Official Blog
Niezmienna kopia zapasowa, czyli dane odporne na zagrożenia
Team Synology Polska
7 lipca 2026

Niezmienna kopia zapasowa, czyli dane odporne na zagrożenia

Nowoczesne ransomware nie ogranicza się już tylko do szyfrowania aktywnych systemów. Coraz częściej najpierw atakuje kopie zapasowe, a dopiero później szyfruje pozostałą część infrastruktury. W niedawnym badaniu firma Sophos wykazała, że 94% ataków ransomware wymierzonych jest najpierw w kopie zapasowe ofiar. To znacznie utrudnia odzyskanie danych i zwiększa prawdopodobieństwo, że ofiara zdecyduje się zapłacić okup.

Rozwiązanie Synology do odzyskiwania danych po awarii utrzymuje niezmienną kopię zapasową, do której atakujący nie mogą uzyskać dostępu, modyfikować jej ani jej usunąć. Pierwszym krokiem do sprawnego odzyskania danych jest świadomość rzeczywistego poziomu ochrony i przygotowania.

 


Małe firmy również są celem cyberataków

Lipiec to Miesiąc Świadomości Ransomware. Jednym z najbardziej ryzykownych założeń, jakie może przyjąć firma, jest przekonanie, że ransomware dotyka tylko większe organizacje. Dane pokazują zupełnie inny obraz.

Ekonomia cyberataków wyraźnie przesunęła się w stronę małych i średnich firm. Często mają one słabsze zabezpieczenia, szybciej decydują się na zapłatę okupu, a dla atakujących stanowią bardziej opłacalny cel niż pojedyncze duże przedsiębiorstwo.

Statystyki nie pozostawiają wątpliwości. W organizacjach tej wielkości zdecydowana większość naruszeń bezpieczeństwa jest dziś związana z ransomware. Odsetek ten jest znacznie wyższy niż w przypadku dużych przedsiębiorstw. Mała firma, która przechowuje dane klientów, dokumentację finansową i systemy produkcyjne na zaledwie kilku serwerach, idealnie wpisuje się w profil celu poszukiwanego przez współczesnych operatorów ransomware. To właśnie takie środowiska coraz częściej stają się obiektem ataków.

Rosnące zagrożenie ransomware

Ransomware działa dziś w zawrotnym tempie. Niektórzy operatorzy potrafią zaszyfrować całą sieć w ciągu zaledwie kilku godzin, zanim zespół IT zdąży skutecznie zareagować. Właśnie dlatego w obliczu tak szybkich ataków kluczowe znaczenie ma nie tylko sama ochrona przed zagrożeniem, ale przede wszystkim możliwość skutecznego odzyskania danych. Gdy zabezpieczenia zawiodą, wszystko sprowadza się do jednego: przywracania. To, czy firma będzie w stanie odtworzyć dane z czystej i niedostępnej dla atakujących kopii zapasowej, decyduje, czy atak stanie się jedynie krótkotrwałym zakłóceniem działania, czy poważnym kryzysem.

Jak ransomware dostaje się do małej firmy

Ransomware spreading through employee devices after syncing to the cloud, requiring immutable backups to restore.

„Microsoft nas zabezpiecza”

Zanim przejdziemy do architektury, warto obalić jedno przekonanie, które po cichu naraża wiele firm na ryzyko. Chodzi o założenie, że Microsoft 365 wykonuje za Ciebie kopie zapasowe danych. Tak nie jest. W modelu współodpowiedzialności Microsoft zabezpiecza infrastrukturę, ale to Ty jesteś właścicielem swoich danych i odpowiadasz za ich ochronę.

Synchronizacja ≠ kopia zapasowa

Ta sama pułapka dotyczy wszystkich usług opartych na synchronizacji. OneDrive, SharePoint, Google Drive i Dropbox to narzędzia do synchronizacji, a nie rozwiązania backupowe. Gdy ransomware zaszyfruje plik znajdujący się w synchronizowanym folderze, zaszyfrowana wersja może zostać przesłana do chmury w ciągu kilku minut. Nadpisuje ona kopię, na której polegałeś. Wbudowane mechanizmy przechowywania poprzednich wersji są ograniczone czasowo, różnią się w zależności od aplikacji, a osoba atakująca posiadająca odpowiednie uprawnienia może je usunąć.

