagę? Z tym wszystkim może pomóc formuła trzech złotych zasad DRP opracowana przez specjalistów T‑Mobile.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

JAKA JEST SKALA ZAGROŻEŃ, PRZED KTÓRYMI STOI DZIŚ POLSKI BIZNES W SFERZE CYFROWEJ?
CZEMU CIĄGŁOŚĆ DZIAŁANIA BIZNESU WARUNKUJE JEGO ROZWÓJ, A NAWET PRZETRWANIE?
JAK PRZYGOTOWAĆ SOLIDNY, NIEZAWODNY DISASTER RECOVERY PLAN DLA SWOJEJ FIRMY?
DLACZEGO USŁUGI DREES I BAAS BĘDĄ TYLKO ZYSKIWAĆ NA ISTOTNOŚCI?
CZEGO WYMAGA OD NAS PRAWO POLSKI I UE W ZAKRESIE GOTOWOŚCI NA CYFROWE WYZWANIA?

To pewnego rodzaju ironia losu, że w momencie triumfu ludzkiej innowacyjności, której symbolem jest wszechobecna cyfryzacja i wdrażanie kolejnych, przełomowych technologii, ciągłość działania biznesu[i] narażona jest na rekordową liczbę potencjalnych zagrożeń. Ryzyko wystąpienia blackout’u (przeciążenia sieci, przerwy w dostawach prądu), awarie techniczne czy ataki hakerskie powodują, że posiadanie solidnego „wyjścia awaryjnego” w konstrukcji, jaką jest każde przedsiębiorstwo, nabiera znaczenia nie mniejszego niż jej fundamenty czy wszelkie funkcjonalności.

Opracuj plan awaryjny – ryzyko czai się tuż za rogiem

Zacznijmy od statystyki, i to niestety ponurej, bo pokazującej skalę zagrożeń, z którymi na co dzień mierzą się niemal wszystkie przedsiębiorstwa w Polsce.

Okazuje się bowiem, że aż 83 proc. firm zarejestrowało w 2024 roku przynajmniej jeden incydent związany z cyberbezpieczeństwem, co oznacza wzrost o 16 p.p. względem poprzedniego roku[ii]. Całkowita liczba prób ataków rośnie niezależnie od wielkości firmy, choć największą intensyfikację odnotowują duże przedsiębiorstwa (55 proc. z nich zauważyło wzrost lub znaczny wzrost aktywności cyberprzestępców). O zwiększeniu intensywności ataków świadczy również niemal dwukrotny spadek liczby firm, które nie odnotowały żadnego – z 33 proc. do 17 proc.

Nie tylko ataki hakerskie: pamiętaj o katastrofach naturalnych

W codziennym prowadzeniu biznesu należy również w coraz większym stopniu uwzględniać ryzyka związane z szeroko pojętym klimatem. Mowa tu zarówno o kataklizmach naturalnych, nawiedzających Polskę z coraz większą intensywnością i częstotliwością, jak i olbrzymim wyzwaniu, jakim jest transformacja energetyczna. Zapotrzebowanie na energię rośnie szybciej, niż nasze zdolności produkcyjne, co w perspektywie może skutkować problemami ze stałym dopływem chociażby prądu.

Sprawdź: 5 sposobów na uniknięcie incydentów bezpieczeństwa w Twojej firmie

Awaryjny plan działania dla firmy – dlaczego warto go ustalić?

Wszystkie wspomniane zagrożenia stają się jak najbardziej realne, co nie może ujść uwadze osób prowadzących bądź zarządzających przedsiębiorstwami. Stawką jest bowiem nie tylko pozycja rynkowa organizacji i ciągłość jej działania, ale również (jej reputacja oraz wizerunek. Klienci i partnerzy biznesowi oczekują bowiem dostępu do oferty/produktu/aplikacji 24 godzin na dobę przez 365 dni w roku oraz chcą mieć pewność, że ich dane są przez daną organizację przechowywane w maksymalnie bezpieczny sposób.

