Varmuuskopiointistrategiat kriittisille tiedoille: 7 askelta turvalliseen palautukseen Veeamilla

1) Määritä kriittiset tiedot ja palautustavoitteet (RPO/RTO) ennen teknisiä valintoja

Kriittisten tietojen varmuuskopiointistrategia kaatuu usein yhteen asiaan: varmistetaan kyllä “kaikki”, mutta ei tiedetä mitä pitää saada takaisin ensin ja missä ajassa. Kun palautus alkaa, huomataan että tärkeimmät järjestelmät ovat riippuvuuksissa (AD, DNS, ERP, tiedostopalvelut, pilvitiedot), ja palautusjärjestys on epäselvä.

Toimiva malli alkaa liiketoiminnan näkökulmasta:

  • Kriittisyysluokitus: mitkä palvelut pysäyttävät laskutuksen, tuotannon, asiakaspalvelun tai toimitusketjun?
  • RPO (Recovery Point Objective): paljonko tietoa saa hävitä (esim. 15 min, 1 h, 24 h)?
  • RTO (Recovery Time Objective): kuinka nopeasti palvelun pitää olla taas käytössä (esim. 1 h, 4 h, 24 h)?
  • Riippuvuudet: mitä pitää palauttaa ennen mitä (identiteetti, verkko, lisenssit, avaimet, integraatiot)?

Kun RPO/RTO on päätetty, valitaan tekninen toteutus. Käpy A.I. Oy:n toteutuksissa Veeam-varmuuskopiointi toimii perustana, koska se mahdollistaa eritasoiset palautukset (tiedosto, sovellus, virtuaalikone, koko ympäristö) ja joustavan kohdearkkitehtuurin (paikallinen, pilvi, immuuttivarasto).

2) Rakenna 3-2-1-1-0-strategia: kopiot, erillisyys ja palautusvarmuus

Perinteinen 3-2-1 on edelleen hyvä, mutta kriittisille tiedoille se kannattaa päivittää muotoon 3-2-1-1-0:

  • 3 kopiota datasta (tuotanto + kaksi kopiota)
  • 2 eri mediaa tai alustaa (esim. levy + objekti-/pilvitallennus)
  • 1 kopio offsite (fyysisesti tai loogisesti erillään)
  • 1 kopio immutable (ei muokattavissa/poistettavissa tietyn ajan)
  • 0 palautusvirhettä: varmistukset todennetaan ja palautukset testataan

Tässä Veeam Data Platform -malli tuo käytännönläheisen rungon: varmistusjobit, replikointi, kopiointi, retention-hallinta ja kohteiden eriyttäminen voidaan toteuttaa niin, että yksittäinen kiristyshaittaohjelma tai väärä ylläpitotoimi ei pysty tuhoamaan kaikkia palautuspisteitä.

Kun strategia rakennetaan Käpy A.I. Oy:n kanssa, kokonaisuus sidotaan myös käyttöoikeuksien hallintaan. Esimerkiksi Admin By Request auttaa rajaamaan paikallisia admin-oikeuksia ja tekemään oikeuksien korotuksista hallittuja ja auditoitavia. Tämä vähentää riskiä, että hyökkääjä saa työasemalta käsin laajat oikeudet myös varmistusinfraan.

3) Suojaa varmistusketju kiristyshaittaohjelmilta: immuuttisuus, erilliset tunnukset ja segmentointi

Ransomware ei kohdistu vain tuotantodataan, vaan myös varmistuksiin. Siksi “varmuuskopiointi” ja “palautuskyky” ovat eri asioita: palautuskyky syntyy siitä, että varmistuksia ei voida salata tai poistaa hyökkäyksen aikana.

Käytännön kontrollit kriittisille tiedoille:

  • Immutable storage varmistuskopioille (WORM/immutability), jotta varmistuksia ei voi poistaa ennen retention-ajan päättymistä.
  • Erilliset ylläpitotunnukset ja vähimmät oikeudet: varmistusympäristö ei käytä samoja tunnuksia kuin normaali ylläpito.
  • MFA hallintakonsolien ja etäyhteyksien suojaksi.
  • Verkkosegmentointi: varmistuspalvelimet ja repositoriot omassa verkkoalueessaan, minimoidut palomuurisäännöt.

Tässä kohtaa päätepisteiden suojaus on suora osa varmistusstrategiaa. Jos työasemissa tai palvelimissa on aukkoja, hyökkääjä pääsee liikkumaan sivuttaissuunnassa kohti varmistusinfraakin. Heimdal Security tukee kokonaisuutta mm. uhkien torjunnalla ja haavoittuvuuksien hallinnalla, jolloin kiristyshaittaohjelmien tyypilliset sisääntulot (phishing, haitalliset lataukset, vanhentuneet ohjelmistot) saadaan paremmin kiinni ennen kuin varmistusketju on vaarassa.

4) Varmista sovellustason palautettavuus: ei pelkkää VM-imageä

Kriittiset tiedot ovat usein sovelluksissa: tietokannat, ERP, tiedonhallinta, sähköposti tai toiminnanohjaus. Pelkkä virtuaalikoneen image-varmistus voi olla riittämätön, jos tarvitaan nopeaa palautusta yksittäiseen tietokantaan, postilaatikkoon tai tiedostoon, tai jos sovellus edellyttää transaktiokonsistenssia.