Kluczowe rozróżnienie

Synchronizacja replikuje aktualny stan plików — w tym również zaszyfrowane przez ransomware dane — na wszystkie podłączone urządzenia i kopie w chmurze. Backup utrzymuje niezależne, wersjonowane kopie, których synchronizacja nie jest w stanie nadpisać. Tylko takie podejście pozwala przetrwać atak.

Active Backup for Microsoft 365 pozwala wypełnić tę lukę. Utrzymuje niezależną kopię danych z usług Exchange, OneDrive, SharePoint i Teams poza platformą Microsoft 365. Niezmienne migawki dodatkowo chronią te kopie zapasowe.

Nie wiesz, gdzie znajdują się luki w Twoim środowisku? Ransomware Resilience Challenge przeprowadzi Cię przez ocenę bezpieczeństwa w formie punktowanego audytu, który zajmuje zaledwie kilka minut.

Rozwiązanie Synology do ochrony niezmiennych kopii zapasowych


Rzeczywista ochrona backupu przed ransomware opiera się na dwóch kluczowych aspektach: zakresie danych objętych kopią zapasową oraz tym, czy ransomware może uzyskać do niej dostęp. Wiele firm nie spełnia jednego lub obu tych warunków. Architektura Synology odpowiada na oba wyzwania w ramach jednej platformy, bez licencji zależnych od liczby użytkowników lub chronionych obciążeń.

On-prem

Active Backup for Business

Twórz kopie zapasowe serwerów fizycznych i wirtualnych, komputerów PC oraz udziałów NAS.

Dowiedz się więcej →
SaaS

Active Backup for Microsoft 365

Twórz kopie zapasowe danych z Exchange, OneDrive, SharePoint i Teams.

Dowiedz się więcej →
Niezmienność lokalna

Snapshot Replication

Planuj tworzenie niezmiennych migawek ważnych folderów i jednostek LUN.

Dowiedz się więcej →
Poza lokalizacją

Hyper Backup

Przesyła kopię zapasową poza lokalną infrastrukturę na drugi serwer NAS, nośnik zewnętrzny lub do chmury.

Dowiedz się więcej →
SaaS

Active Backup for Google Workspace

Twórz kopie zapasowe danych z My Drive, Dysku zespołu, Gmaila, Kontaktów i Kalendarza.

Dowiedz się więcej →
Niezmienność w chmurze

C2 OneStorage

Chroń kopie zapasowe w chmurze dzięki niezmiennemu blokowaniu obiektów.

Dowiedz się więcej →

Najmocniejszy argument Synology w walce z ransomware opiera się na współpracy dwóch rozwiązań. Active Backup for Business odpowiada na pierwsze kluczowe pytanie: czy kopia zapasowa obejmuje wszystkie dane? Rozwiązanie chroni komputery PC, serwery fizyczne oraz maszyny wirtualne z poziomu jednej konsoli, bez dodatkowych opłat licencyjnych w ramach DSM. Eliminuje tym samym luki, które ransomware najchętniej wykorzystuje — niezabezpieczony laptop czy zapomnianą maszynę wirtualną.

Snapshot Replication odpowiada na drugie, trudniejsze pytanie: czy kopia zapasowa przetrwa atak? Rozwiązanie tworzy niezmienną kopię zapasową — migawki WORM typu point-in-time na wolumenach Btrfs. Po ustawieniu okresu ochrony nikt nie może usunąć tych migawek przez cały czas jego trwania. Dotyczy to również administratora lub przejętego konta administratora.

