Блог · Киберсигурност · 17 ноември 2025 · 5 мин четене

Ransomware и резервни копия: планът, който спасява бизнеса

Правилото 3-2-1, офлайн копия и защо тестваното възстановяване е половината защита.

При ransomware атака бизнеса спасява не антивирусът, а резервното копие, до което нападателят не може да стигне. Работещият план се крепи на три неща: правилото 3-2-1, поне едно офлайн или неизменяемо копие и редовно тествано възстановяване. Всичко останало — включително плащането на откуп — е импровизация с несигурен край.

Защо ransomware е различен от другите заплахи?

Ransomware не краде тихо данни в продължение на месеци — той спира бизнеса за една нощ. Криптира файловете на сървъри и работни станции и иска откуп за ключа. От тази сутрин нататък няма фактури, няма поръчки, няма склад, няма ведомости. Всеки ден престой струва реални пари и реално доверие на клиентите.

Съвременните атаки са и по-коварни: преди да се задействат, те откриват резервните копия, достъпни през мрежата, и ги криптират или изтриват първи. Затова копие, което стои на същия сървър или на постоянно закачен мрежов диск, не е защита — то е поредната жертва.

Какво е правилото 3-2-1 и как да го приложите?

Правилото 3-2-1 е утвърденият стандарт за резервни копия и се описва с едно изречение: три копия на данните, на два различни типа носители или места, като едно от тях е извън офиса или офлайн.

Три копия. Работните данни плюс две независими резервни копия — повреда на едното не бива да засяга другото.

Два различни носителя. Например локално устройство за бързо възстановяване и облачно хранилище за устойчивост при пожар, кражба или отказ на техника.

Едно извън обсега на атаката. Офлайн копие (изключван диск или лента) или неизменяемо облачно копие, което не може да бъде изтрито или презаписано в определен период — дори с администраторски акаунт.

Резервните копия трябва да работят с отделни идентификационни данни, а правото да ги трие — да е сведено до минимален брой хора. Кой реално има такива права е първото, което си струва да проверите — разгледали сме го в статията „Одит на достъпите: кой какво вижда във вашите системи“.

Защо тестваното възстановяване е половината защита?

Резервно копие, което никога не е било възстановявано, е хипотеза, а не защита. В практиката се къса винаги едно и също звено: копието тихо е спряло да се прави преди месеци, липсва точно критичната база данни или възстановяването отнема три дни, а бизнесът издържа три часа.

Затова тествайте по график: веднъж месечно възстановявайте извадка от файлове и една система, а един-два пъти годишно правете пълна репетиция. Измервайте две числа — за колко време се възстановявате и колко данни губите — и ги сравнете с това, което бизнесът реално може да понесе. Документирайте стъпките: в криза се действа по списък, а не по памет. Как изглеждат самите кризисни часове сме описали в „План за реакция при киберинцидент: първите 72 часа“.

Откъде да започнете още тази седмица?

Не ви трябва голям проект, за да направите решителната първа крачка:

1. Опишете кои данни и системи са критични — без кои не можете да издадете фактура и да обслужите клиент.
2. Проверете къде са сегашните копия и дали са достъпни със стандартен мрежов акаунт. Ако да — уязвими са.
3. Добавете едно офлайн или неизменяемо копие за критичните данни.
4. Насрочете първия тест за възстановяване — с дата и отговорник.
5. Запишете резултата и повтаряйте по график.

За много компании това вече не е само добра практика: резервните копия и възстановяването са част от изискванията към киберсигурността, а измененията в Закона за киберсигурност са в сила от 17 февруари 2026 г. Подробности — в „NIS2 съответствие: пълният checklist за 2026“. А ако предпочитате някой да мине по целия списък заедно с вас, разгледайте услугата Киберсигурност.

Често задавани въпроси

Трябва ли да платим откупа при ransomware атака?

