W przemyśle przestój liczy się w minutach. Gdy linia staje, koszty rosną, a opóźnienia rozchodzą się po całym łańcuchu dostaw. Dlatego backup nie może być „tylko” kopią danych. Musi stać się procedurą odtwarzania, która działa przewidywalnie, szybko i bezpiecznie. W opisywanym projekcie celem było skrócenie RTO o 60% oraz ochrona przed ransomware, bez naruszania ciągłości pracy systemów OT i ERP.

Punkt startowy: realne wyzwania IT/OT

Zakład posiadał mieszane środowisko: serwery aplikacyjne i bazy danych (ERP, MES), maszyny wirtualne, a także kontrolery i stacje inżynierskie w sieci OT. Kopie wykonywano głównie nocą, bez regularnych testów odtwarzania. W praktyce oznaczało to długie okna RTO i ryzyko utraty danych między kolejnymi kopiami. Dodatkowo polityki bezpieczeństwa nie obejmowały niezmienialnych repozytoriów, więc ewentualny atak mógł zaszyfrować również kopie.

Cel biznesowy: szybciej wrócić do pracy, nie tylko „mieć backup”

Razem z klientem zdefiniowaliśmy konkretne wskaźniki: krytyczne systemy powinny wracać do działania w ciągu kilku godzin, a punkt odtworzenia RPO miał wynosić maksymalnie kilkanaście minut. Jednocześnie rozwiązanie musiało być zgodne z wymaganiami bezpieczeństwa (m.in. NIS2/ISO 27001) i nie zakłócać pracy sieci OT.

Architektura: 3-2-1-1-0 w wersji przemysłowej

Nową strategię oparliśmy na zasadzie 3-2-1-1-0: trzy kopie danych, na dwóch różnych nośnikach, jedna poza siedzibą, jedna niezmienialna (WORM/immutable) i zero błędów w weryfikacji. W praktyce wdrożyliśmy trzy warstwy:

1. Warstwa lokalna (on-prem) – szybkie repozytorium z deduplikacją i kompresją, pozwalające na natychmiastowe uruchamianie maszyn w trybie „instant recovery”.
2. Warstwa niezmienialna – repozytorium z blokadą zapisu (WORM/immutable) i odrębną tożsamością administracyjną, izolowaną od domeny produkcyjnej.
3. Warstwa off-site – replikacja przyspieszona (WAN acceleration) do drugiej lokalizacji lub chmury, z szyfrowaniem end-to-end.

Dzięki temu można szybko podnieść krytyczne systemy lokalnie, a jednocześnie posiadać „czystą” kopię poza organizacją.

Mechanika kopii: szybkie przyrosty i odzyski granularne

Aby zredukować okna backupowe, włączyliśmy forever-incremental z CBT (Change Block Tracking). Bazy danych i ERP otrzymały backupy zrozumiałe dla aplikacji (application-aware), co ułatwiło spójne odtwarzanie. W sieci OT objęliśmy backupem konfiguracje PLC/SCADA oraz maszyny inżynierskie, a transfery zaplanowaliśmy tak, by nie wpływać na pasmo dla sterowników. Przywracanie stało się elastyczne: od całych VM i serwerów fizycznych, przez pojedyncze bazy, aż po pliki czy pojedyncze obiekty w ERP.

Automatyzacja i runbooki: od kliknięcia do produkcji

Sama kopia nie skróci RTO, jeśli brakuje procedury. Dlatego powstały runbooki z kolejnością przywracania systemów i gotowe plany awaryjne dla różnych scenariuszy (awaria sprzętu, błąd aktualizacji, incydent bezpieczeństwa). Najważniejsze usługi oznaczyliśmy jako „tier 1”, co pozwoliło podnosić je w trybie instant recovery. Co miesiąc przeprowadzamy automatyczne testy DR w odizolowanej sieci, aby potwierdzić, że kopie uruchamiają się poprawnie i spełniają wymagania RTO/RPO.

Odporność na ransomware: bezpieczeństwo kopii to podstawa

Kluczowe elementy to repozytoria niezmienialne, MFA dla administracji, separacja ról oraz tzw. hardened repo niedostępne z poziomu standardowych kont domenowych. Dodatkowo włączyliśmy analitykę anomalii, która ostrzega o nietypowych wzorcach zmian, a więc pomaga wykryć incydent na wczesnym etapie. W efekcie nawet jeśli produkcja zostanie zaszyfrowana, czyste kopie pozostają nienaruszone.

Efekty: RTO krótsze o 60% i stabilne RPO

Po zakończeniu wdrożenia przetestowaliśmy pełny scenariusz odtworzeniowy. Czas przywrócenia krytycznych systemów spadł o ~60%. W liczbach oznacza to przejście z ok. 10 godzin do 4 godzin dla kluczowych usług. Jednocześnie RPO dla ERP i baz danych ustabilizowało się na poziomie 15 minut, a dla pozostałych systemów – w typowym zakresie od 30 do 60 minut. Co ważne, testy DR stały się rutyną, a raporty z odtworzeń są czytelne dla audytorów i działu produkcji.

Organizacja i harmonogram: bez zatrzymywania linii

Projekt podzieliliśmy na krótkie etapy, aby nie ingerować w rytm produkcji. Najpierw przygotowaliśmy środowisko docelowe i polityki backupu. Następnie przenieśliśmy obciążenia do nowych repozytoriów i włączyliśmy replikację off-site. Na końcu dopracowaliśmy runbooki i przeszkoliliśmy zespół. Dzięki takiej kolejności wdrożenie nie wymagało przestojów, a użytkownicy odczuli jedynie poprawę szybkości odtwarzania.

Zgodność i audyt: przygotowanie na kontrole

Nowa polityka backupu wspiera wymagania formalne, w tym rozdzielenie ról, dowody testów odtworzeniowych, rejestry zmian oraz raporty integralności kopii. Dla działu bezpieczeństwa to konkretne dokumenty, a dla kierownictwa – jasne wskaźniki: RTO, RPO i liczba udanych testów DR w kwartale.

Podsumowanie: od „mamy kopie” do „wracamy do pracy”

Największą różnicę zrobiło połączenie trzech elementów: architektury 3-2-1-1-0, automatyzacji odtworzeń oraz regularnych testów. Dzięki nim backup przestał być kosztem, a stał się narzędziem utrzymania ciągłości. W efekcie zakład skrócił czas odtworzenia danych o 60%, zyskał odporność na ransomware i otrzymał procedury, które można powtarzać przy każdej zmianie w systemach.