Dlaczego niezmienne kopie zapasowe mają kluczowe znaczenie

Badanie Sophos State of Ransomware 2024 wykazało, że 94% ataków ransomware obejmowało próby naruszenia kopii zapasowych ofiary. W 57% przypadków próby te zakończyły się powodzeniem. Koszty takiego scenariusza są bardzo wysokie. Organizacje ponoszą koszty odzyskiwania danych średnio około ośmiokrotnie wyższe, gdy atakujący zdołają przejąć ich kopie zapasowe, niż w sytuacji, gdy kopie pozostaną nienaruszone. Niezmienne kopie zapasowe zapewniają punkt przywracania, do którego ransomware nie jest w stanie uzyskać dostępu.

Snapshot Replication dodatkowo kopiuje te niezmienne migawki do drugiego systemu Synology. Dzięki temu firma posiada czystą, zablokowaną kopię na osobnym sprzęcie, umożliwiającą szybkie odzyskiwanie danych. Harmonogramy można konfigurować z dokładnością do pojedynczych minut, a proces przywracania odbywa się z poziomu interfejsu webowego DSM.

Należy pamiętać, że niezmienne migawki wymagają modelu Synology obsługującego technologię WORM, dlatego wybór odpowiedniego urządzenia ma kluczowe znaczenie podczas projektowania architektury.

Niezmienna kopia zapasowa, która obejmuje wszystkie dane i przetrwa każdy atak, daje największą szansę na odzyskanie danych bez konieczności płacenia okupu.

Zgodnie ze złotą zasadą tworzenia kopii zapasowych

Lokalne niezmienne kopie pomagają chronić przed większością scenariuszy związanych z ransomware. Kompletna architektura idzie jednak o krok dalej, stosując zasadę 3-2-1-1-0: trzy kopie danych na dwóch różnych typach nośników. Jedna kopia znajduje się poza lokalną infrastrukturą, jedna pozostaje niezmienna lub offline, a przeprowadzony test odtwarzania potwierdza brak błędów.

Kopia przechowywana poza lokalizacją chroni przed awariami całej lokalizacji oraz atakami wymierzonymi w infrastrukturę firmy. To właśnie niezmienna kopia pozwala przetrwać sytuację, w której atakujący uzyska dostęp do sieci. Synology oferuje dwa uzupełniające się rozwiązania.


Hyper Backup tworzy wersjonowane, deduplikowane i szyfrowane kopie zapasowe. Obsługiwane lokalizacje docelowe obejmują dyski zewnętrzne, zdalny serwer Synology NAS, serwery rsync oraz własną chmurę Synology. Rozwiązanie przechowuje pełną historię wersji, dzięki czemu można przywrócić dane z dowolnego wcześniejszego punktu w czasie, a nie tylko z najnowszej kopii.

Dodanie niezmiennej kopii zapasowej w chmurze Synology C2

Synology C2 zapewnia warstwę przechowywania poza lokalną infrastrukturą bez konieczności posiadania drugiej fizycznej lokalizacji. C2 Storage to pojedyncza pula przestrzeni w chmurze, która może pełnić funkcję lokalizacji docelowej dla Hyper Backup. Jest odseparowana od Twojej sieci i poświadczeń dostępowych, dzięki czemu ransomware działające w środowisku lokalnym nie może uzyskać do niej dostępu.

W tym modelu niezmienna kopia może występować na dwóch poziomach. Na serwerze NAS Snapshot Replication zapewnia niezmienność repozytoriów backupu w standardzie WORM na obsługiwanych modelach. Obejmuje to dane ze stacji roboczych, serwerów, maszyn wirtualnych oraz usług SaaS chronionych przez Active Backup.

W chmurze C2 Object Lock zapewnia niezmienność kopii obiektów przechowywanej poza lokalną infrastrukturą przez określony przez użytkownika okres retencji. Nikt nie może jej modyfikować ani usuwać, nawet posiadając uprawnienia administratora.

Ostatnim elementem zasady 3-2-1-1-0 jest zero, czyli przetestowane odtwarzanie danych. Potwierdza ono, że kopia rzeczywiście może zostać poprawnie przywrócona i jest wolna od błędów, zamiast zakładać, że tak będzie.

