При ransomware атака бизнеса спасява не антивирусът, а резервното копие, до което нападателят не може да стигне. Работещият план се крепи на три неща: правилото 3-2-1, поне едно офлайн или неизменяемо копие и редовно тествано възстановяване. Всичко останало — включително плащането на откуп — е импровизация с несигурен край.
Защо ransomware е различен от другите заплахи?
Ransomware не краде тихо данни в продължение на месеци — той спира бизнеса за една нощ. Криптира файловете на сървъри и работни станции и иска откуп за ключа. От тази сутрин нататък няма фактури, няма поръчки, няма склад, няма ведомости. Всеки ден престой струва реални пари и реално доверие на клиентите.
Съвременните атаки са и по-коварни: преди да се задействат, те откриват резервните копия, достъпни през мрежата, и ги криптират или изтриват първи. Затова копие, което стои на същия сървър или на постоянно закачен мрежов диск, не е защита — то е поредната жертва.
Какво е правилото 3-2-1 и как да го приложите?
Правилото 3-2-1 е утвърденият стандарт за резервни копия и се описва с едно изречение: три копия на данните, на два различни типа носители или места, като едно от тях е извън офиса или офлайн.
Три копия. Работните данни плюс две независими резервни копия — повреда на едното не бива да засяга другото.
Два различни носителя. Например локално устройство за бързо възстановяване и облачно хранилище за устойчивост при пожар, кражба или отказ на техника.
Едно извън обсега на атаката. Офлайн копие (изключван диск или лента) или неизменяемо облачно копие, което не може да бъде изтрито или презаписано в определен период — дори с администраторски акаунт.
Резервните копия трябва да работят с отделни идентификационни данни, а правото да ги трие — да е сведено до минимален брой хора. Кой реално има такива права е първото, което си струва да проверите — разгледали сме го в статията „Одит на достъпите: кой какво вижда във вашите системи“.
Защо тестваното възстановяване е половината защита?
Резервно копие, което никога не е било възстановявано, е хипотеза, а не защита. В практиката се къса винаги едно и също звено: копието тихо е спряло да се прави преди месеци, липсва точно критичната база данни или възстановяването отнема три дни, а бизнесът издържа три часа.
Затова тествайте по график: веднъж месечно възстановявайте извадка от файлове и една система, а един-два пъти годишно правете пълна репетиция. Измервайте две числа — за колко време се възстановявате и колко данни губите — и ги сравнете с това, което бизнесът реално може да понесе. Документирайте стъпките: в криза се действа по списък, а не по памет. Как изглеждат самите кризисни часове сме описали в „План за реакция при киберинцидент: първите 72 часа“.
Откъде да започнете още тази седмица?
Не ви трябва голям проект, за да направите решителната първа крачка:
1. Опишете кои данни и системи са критични — без кои не можете да издадете фактура и да обслужите клиент.
2. Проверете къде са сегашните копия и дали са достъпни със стандартен мрежов акаунт. Ако да — уязвими са.
3. Добавете едно офлайн или неизменяемо копие за критичните данни.
4. Насрочете първия тест за възстановяване — с дата и отговорник.
5. Запишете резултата и повтаряйте по график.
За много компании това вече не е само добра практика: резервните копия и възстановяването са част от изискванията към киберсигурността, а измененията в Закона за киберсигурност са в сила от 17 февруари 2026 г. Подробности — в „NIS2 съответствие: пълният checklist за 2026“. А ако предпочитате някой да мине по целия списък заедно с вас, разгледайте услугата Киберсигурност.
Често задавани въпроси
Трябва ли да платим откупа при ransomware атака?
Плащането не гарантира, че ще получите работещ ключ за дешифриране, и показва на нападателите, че си струва да ви атакуват отново. Работещо офлайн резервно копие прави въпроса излишен.
Колко често трябва да правим резервни копия?
Толкова често, колкото данни можете да си позволите да загубите. За повечето компании ежедневното автоматично копие е разумният минимум, а за критичните системи — на всеки няколко часа.