Потеря данных

Основные причины потерь данных^[4]:

1. Проблемы с носителями информации или системные ошибки — более 50 %: сбой питания, в результате которого данные из энергозависимой памяти не сохраняются в постоянной памяти; повреждение данных, например, повреждение файловой системы или базы данных.
2. Ошибки по причине человеческого фактора — около 20 %: случайное удаление файла или программы, неправильное размещение физических носителей информации, ошибки администрирования, невозможность чтения неизвестного формата файла.
3. Проблемы с аппаратным или программным обеспечением — около 10 %: аппаратный сбой, например, поломка головки жёсткого диска; сбой или зависание программного обеспечения, в результате чего данные не сохраняются; ошибки программного обеспечения или плохое удобство использования (например, отсутствие подтверждения команды удаления файла).
4. Преступные действия: кража физических носителей, взлом, SQL-инъекция, вирусы, хакерские атаки и т. п.
5. Природные явления: стихийные бедствия, землетрясения, наводнения, торнадо и т. д.
6. Другие причины: пожары; банкротство поставщика программного обеспечения, у которого хранятся данные (программное обеспечение как услуга), а депонирование данных SaaS не предусмотрено; и др.

Статистические исследования показывают, что отказ оборудования и человеческая ошибка являются наиболее распространёнными причинами потери данных, на которые приходится примерно три четверти всех инцидентов^[5].

Другой важной причиной потери данных являются природные катастрофы, риск которых зависит от места расположения оборудования. Хотя вероятность потери данных из-за стихийного бедствия невелика, единственным способом подготовиться к такому событию является хранение резервных копий данных^[4] в отдельном физическом месте. Поэтому лучшие планы резервного копирования всегда предусматривают хранение как минимум одной копии вне основного объекта^[6].

Потеря данных может привести к значительным финансовым убыткам, включая потерю доходов, штрафы за нарушение нормативных требований и затраты на восстановление информации. Потеря клиентских данных или критически важной информации может привести к упущенным бизнес-возможностям и ухудшению репутации компании.

Невозможность доступа к данным может привести к сбоям в операционных процессах, задержкам в предоставлении услуг и нарушению работы.

Стоимость инцидента потери данных напрямую связана с ценностью данных и продолжительностью времени, в течение которого они недоступны, но необходимы. В частности, понятие стоимости для предприятия выходит за рамки финансовых затрат и может включать затраты времени. Для оценки стоимости потерь принимаются во внимание:

• Стоимость продолжения работы без данных;
• Стоимость восстановления данных;
• Стоимость уведомления пользователей в случае компрометации данных.

Для защиты от потери данных рекомендуется^[7]:

• Создавать регулярные резервные копии — позволяет восстановить данные в случае сбоя, атаки вирусов или физического повреждения устройств хранения^[8].
• Шифровать данные — защита конфиденциальной информации от несанкционированного доступа.
• Регулярно обновлять программное обеспечение и системы безопасности — помогает защитить данные от угроз и уязвимостей.
• Обеспечить физическую защиту устройств хранения — например, хранить резервные копии на физических носителях в сейфах или запираемых шкафах, ограничить доступ к помещениям, где хранятся важные данные.

Частоту потери данных и её последствия можно значительно снизить, приняв соответствующие меры предосторожности, которые могут варьироваться в зависимости от типа потери данных. Например, несколько электрических цепей с резервным питанием от батарей и генератора защищают только от перебоев с электропитанием, тогда как использование источника бесперебойного питания (ИБП) может защитить накопитель от резких скачков напряжения. Аналогично, использование журналируемой файловой системы и RAID-массивов защищает только от определённых видов программных и аппаратных сбоев^[9].

Для жёстких дисков, являющихся физическими носителями информации, обеспечение минимальной вибрации и движения помогает предотвратить повреждение внутренних компонентов, так же как и поддержание подходящей температуры диска.

Регулярное резервное копирование данных является важным инструментом для восстановления после потери данных, но оно не предотвращает ошибки пользователей или сбои системы. Поэтому план резервного копирования должен быть разработан и реализован совместно с планом восстановления после аварий, чтобы снизить риски^[10].

Восстановление данных может быть выполнено специализированными коммерческими службами, многие из которых разрабатывают собственные методы восстановления данных с физически повреждённых носителей. Стоимость услуг в лабораториях по восстановлению данных обычно зависит от типа повреждения, типа носителя, а также от необходимых процедур безопасности или работы в чистом помещении.

Повреждение файловой системы может быть исправлено пользователем или системным администратором. Например, удалённый файл обычно не перезаписывается сразу на диске, а чаще всего просто удаляется его запись из индекса файловой системы. В таком случае удаление можно легко отменить.

Успешное восстановление после потери данных обычно требует реализации эффективной стратегии резервного копирования. Без такой стратегии восстановление требует переустановки программ и повторной генерации данных. Даже при наличии эффективной стратегии резервного копирования восстановить систему в том состоянии, в котором она находилась до инцидента потери данных, чрезвычайно сложно. Необходимо найти компромисс между детализацией возможности восстановления и затратами. Более того, сам факт потери данных может быть обнаружен не сразу. Эффективная стратегия резервного копирования также должна учитывать затраты на поддержание способности восстанавливать потерянные данные в течение длительных периодов времени.

Высокоэффективная система резервного копирования должна иметь дублированные копии каждого файла и программы, которые должны быть немедленно доступны при обнаружении инцидента потери данных. Однако в большинстве случаев существует обратная зависимость между ценностью единицы данных и временем, прошедшим до обнаружения её потери. Учитывая это, многие стратегии резервного копирования уменьшают детализацию возможности восстановления по мере увеличения времени с момента возможного инцидента потери данных. Согласно этой логике, восстановление после недавних событий потери данных проще и более полное, чем восстановление после событий, произошедших в более далёком прошлом.

Восстановление также зависит от типа события потери данных. Восстановление одного удалённого файла существенно отличается от восстановления всей системы, уничтоженной в результате катастрофы. Эффективная схема резервного копирования предусматривает некоторую пропорциональность между масштабом потери данных и объёмом усилий, необходимых для восстановления. Например, восстановить один удалённый файл должно быть значительно проще, чем восстанавливать всю систему.

При выборе метода резервного копирования необходимо учитывать несколько факторов. К ним относятся объём данных, которые необходимо резервировать, возможности бюджета и требуемый уровень безопасности. Кроме того, необходимо учитывать, как часто нужно создавать резервные копии данных и нужен ли будет удалённый доступ к ним^[8].

Если происходит потеря данных, успешное восстановление должно гарантировать, что удалённые данные не будут перезаписаны. По этой причине следует избегать операций записи на затронутое устройство хранения (в том числе, нельзя запускать систему, к которой подключено повреждённое устройство). Это связано с тем, что многие операционные системы создают временные файлы при загрузке, которые могут перезаписать области с потерянными данными, делая их восстановление невозможным. Просмотр веб-страниц оказывает такой же эффект — потенциальная перезапись потерянных файлов временными HTML- и графическими файлами, создаваемыми при просмотре страницы. Также следует избегать операций с файлами, таких как копирование, редактирование или удаление.

При обнаружении потери данных рекомендуется:

• выключить компьютер и извлечь проблемный диск из устройства;
• подключить этот диск к второму компьютеру с использованием устройства блокировки записи и попытаться восстановить потерянные данные;
• если есть возможность, создать образ диска, чтобы получить вторичную копию данных. На этом образе можно проводить тесты и попытки восстановления, исключая риск повреждения исходных данных.