Backup 3-2-1 z niezmiennością

  • Kopia 1: Dane produkcyjne oraz niezmienne migawki Snapshot Replication na głównym serwerze backupu.
  • Kopia 2: Tworzenie niezmiennych kopii zapasowych poprzez przechowywanie migawek na drugim serwerze Synology NAS.
  • Kopia 3: Tworzenie niezmiennej kopii zapasowej poza siecią dzięki C2 OneStorage.
  • Odtwarzanie: W efekcie otrzymujesz niezmienne kopie przechowywane lokalnie oraz w chmurze.
  • Zero błędów: Przeprowadź symulację odtwarzania lokalnie za pomocą Virtual Machine Manager lub zdalnie przy użyciu C2 OneStorage.

Wczesne wykrywanie: Active Insight

Zakres ochrony i niezmienność zabezpieczają Twoje dane. Active Insight dodaje warstwę ochrony odpowiadającą za inny etap cyklu życia ransomware: wczesne wykrywanie zagrożeń. Usługa jest dostępna w modelu subskrypcji per host i obejmuje monitorowanie aktywności plików.

Active Insight to oparta na chmurze usługa monitorowania firmy Synology. Funkcja monitorowania aktywności plików śledzi w czasie rzeczywistym wzorce dostępu, tempo modyfikacji oraz typy operacji wykonywanych na plikach w systemach Synology. Jeden scentralizowany widok umożliwia skalowanie monitorowania na wiele lokalizacji.

Jak działa wykrywanie podczas ataku

Podczas ataku ransomware wzorce aktywności plików stają się wysoce anomalne. Pojedynczy proces może modyfikować tysiące plików na minutę, rozszerzenia plików mogą masowo ulegać zmianie, a znaczniki czasu modyfikacji skupiają się w bardzo krótkim przedziale. Active Insight wykrywa takie wzorce i zazwyczaj w ciągu kilku minut od rozpoczęcia ataku powiadamia administratorów. Daje to zespołowi czas na reakcję, zanim proces szyfrowania obejmie całą infrastrukturę.

W obsługiwanych systemach rozwiązanie może pójść o krok dalej. W momencie wykrycia takiej aktywności automatycznie tworzy niezmienną migawkę, zachowując czystą kopię danych na czas prowadzenia działań przez zespół IT.

Dla niewielkiego zespołu IT lub osoby odpowiedzialnej za operacje, która domyślnie pełni również rolę administratora IT, taki alert ma ogromne znaczenie. To różnica między wykryciem incydentu w trakcie jego trwania a odkryciem go dopiero następnego dnia rano.

Natychmiastowe powiadomienie o masowej modyfikacji plików jest sygnałem, że należy odizolować zaatakowany system, zanim utracone zostanie więcej danych.

Monitorowanie aktywności w czasie rzeczywistym

Active Insight to narzędzie do wykrywania zagrożeń i wysyłania alertów. Po wykryciu zachowania charakterystycznego dla ransomware może również automatycznie wyzwolić utworzenie niezmiennej migawki jako dodatkowego zabezpieczenia. Tworzy ona czystą kopię określonego punktu w czasie dla zaatakowanych folderów współdzielonych. Ta funkcja wymaga rozwiązania Snapshot Replication oraz modelu obsługującego WORM i umożliwia utworzenie tylko jednej migawki na folder współdzielony dziennie. Jest to mechanizm awaryjny, a nie zamiennik szybkiej reakcji człowieka. To, jak szybko zespół zareaguje na alert i odizoluje zaatakowane urządzenie, decyduje o ilości danych, które uda się ochronić. Skonfiguruj powiadomienia push, aby właściwe osoby otrzymywały alerty we właściwym czasie. Dowiedz się więcej

Odzyskiwanie danych nie powinno zaczynać się od płacenia okupu

Gdy systemy przestają działać, a firma zostaje sparaliżowana, zapłacenie okupu może wydawać się najszybszą drogą do odzyskania sprawności. Dane pokazują jednak, że w rzeczywistości rzadko tak się dzieje. Duża część ofiar, które płacą okup, nie odzyskuje w pełni swoich danych. Większość z nich zostaje ponownie zaatakowana w ciągu roku. Zapłacenie okupu jest dla atakujących sygnałem, że firma ma zarówno możliwości, jak i skłonność do płacenia, co czyni ją atrakcyjnym celem kolejnych kampanii.