Disaster Recovery Plan. Trzy złote zasady DRP

Różne elementy planu Disaster Recovery nieustannie przewijają się przez znaczną część publikowanych w Strefie Wiedzy materiałów. Dotyczą one bowiem całego spektrum aktywności i technologii związanych z prowadzeniem nowoczesnego, bezpiecznego biznesu. Choć żaden z elementów DRP nie jest zbędny, to warto, aby przy jego właściwym projektowaniu, odwoływać się zawsze do trzech uniwersalnych zasad:

1. Napisz instrukcję DRP z fachowcami – dla fachowców

Aby firma mogła uniknąć przestoju bądź zminimalizować jego czas i koszty, potrzebni są dostępni i przeszkoleni pracownicy, dysponujący odpowiednimi kwalifikacjami, niezbędną dokumentacją oraz jasnymi procedurami działania w sytuacjach nadzwyczajnych. Istotna jest także obecność osób upoważnionych do wydawania konkretnych, niekiedy natychmiastowych instrukcji, wyposażonych w potrzebną do tego wiedzę i pełnomocnictwa. Nie bez znaczenia jest również stały kontakt z partnerami biznesowymi, podwykonawcami, wreszcie — klientami, w celu ewentualnej koordynacji działań i uniknięcia ewentualnych strat finansowych czy wizerunkowych.

Dopiero posiadając odpowiednie zaplecze kadrowe i wypracowane procedury uwzględniające podział obowiązków i kompetencji, możemy przystąpić od solidnej i rzetelnej analizy ryzyka oraz zbadania wpływu ewentualnej awarii na działanie firmy na wszystkich możliwych płaszczyznach (poszczególnych działów, obsługiwanych systemów czy aplikacji etc.). Podstawowym pytaniem, na które odpowiada takowa analiza, brzmi: „Czy nasza firma w sytuacji nadzwyczajnej zdoła ciągle funkcjonować normalnie oraz na jakie ewentualne straty możemy sobie pozwolić?”.

Coraz więcej przedsiębiorstw decyduje się obecnie na współpracę z zewnętrznymi, profesjonalnymi operatorami, dysponującymi nowoczesną, bezpieczną infrastrukturą i wykwalifikowaną kadrą do zarządzania ich danymi. Jednak warto jeszcze przed wyborem danego rozwiązania przeprowadzić konieczne zmiany w strukturze własnej organizacji[iii]. Ustalenie procedur, szkolenia pracowników, określenie ścieżki decyzyjnej — to podstawowe kroki, których podjęcie może wyraźnie wzmocnić odporność firmy na potencjalne zagrożenia.

Przeczytaj: Skuteczna edukacja, czyli Kultura Bezpieczeństwa w organizacji

2. DRaaS i BaaS, czyli przezorny faktycznie zawsze ubezpieczony

Trend rynkowy jest więc oczywisty, dlatego operatorzy już od dłuższego czaru aktywnie rozwijają swoją ofertę wykraczającą poza typowe usługi telekomunikacyjne. Obejmuje ona dziś m.in. tworzenie bądź rozbudowę infrastruktury centrów danych[iv] świadczących usługi kolokacyjne i chmurowe. Obiekty te posiadają najwyższej klasy systemy bezpieczeństwa, sprzęt oraz personel go obsługujący, dzięki czemu mogą świadczyć pełny, kompleksowy zakres profesjonalnych usług chmurowych związanych z bezpiecznym przechowywaniem bądź udostępnianym danych.

Co więcej, data center umożliwiają przedsiębiorstwom — zarówno z sektora MŚP, jak i dużym organizacjom — korzystanie z doświadczenia i wiedzy zaufanych, zewnętrznych dostawców, zbudowanie wysokiej odporności firmy na nieoczekiwane sytuacje oraz optymalizację wydatków ponoszonych na budowę i obsługę infrastruktury IT.