Toimiva strategia sisältää:

  • Sovellustietoiset varmistukset (application-aware), jotta tietokannat ja palvelut saadaan konsistentisti talteen.
  • Granulaarinen palautus: palautus yksittäisiin objekteihin ilman koko palvelimen palauttamista.
  • Palautusjärjestys dokumentoituna: mitä palautetaan ensin, jotta palvelu oikeasti käynnistyy ja käyttäjät pääsevät töihin.

Veeamissa tämä tarkoittaa käytännössä sitä, että varmistusjobien asetukset ja sovellusintegraatiot tehdään niin, että palautuspolku on nopea myös kiireessä. Käpy A.I. Oy auttaa mitoittamaan mallin niin, ettei varmistusikkuna kasva hallitsemattomaksi ja että palautus voidaan tehdä hallitusti myös osittain.

5) Automatisoi testipalautukset ja todenna varmistusten laatu säännöllisesti

Monessa organisaatiossa varmistukset “näyttävät vihreää”, mutta palautusta ei ole testattu kuukausiin. Kriittisten tietojen kohdalla tämä on riski, koska epäonnistuminen näkyy vasta silloin kun aika on kaikkein huonoin.

Hyvä käytäntö on sopia selkeä rytmi ja vastuut:

  • Testipalautukset vähintään neljännesvuosittain kriittisimmille järjestelmille (ja muutoksien jälkeen).
  • Palautusmittarit: mitattu RTO/RPO vs tavoite, sekä poikkeamien käsittely.
  • Dokumentoidut runbookit: vaihe vaiheelta -ohjeet (myös poikkeustilanteisiin).

Kun testaus ja todennus tuodaan osaksi jatkuvaa toimintaa, varmistusstrategiasta tulee käytännössä “palautuskykystrategia”. Tämä on myös vaatimustenmukaisuuden näkökulmasta oleellista: hallittu, todennettava ja toistettava prosessi on helpompi perustella sekä johdolle että auditoijille.

6) Hallitse muutoksia ja vaatimuksia: varmistusstrategia osaksi riskienhallintaa

Kriittiset tiedot muuttuvat: uusia järjestelmiä otetaan käyttöön, pilvipalveluita lisätään, integraatioita rakennetaan ja käyttäjäoikeuksia laajennetaan. Jos varmistusstrategia ei elä mukana, syntyy “pimeitä kohtia” – dataa tai palveluita, joita ei varmisteta tai joita ei osata palauttaa.

Toimiva tapa pitää kokonaisuus ajantasaisena on liittää varmistus- ja palautusvaatimukset osaksi tietoturvan ja vaatimusten hallintaa. Digiturvamalli tuo tähän käytännön välineen: vaatimukset, kontrollit, vastuut ja dokumentaatio pysyvät yhdessä paikassa, jolloin varmistusketjun hallinta ei jää yksittäisen henkilön muistin varaan.

Lisäksi muutostenhallinnassa kannattaa sopia periaate: jokainen uusi kriittinen järjestelmä tai integraatio tarvitsee samalla varmistus- ja palautussuunnitelman (sekä testin). Näin varmistus ei ole jälkikäteen tehtävä “pakollinen rasti”, vaan osa käyttöönottoa.

7) Rakenna “minimipalautuspolku” ja harjoittele: kun tilanne on päällä, aikaa ei ole

Kun kriisi osuu kohdalle, paras suunnitelma on se, jota on harjoiteltu. Kriittisten tietojen varmistusstrategiassa kannattaa luoda minimipalautuspolku: mitä palautetaan ensimmäisen 60 minuutin aikana, jotta perustoiminta saadaan käyntiin ja lisäpalautukset voidaan tehdä hallitusti.

Minimipalautuspolku sisältää tyypillisesti:

  • Identiteetti ja kirjautuminen (esim. AD/Azure AD -riippuvuudet)
  • Perusverkko- ja nimipalvelut (DNS/DHCP tarvittaessa)
  • Kriittinen sovellus + tietokanta
  • Tiedostopalvelut tai keskeiset jaetut resurssit
  • Viestintä ja tilannekuva: kuka tekee mitä ja miten tiedotetaan

Teknisesti Veeam mahdollistaa nopeat palautusvaihtoehdot tilanteen mukaan. Tärkeää on kuitenkin se, että päätöksenteko on etukäteen selkeä: mikä on hyväksyttävä palautuspiste, missä järjestyksessä palautetaan ja kuka hyväksyy poikkeamat.

Yhteenveto: kriittisten tietojen varmistus on kokonaisuus, ei yksittäinen varmistusjobi

Kriittisten tietojen suojaaminen vaatii yhtä aikaa selkeät palautustavoitteet, eriytetyn ja suojatun varmistusketjun, sovellustason palautettavuuden sekä säännöllisen testauksen. Kun nämä rakennetaan yhteen, organisaatio pystyy palauttamaan toiminnan hallitusti myös vakavissa häiriöissä ja hyökkäystilanteissa.

Seuraava askel: käy varmistus- ja palautuskyky läpi Käpy A.I. Oy:n kanssa

Jos tavoitteena on varmistaa, että kriittiset tiedot saadaan oikeasti takaisin sovitussa ajassa, aloitetaan lyhyellä nykytilakartoituksella: mitä varmistetaan, minne, millä retentionilla ja miten palautus on testattu. Sen perusteella rakennetaan Veeam-pohjainen varmistus- ja palautusmalli, joka kestää myös ransomware-skenaariot ja tukee vaatimustenmukaisuuden dokumentointia.

Ota yhteyttä ja sovitaan käytännönläheinen läpikäynti varmistusstrategiasta, palautustesteistä ja varmistusketjun suojaamisesta.

Päivitetty: 2026-04-06T22:00:59.104-04:00

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma