Katastrofegendannelse

Katastrofegendannelse (disaster recovery) er processen med at genoprette IT-systemer, data og infrastruktur efter en alvorlig hændelse. En katastrofegendannelsesplan definerer, hvordan du får dine kritiske systemer op at køre igen med mindst muligt datatab og nedetid.

Tilbage til ordbog

Hvad er katastrofegendannelse?

Katastrofegendannelse handler om at genoprette dine IT-systemer og data, når det værste sker. Det kan være et ransomware-angreb, der krypterer dine servere, en brand i serverrummet, en skyfejl hos din udbyder eller en simpel hardwarefejl, der rammer på det forkerte tidspunkt.

Hvor en beredskabsplan (BCP) dækker hele organisationens evne til at opretholde drift, fokuserer katastrofegendannelse specifikt på IT. De to planer hænger tæt sammen, men katastrofegendannelse er den tekniske del af det samlede beredskab.

Uden en plan for katastrofegendannelse er du afhængig af held og improvisation. Og det er sjældent nok, når presset er størst. En gennemtænkt plan betyder, at dine medarbejdere ved præcis, hvad de skal gøre, hvilke systemer der skal prioriteres, og hvor hurtigt I skal være oppe at køre igen.

RTO og RPO: De to centrale nøgletal

To begreber er helt centrale for katastrofegendannelse:

Recovery Time Objective (RTO) er den maksimale tid, det må tage at genoprette et system efter en hændelse. Hvis dit ERP-system har en RTO på 4 timer, skal det være oppe at køre inden for 4 timer efter nedbruddet.

Recovery Point Objective (RPO) er det maksimale acceptable datatab målt i tid. En RPO på 1 time betyder, at du højst må miste 1 times data. Det stiller krav til, hvor ofte du tager backup.

RTO og RPO fastsættes for hvert kritisk system og bygger på en business impact-analyse, der vurderer konsekvensen af nedetid og datatab. Et kundevendt betalingssystem har typisk strengere krav end et internt dokumentarkiv.

Disse nøgletal styrer dine tekniske valg. En lav RPO kræver hyppig backup eller realtidsreplikering. En lav RTO kræver redundante systemer, der kan overtage med det samme. Begge dele har en pris, og det er en risikovurdering, der afgør, hvad der er proportionelt.

Indhold i en katastrofegendannelsesplan

En god katastrofegendannelsesplan indeholder:

Systemklassificering: En oversigt over alle IT-systemer med deres kritikalitet, RTO og RPO.
Backup-strategi: Hvad der tages backup af, hvor ofte, hvor det opbevares, og hvordan det verificeres. Kryptering af backup er afgørende for at beskytte persondata.
Gendannelsesprocedurer: Trin-for-trin-vejledninger til at genoprette hvert kritisk system.
Roller og ansvar: Hvem aktiverer planen, og hvem udfører gendannelsen?
Kommunikationsplan: Hvem skal informeres, og hvornår? Det gælder både internt og eksternt, herunder eventuel notifikation til tilsynsmyndigheder ved brud på persondata.
Test- og øvelsesplan: Planlagte tests af gendannelsesprocedurerne for at verificere, at de virker.

Planen skal opbevares, så den er tilgængelig, selv når dine normale systemer er nede. Det betyder typisk en kopi offline eller hos en betroet tredjepart.

Regulatoriske krav til katastrofegendannelse

GDPR artikel 32 kræver "evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse". Det er et direkte krav om katastrofegendannelse for systemer, der behandler personoplysninger.

NIS2 stiller krav om forretningskontinuitet, herunder backup-styring og katastrofegendannelse. Væsentlige og vigtige enheder skal have planer på plads og teste dem regelmæssigt.

DORA går endnu længere for finansielle virksomheder med detaljerede krav til IKT-kontinuitetsplaner, gendannelsestests og rapportering til tilsynsmyndigheder.

ISO 27001 adresserer katastrofegendannelse i Annex A med kontroller for informationssikkerhedskontinuitet. Din informationssikkerhedspolitik skal beskrive tilgangen til kontinuitet, og dit ISMS skal sikre, at planerne vedligeholdes og testes.

Uanset hvilke reguleringer du er underlagt, er budskabet det samme: du skal kunne genoprette dine systemer, og du skal kunne bevise det gennem dokumentation og test.

Ofte stillede spørgsmål om katastrofegendannelse

Hvad er forskellen på katastrofegendannelse og en beredskabsplan?

Katastrofegendannelse (disaster recovery) fokuserer specifikt på at genoprette IT-systemer og data efter en hændelse. En beredskabsplan (BCP) er bredere og dækker hele organisationens evne til at opretholde drift, herunder forretningsprocesser, kommunikation og personale.

Hvad er RTO og RPO?

RTO (Recovery Time Objective) er den maksimale tid, det må tage at genoprette et system efter en hændelse. RPO (Recovery Point Objective) er det maksimale acceptable datatab målt i tid, altså hvor langt tilbage din seneste brugbare backup må være.

Hvor ofte skal en katastrofegendannelsesplan testes?

Mindst én gang om året og efter væsentlige ændringer i IT-infrastrukturen. Kritiske systemer bør testes oftere. DORA og NIS2 stiller eksplicitte krav om regelmæssig test af kontinuitetsplaner.

Kræver GDPR en katastrofegendannelsesplan?

GDPR artikel 32 kræver evnen til rettidigt at genoprette tilgængeligheden af personoplysninger efter en hændelse. En katastrofegendannelsesplan er den mest effektive måde at opfylde dette krav på.