Możliwość uruchomienia infrastruktury IT firmy w środowisku zapasowym na urządzeniach należących do dostawcy usług chmurowych to jeden z filarów DRP. Powodem korzystania z takiej usługi nie musi być tylko obawa przed utratą danych w wyniku zakłóceń w dostawach energii. Usługi typu DRaaS i BaaS, wyposażone dodatkowo w narzędzia cyberbezpieczeństwa, to również optymalne metody ochrony swoich danych przed atakami hakerskimi, niekiedy wymagana przez politykę bezpieczeństwa firmy lub regulatora.

To może Cię zainteresować: Nadchodzi NIS2: jak zadbać o infrastrukturę sieciową

3. Nieustannie testuj odporność firmy (zgodnie z zaleceniem UE)

Eksperci od Disaster Recovery powtarzają tę zasadę jak mantrę: „testuj systematyczne swoje kopie zapasowe i plany ratunkowe”. Nawet wdrażając najlepsze procedury tworzenia kopii zapasowych nie można być w stu procentach pewnym, czy kopie zapasowe będą działać bezbłędnie, jeżeli odzyskiwanie danych nie jest na bieżąco testowane[v].

W rzeczywistości wiele firm nie jest w stanie w sposób systematyczny testować procedury odzyskiwania danych po awarii. Systemy są obecnie dość często aktualizowane. Dokładna weryfikacja zmian w nowych wersjach, w tym także przetestowanie poprawności funkcjonowania odzyskiwania danych z backupu wymaga uwagi ze strony IT, czasu i zasobów. Tymczasem sprawdzenie, czy kopie zapasowe działają poprawnie i można je łatwo odzyskać dość często otrzymuje niski priorytet. Weryfikacja poprawności backupu następuje wtedy w sytuacji kryzysowej, a niepowodzenie odtworzenia danych oznacza istotne problemy dla przedsiębiorstwa.> Sprawdź: Centra danych i infrastruktura chmurowa – co nas czeka?

Przygotowując swój DRP każda organizacja – od dużego przedsiębiorstwa, przez instytucję publiczną, po firmę z sektora MŚP – powinna więc od początku uwzględniać w nim element systematycznego testowania własnej odporności oraz gotowości na szybkie uzupełnianie odkrytych podczas „badania” luk i niedociągnięć.

Uruchomienie usług backupu lub ich rozbudowa to nie tylko decyzja racjonalna, ale również… zgodna z prawem: europejskim i krajowym. Chodzi tu przede wszystkim o takie akty legislacyjne, jak NIS2 czy DORA. Wspólnym mianownikiem tych aktów prawnych jest próba zagwarantowanie ciągłości biznesowej organizacji przez skuteczne zarządzanie ryzykiem i zwiększenie odporności na incydenty bezpieczeństwa IT.

Przeczytaj: Ochrona pracowników przed atakami phishingowymi i smishingowymi: jak wzmocnić kulturę bezpieczeństwa w firmie?

Trzy filary Disaster Recovery Plan: podsumowanie

Spełnienie powyższych trzech zasad to fundament solidnego planu Disaster Recovery, ale równocześnie dopiero początek budowy odporności wobec cyfrowych zagrożeń. Niestety, proces ten nigdy się nie kończy, bo nawet najpotężniejsze, globalne koncerny codziennie inwestują olbrzymie zasoby, by utrzymać ciągłość działania swego biznesu. Ale sama świadomość istnienia tego „cyfrowego wyścigu zbrojeń” to już znaczący krok w kierunku skokowego wzmocnienia bezpieczeństwa firmy oraz jej klientów.

[i] https://biznes.t-mobile.pl/pl/wojna-hakerzy-dyrektywa-nis2-ciaglosc-dzialania-biznesu-staje-sie-podstawa-jego-prowadzenia

[ii] https://kpmg.com/pl/pl/home/insights/2025/02/barometr-cyberbezpieczenstwa-2025.html

[iii] https://biznes.t-mobile.pl/pl/jak-czesto-myslisz-o-cyberbezpieczenstwie

[iv] https://biznes.t-mobile.pl/pl/produkty-i-uslugi/centra-danych

[v] https://biznes.t-mobile.pl/pl/jak-przygotowac-sie-do-audytu-bezpieczenstwa