Przeprowadź symulację odzyskiwania danych po ataku ransomware z niezmiennej kopii zapasowej

Jedyną niezawodną odpowiedzią jest możliwość odzyskania danych na własnych warunkach, a proces odzyskiwania danych Synology został zaprojektowany właśnie z myślą o takim scenariuszu. Dane można przywrócić z niezmiennej migawki lub lokalizacji docelowej Hyper Backup za pomocą prowadzonego procesu krok po kroku.

Virtual Machine Manager umożliwia nawet uruchomienie kopii zapasowej serwera lub maszyny wirtualnej w celu zweryfikowania poprawności odtworzenia przed jego pełnym wdrożeniem.

Odtworzenie danych z najnowszej niezmiennej migawki może zostać przeprowadzone szybko w przypadku większości wolumenów danych biznesowych. Przywracanie danych z C2 zależy od ilości danych oraz szybkości połączenia, jednak po rozpoczęciu procesu system automatyzuje jego przebieg.

W obu przypadkach odzyskanie danych nie zależy od negocjacji z cyberprzestępcami ani od tego, czy atakujący dotrzymają swoich obietnic..

Ransomware recovery with immutable backups
Przywracaj niezmienne kopie zapasowe z chmury za pośrednictwem C2 OneStorage lub z serwera Synology NAS przy użyciu Snapshot Replication.

Jedna platforma do niezmiennego backupu bez opłat za liczbę użytkowników

Architektura opisana w tym artykule działa na aktualnej biznesowej linii urządzeń NAS firmy Synology. Istotną częścią tej historii są również koszty. Konkurencyjne rozwiązania, takie jak Veeam i Acronis, naliczają opłaty za maszynę wirtualną, użytkownika lub chronione obciążenie. Synology udostępnia pakiet Active Backup Suite wraz z systemem DSM bez dodatkowych kosztów licencyjnych.

W przypadku typowej firmy chroniącej dziesiątki komputerów, kilka maszyn wirtualnych oraz skrzynki pocztowe, ta różnica szybko się powiększa. W perspektywie trzech lat przekłada się na istotną przewagę w całkowitym koszcie posiadania (TCO) na korzyść Synology.

Niektóre organizacje oczekują, że taka ochrona będzie dostępna od pierwszego dnia, bez konieczności samodzielnego konfigurowania wielu elementów. Urządzenie ActiveProtect zapewnia ten sam efekt w jednej, wstępnie skonfigurowanej jednostce.

Przeprowadź audyt swojego planu odzyskiwania po awarii


Podejmij wyzwanie Ransomware Resilience Challenge i oceń swoją gotowość w czterech obszarach: zakresu ochrony, niezmienności kopii, zabezpieczenia poza lokalną infrastrukturą oraz kultury bezpieczeństwa. Masz pytania dotyczące swojej konfiguracji? Chętnie pomożemy.

 

 

Najczęściej zadawane pytania

Czy ransomware może usunąć lub zaszyfrować moje kopie zapasowe?

Może uzyskać dostęp do większości kopii zapasowych — i właśnie to stanowi problem. Obecnie zdecydowana większość ataków ransomware wymierzona jest w repozytoria kopii zapasowych, a w wielu przypadkach atakującym udaje się je naruszyć. Kopia zapasowa, którą cyberprzestępca może usunąć, nie zapewnia skutecznej ochrony.

