Przejdź do treści
Filar II / Reakcja na incydent29.06.2026 · 4 min

Backup to nie wszystko. Dlaczego urząd potrzebuje procedury odtworzenia danych

W wielu urzędach odpowiedź na pytanie o ciągłość działania brzmi: „mamy backup”. Problem w tym, że kopia zapasowa nie jest jeszcze planem odtworzenia.

Backup w urzędzie to za mało. Potrzebna jest procedura odtworzenia

Backup odpowiada na pytanie: czy mamy dane?
Procedura odtworzenia odpowiada na pytania znacznie ważniejsze: co przywracamy najpierw, kto to robi, z jakiego źródła, w jakim czasie i jak sprawdzamy, że system działa poprawnie?

W czasie awarii, ransomware albo błędu administratora nie ma miejsca na szukanie haseł, instrukcji i zależności między systemami. Jeżeli procedura istnieje tylko w głowie jednej osoby, urząd ma pojedynczy punkt awarii.

Największy błąd: brak kolejności odtwarzania

Nie wszystkie systemy w JST mają ten sam priorytet. Inaczej traktuje się system finansowo-księgowy, inaczej elektroniczny obieg dokumentów, inaczej stronę internetową, a jeszcze inaczej systemy używane do świadczeń, podatków lokalnych lub obsługi mieszkańców.

Dlatego procedura odtworzenia powinna określać minimum:

  1. które systemy są krytyczne dla działania jednostki,

  2. jaki jest dopuszczalny czas przerwy,

  3. ile danych urząd może realnie utracić,

  4. kto podejmuje decyzję o uruchomieniu trybu awaryjnego,

  5. jakie są zależności między systemami, bazami danych, kontami i dostawcami.

W praktyce chodzi o dwa parametry: RTO i RPO. RTO określa, jak szybko system ma wrócić do działania. RPO określa, z jakiego momentu dane muszą zostać przywrócone. Bez tych wartości backup jest tylko technicznym zasobem, a nie elementem planu ciągłości działania.

Sam test „czy plik się przywraca” nie wystarczy

Częstym błędem jest sprawdzanie backupu tylko na poziomie pojedynczego pliku. To za mało. Urząd powinien okresowo sprawdzić, czy da się odtworzyć cały system lub przynajmniej jego krytyczną część w odizolowanym środowisku.

Test powinien odpowiedzieć na konkretne pytania:

Czy baza danych startuje poprawnie? Czy aplikacja łączy się z bazą? Czy użytkownik może się zalogować? Czy dane są spójne? Czy dokumentacja techniczna jest aktualna? Czy hasła, konta serwisowe i dostęp dostawcy nadal działają?

Dopiero taki test pokazuje, czy urząd rzeczywiście potrafi wrócić do pracy.

Ransomware zmienia zasady gry

W przypadku ransomware zwykły backup lokalny może nie wystarczyć. Jeżeli kopia jest stale podłączona do środowiska produkcyjnego, działa na tych samych poświadczeniach albo jest dostępna z poziomu przejętego konta administracyjnego, może zostać zaszyfrowana razem z resztą infrastruktury.

Dlatego kopia powinna być odseparowana logicznie lub fizycznie. W praktyce oznacza to m.in. inne poświadczenia, brak stałego mapowania zasobów, kopię poza lokalizacją urzędu oraz mechanizmy niezmienności danych tam, gdzie jest to możliwe.

To nadal nie rozwiązuje całego problemu. Po ataku trzeba najpierw ustalić, czy zagrożenie zostało usunięte. Przywrócenie systemu do nadal zainfekowanego środowiska może skończyć się ponownym zaszyfrowaniem danych.

Procedura musi być dostępna bez sieci

Procedura odtworzenia nie może znajdować się wyłącznie na zaszyfrowanym serwerze, w niedostępnym systemie obiegu dokumentów albo na skrzynce pocztowej administratora.

Minimum operacyjne to papierowa lub offline’owa wersja procedury, dostępna dla wskazanych osób. Powinna zawierać nie tylko opis ogólny, ale też listę systemów, kolejność działań, osoby odpowiedzialne, kontakty do dostawców, lokalizację kopii oraz kryteria potwierdzenia, że system działa po przywróceniu.

To nie musi być dokument na kilkadziesiąt stron. Musi być użyteczny w stresie.

Co powinien zrobić urząd w pierwszej kolejności

Najpierw trzeba rozdzielić trzy obszary: backup, reakcję na incydent i ciągłość działania.

Backup mówi, skąd odzyskujemy dane. Reakcja na incydent mówi, jak klasyfikujemy zdarzenie, kto podejmuje decyzje i jak dokumentujemy przebieg. Ciągłość działania mówi, jak utrzymać lub odtworzyć kluczowe usługi publiczne.

W SamorządIT głównym modułem dla tego obszaru jest M10 – Ciągłość działania IT. Moduł porządkuje BIA, BCP/DR, priorytety usług, RPO/RTO, zależności między systemami i procedury obejściowe. To właściwy punkt dla JST, która ma backup, ale nie ma jeszcze praktycznej ścieżki odtworzenia usług po awarii lub ataku.

Uzupełniająco warto powiązać go z modułem M05 – Podstawy KRI, jeżeli jednostka dopiero porządkuje bazowe wymagania, rejestry i obszar backupu. Przy scenariuszu ransomware istotny jest też M06 – Obsługa incydentów cyberbezpieczeństwa, bo odtworzenie nie powinno zaczynać się przed właściwą klasyfikacją i obsługą incydentu. W bardziej dojrzałym środowisku dochodzi M14 – Monitoring i wykrywanie zagrożeń, aby szybciej wychwycić symptomy awarii lub ataku.

Podsumowanie

Backup jest potrzebny, ale sam w sobie nie daje urzędowi ciągłości działania. Realna odporność zaczyna się dopiero wtedy, gdy jednostka wie, które systemy przywraca jako pierwsze, kto podejmuje decyzje, jakie są czasy odtworzenia i jak potwierdzić, że usługa publiczna rzeczywiście wróciła do działania.

Jeżeli w urzędzie nie ma takiej procedury, to problemem nie jest tylko technologia. Problemem jest brak udokumentowanego sposobu działania w sytuacji, w której każda godzina przestoju ma konsekwencje organizacyjne, prawne i społeczne.