Резервное копирование 3-2-1: правило, которое спасёт бизнес от шифровальщика

По данным Kaspersky, в 2026 году атаки шифровальщиков на российские компании выросли на 28%. Средний выкуп — 12 млн ₽, средний простой бизнеса — 21 день. Главное оружие против этой угрозы — не антивирус, а правильно организованное резервное копирование. Правило 3-2-1 — золотой стандарт, известный с 2005 года, но до сих пор не реализованный в большинстве компаний.

Что такое правило 3-2-1

Формула простая: 3 копии данных на 2 разных типах носителей, 1 копия — offline или offsite (вне основной инфраструктуры). Современная вариация — 3-2-1-1-0: 1 immutable-копия и 0 ошибок при восстановлении.

• 3 копии: оригинал + 2 резервные. Разнесите риски — если один диск умрёт, останутся другие
• 2 типа носителей: например, NAS + ленточная библиотека, или SSD + объектное хранилище S3
• 1 копия offline или offsite: физически изолированная или географически удалённая
• 1 immutable: копия с включённым WORM (Write Once Read Many) — её нельзя изменить даже админу
• 0 ошибок: регулярное тестовое восстановление подтверждает целостность бэкапов

Как защититься от шифровальщиков

Современные шифровальщики специально ищут и удаляют бэкапы перед шифрованием. Они компрометируют учётные записи администраторов и используют их для удаления резервных копий. Защита строится на нескольких уровнях:

1. Air gap — физическое или логическое отключение бэкап-системы от основной сети
2. Immutable storage — S3 Object Lock, Veeam Hardened Repository, ленточные хранилища
3. Отдельные учётки для бэкап-системы — никогда не общие с доменом
4. MFA на доступ к бэкап-консоли — обязательно
5. Мониторинг изменения объёмов резервных копий — резкое снижение = тревога

Инструменты для российского рынка

После ухода Veeam и Commvault с официального рынка появились отечественные альтернативы:

• Кибер Бэкап (от Киберпротект) — лидер РФ, есть в реестре отечественного ПО, сертификат ФСТЭК
• RuBackup — корпоративная система резервного копирования, поддержка КИИ
• Acronis Cyber Protect (под российским юрлицом) — комбинирует бэкап и защиту от ransomware
• Selectel Backup as a Service — managed-решение в российском облаке
• Yandex Object Storage с включённым Object Lock — для immutable-бэкапов

RTO и RPO: понимание метрик

RTO (Recovery Time Objective) — за сколько максимум система должна восстановиться после сбоя. RPO (Recovery Point Objective) — сколько данных допустимо потерять. Эти метрики определяют стратегию бэкапа.

• Критичные системы (биллинг, e-commerce): RTO 1 час, RPO 15 минут — нужна репликация + частые бэкапы
• Важные системы (CRM, корпоративный портал): RTO 4 часа, RPO 4 часа — ежечасные снапшоты + ежедневные бэкапы
• Стандартные системы (файловый сервер, почта): RTO 24 часа, RPO 24 часа — ежедневный бэкап
• Архивные системы: RTO 72 часа, RPO 7 дней — еженедельный бэкап на ленту

Тестирование восстановления — обязательно

Бэкап, который не проверяли восстановлением, — это не бэкап, а надежда. По статистике, до 30% бэкапов оказываются нерабочими в момент истины. Минимум раз в квартал — полное тестовое восстановление критичных систем в изолированной среде. Документируйте время восстановления — это ваш реальный RTO, а не желаемый.

Бэкапы — это не статья расходов, а страховка бизнеса. Стоимость качественной системы резервного копирования — 1-3% от IT-бюджета. Стоимость восстановления после атаки без бэкапов — потеря бизнеса в 60% случаев.