Плащането не гарантира, че ще получите работещ ключ за дешифриране, и показва на нападателите, че си струва да ви атакуват отново. Работещо офлайн резервно копие прави въпроса излишен.

Колко често трябва да правим резервни копия?

Толкова често, колкото данни можете да си позволите да загубите. За повечето компании ежедневното автоматично копие е разумният минимум, а за критичните системи — на всеки няколко часа.

Кога за последно тествахте възстановяване?

Ще прегледаме резервните ви копия и ще ви покажем слабите места — отговаряме до 24 часа.

Заявете преглед →
Blog · Cybersecurity · 17 November 2025 · 5 min read

Ransomware and backups: the plan that saves the business

The 3-2-1 rule, offline copies and why a tested restore is half the protection.

In a ransomware attack, what saves the business is not the antivirus but the backup the attacker cannot reach. A working plan rests on three things: the 3-2-1 rule, at least one offline or immutable copy, and a restore that is tested regularly. Everything else — including paying the ransom — is improvisation with an uncertain ending.

Why is ransomware different from other threats?

Ransomware does not quietly steal data for months — it stops the business overnight. It encrypts the files on servers and workstations and demands a ransom for the key. From that morning on there are no invoices, no orders, no warehouse, no payroll. Every day of downtime costs real money and real customer trust.

Modern attacks are also more devious: before triggering, they find the backups reachable over the network and encrypt or delete them first. So a copy sitting on the same server or on a permanently mapped network drive is not protection — it is just the next victim.

What is the 3-2-1 rule and how do you apply it?

The 3-2-1 rule is the established backup standard and fits in one sentence: three copies of the data, on two different types of media or locations, with one of them off-site or offline.

Three copies. The working data plus two independent backups — damage to one must not affect the other.

Two different media. For example, a local device for fast recovery and cloud storage for resilience against fire, theft or hardware failure.

One out of the attack's reach. An offline copy (a disconnected disk or tape) or an immutable cloud copy that cannot be deleted or overwritten for a set period — not even with an administrator account.

Backups must run under separate credentials, and the right to delete them should be limited to the smallest possible number of people. Who actually holds such rights is the first thing worth checking — we cover it in the article "Access audit: who sees what in your systems".

Why is a tested restore half the protection?

A backup that has never been restored is a hypothesis, not protection. In practice, the same link always snaps: the copy quietly stopped running months ago, exactly the critical database is missing, or the restore takes three days while the business can survive three hours.

So test on a schedule: once a month, restore a sample of files and one system; once or twice a year, run a full rehearsal. Measure two numbers — how long recovery takes and how much data you lose — and compare them with what the business can actually withstand. Document the steps: in a crisis you act from a checklist, not from memory. What those crisis hours look like is described in "Cyber incident response plan: the first 72 hours".

Where do you start this week?

You do not need a big project to take the decisive first step:

1. Write down which data and systems are critical — the ones without which you cannot issue an invoice or serve a customer.
2. Check where the current backups live and whether a standard network account can reach them. If it can — they are vulnerable.
3. Add one offline or immutable copy for the critical data.
4. Schedule the first restore test — with a date and an owner.
5. Record the result and repeat on a schedule.

For many companies this is no longer just good practice: backups and recovery are part of the cybersecurity requirements, and the amendments to the Bulgarian Cybersecurity Act take effect on 17 February 2026. Details are in "NIS2 compliance: the complete 2026 checklist". And if you would rather have someone walk the whole list with you, take a look at our cybersecurity service.

Frequently asked questions

Should we pay the ransom in a ransomware attack?

Paying does not guarantee you will receive a working decryption key, and it shows the attackers that you are worth attacking again. A working offline backup makes the question irrelevant.

How often should we back up?

As often as the amount of data you can afford to lose dictates. For most companies a daily automated backup is the sensible minimum, and for critical systems — every few hours.

When did you last test a restore?

We will review your backups and show you the weak spots — we reply within 24 hours.

Request a review →