Wyjątkiem są niezmienne kopie zapasowe. Niezmienne migawki Snapshot Replication firmy Synology tworzą kopie w standardzie WORM, których nikt nie może modyfikować ani usuwać — nawet przy wykorzystaniu skradzionych danych administratora. Ochrona ta obowiązuje przez ustawiony przez użytkownika okres retencji.

Czy Microsoft 365 obejmuje niezmienne kopie zapasowe?

Nie. Zgodnie z własnym modelem współodpowiedzialności firmy Microsoft to użytkownik jest właścicielem swoich danych w Microsoft 365 i odpowiada za ich zabezpieczenie oraz tworzenie kopii zapasowych. Wbudowane mechanizmy retencji są ograniczone czasowo, a jeśli ransomware zaszyfruje dane w OneDrive lub SharePoint za pośrednictwem synchronizacji, nie będzie możliwości ich przywrócenia.

Active Backup for Microsoft 365 przechowuje niezależną kopię danych poza środowiskiem Microsoft 365, obejmującą Exchange, OneDrive, SharePoint i Teams. Dzięki temu możliwe jest odzyskanie danych niezależnie od tego, co wydarzy się w dzierżawie Microsoft 365.

Jak chronić kopie zapasowe przed ransomware?

Ochrona kopii zapasowych przed ransomware sprowadza się do dwóch kluczowych elementów: zakresu ochrony i niezmienności. Kopia zapasowa musi obejmować wszystkie obciążenia — komputery, serwery, maszyny wirtualne i usługi SaaS — bez luk, które ransomware mogłoby wykorzystać. Musi również przetrwać sam atak.

Active Backup for Business zapewnia kompleksową ochronę bez dodatkowych kosztów licencyjnych w ramach DSM. Snapshot Replication zamienia te kopie w niezmienne kopie WORM, których ransomware nie może fizycznie usunąć ani zaszyfrować.

Niezmienna kopia zapasowa, która obejmuje wszystkie dane i przetrwa każdy atak, daje największą szansę na odzyskanie danych bez konieczności płacenia okupu.

Czym jest Synology C2 i jak Object Lock chroni kopie zapasowe?

Synology C2 to własna chmura firmy Synology. C2 OneStorage to pojedyncza pula przestrzeni w chmurze, która może pełnić funkcję lokalizacji docelowej dla kopii zapasowych tworzonych za pomocą Hyper Backup. Jest odseparowana od Twojej sieci i danych uwierzytelniających, dzięki czemu ransomware działające w środowisku lokalnym nie może uzyskać do niej dostępu.

Aby zapewnić rzeczywistą niezmienność danych w chmurze, Object Lock uniemożliwia modyfikowanie lub usuwanie obiektów kopii zapasowych przez określony przez użytkownika okres ochrony. Dotyczy to również osób posiadających uprawnienia administratora.

C2 może również bezpośrednio tworzyć kopie zapasowe punktów końcowych z systemem Windows oraz danych SaaS w chmurze, bez konieczności posiadania serwera NAS.

Jak wygląda model licencjonowania Synology w porównaniu z Veeam lub Acronis?

Veeam i Acronis zazwyczaj naliczają opłaty za maszynę wirtualną, użytkownika lub chronione obciążenie, dlatego koszty rosną wraz ze skalą środowiska. Synology udostępnia pakiet Active Backup Suite — obejmujący komputery PC, serwery, maszyny wirtualne oraz Microsoft 365 — wraz z systemem DSM bez dodatkowych opłat licencyjnych.

W przypadku typowej firmy chroniącej dziesiątki urządzeń końcowych, kilka maszyn wirtualnych oraz skrzynki pocztowe, różnica ta szybko nabiera znaczenia. W perspektywie trzech lat przekłada się to na istotną przewagę w całkowitym koszcie posiadania (TCO).

Dokładne wartości zależą od specyfiki danego środowiska — Ransomware Resilience Challenge pomaga przeanalizować aktualną sytuację i określić potrzeby. W razie pytań zawsze chętnie pomożemy.