Når Henrik Lind taler om databeskyttelse, gør han det som fortaler for en nødvendig ændring i måden, virksomheder tænker beredskab på.

Som medstifter har han siden 2003 stået i spidsen for den danske virksomhed B4Restore, der arbejder for at gøre restore assurance til en ny standard – hvor virksomheder ikke kun er forsikrede, men beviseligt i stand til at gendanne driften, når alt går galt.

Mange virksomheder anvender en kombination af cloud-services, outsourcing, hybrid infrastruktur, hvor ensartet backup og løbende, realistisk test af beredskabsplaner er vanskelig.

”De fleste virksomheder har en backup. Men få har testet, om de faktisk kan bruge den, når det virkelig gælder,” siger han. B4Restore leverer en Data Protection as a Service, hvor beredskabstest og gendannelsesøvelser er inkluderet. Servicen er udviklet og tilpasset virksomheder med høje krav til compliance, sikkerhed og gennemsigtighed.

Senest er B4Restore valgt som leverandør til det internationale forskningsprojekt ITER, med base i Frankrig, hvor 35 nationer samarbejder i jagten på bæredygtig fusionsenergi. Projektets skala er enorm og datamængderne estimeres til op mod 5 exabyte i projektets levetid. B4Restores opgave består i at sikre at disse data altid er beskyttet, tilgængelige og pålidelige – baseret på de højeste internationale standarder, herunder krav om løbende beredskabstest.

**Gendannelse først: Test og stresstest, før angrebet rammer ** I dag følger de fleste organisationer en klassisk reaktionskæde, når uheldet er ude:

Først ringer man til sin incident response-partner, der isolerer systemerne, analyserer og dokumenterer bruddet – og først derefter forsøger man at få forretningen op at køre igen.

Ifølge Henrik Lind er det her, mange mister dyrebar tid – og i værste fald opdager, at også backup-data er kompromitteret. ”I den traditionelle model ligger den største risiko sidst i processen. Først dér opdager man, at backup’en muligvis også er ramt,” siger han.

B4Restore bygger hele sin tilgang på princippet om ”restore-assurance-first” – hvor genopretningen prioriteres fra start, og driften kan genetableres, mens analyserne stadig er i gang. På den måde bliver gendannelse ikke en tilfældig succes, men en kontrolleret proces.

”Det handler om at vende rækkefølgen: Kom op at køre først, og find årsagen bagefter. For hver time, du står stille, taber du forretning, kunder og tillid,” siger Henrik Lind.

“Kernen i løsningen er det såkaldte Isolated Recovery Environment (IRE) – et digitalt “Cleanroom”, hvor backup-data opbevares og gendannes adskilt fra virksomhedens netværk”. – Henrik Lind, CEO og medstifter af B4Restore A/S

Et beredskab, der kan bevises Kernen i løsningen er det såkaldte Isolated Recovery Environment (IRE) – et digitalt “Cleanroom”, hvor backup-data opbevares og gendannes adskilt fra virksomhedens netværk. Her testes gendannelsen løbende, og B4Restore kan dokumentere, at virksomhedens beredskabsplan fungerer.

”Vi kører øvelser løbende sammen med kunderne, så vi ved, at deres vigtigste systemer kan genopbygges. Det betyder, at ledelsen kan se på et dashboard: Ja, vi kan komme i luften igen. Det er ikke et håb – det er dokumenteret,” forklarer Henrik Lind.

For mange virksomheder betyder det, at de for første gang kan vise deres bestyrelse og forsikringsselskab, at de lever op til kravene i fx NIS2 og DORA – i praksis. Branchen skal følge med og stille krav om testet gendannelseskapacitet – med dokumentation fra faktiske beredskabsøvelser. Det er en udvikling, der også begynder at påvirke forsikringsbranchen, hvor selskaber i stigende grad bør stille krav om testet gendannelseskapacitet, før de tegner dækning.

Ressourcemangel driver behovet for nye løsninger Mens cybertruslerne vokser, bliver it-kompetencerne mere knappe. At opbygge og vedligeholde et internt backup- og restore-setup kræver både teknisk specialviden, compliance-indsigt og en adskillelse af roller, som de færreste kan leve op til.

”Der bliver ikke uddannet mange til at arbejde med backup og recovery. Det er sjældent en førsteprioritet,” siger Henrik Lind og tilføjer:

”IT-teams ender ofte med få eller samme ressourcer på produktion og backup – og så er virksomheden sårbar ved sygdom, spidsbelastninger og jobskifte.”

Funktionsadskillelse: Den glemte forudsætning for effektiv databeskyttelse Funktionsadskillelse (Separation of Duties) kombineret med air-gapped backup er en integreret del af B4Restores leverance. Backup-data opbevares med fysisk, logisk og teknologisk adskillelse fra virksomhedens produktionsmiljø og IT-medarbejdere. Det sikrer den mest effektive beskyttelse mod ransomware, insider threats og datakorruption. Dermed slipper virksomhederne for både at opbygge kritisk masse og for at vedligeholde tunge compliance-processer selv.

Separation of Duties er ikke en teknisk detalje, men et strategisk ledelsesansvar. Ved at adskille roller og adgang mellem drift og backup sikrer ledelsen, at ingen enkeltperson eller system kan kompromittere både produktion og gendannelse.

Europæiske datacentre og gennemsigtighed Et andet bevidst valg er, at alle data håndteres i EU-baserede Tier-3-datacentre. For B4Restore handler det både om datasuverænitet og tillid.

“Valget af EU-baserede datacentre handler om datasuverænitet og kontrol – kunderne skal være sikre på, at data ikke kan flyde til uvedkommende myndigheder eller tredjeparter. Derfor holder vi os konsekvent til europæiske datacentre,” siger Henrik Lind.

Samtidig har B4Restore droppet den klassiske model med store investeringer i hardware og software. Kunderne betaler kun for den kapacitet, de bruger. Det giver forudsigelig økonomi – og mulighed for at skalere både op og ned, fra måned til måned.

Mod en ny standard for cyber-resilience Henrik Lind tror, at fremtidens digitale robusthed bliver målt på noget helt konkret: hvor hurtigt man kan komme tilbage i drift. Derfor arbejder B4Restore på at gøre restore assurance til en fælles branche-standard – et objektivt mål for gendannelsesparathed, på linje med ISO-certificeringer.

”I dag spørger forsikringsselskaberne til, om man har immutable backup. I morgen vil de kræve bevis for, at man har testet den – at man faktisk kan gendanne,” siger han.

”Vi forsøger at gøre restore assurance til en ny standard, hvor man kan dokumentere sin modstandsdygtighed. For i sidste ende handler det ikke om at undgå angreb, men om at overleve dem – hurtigt, sikkert og kontrolleret. Når først bestyrelser og forsikringsselskaber begynder at efterspørge restore assurance evidens, bliver tiden til stabil drift en konkurrenceparameter.”

Om B4Restore A/S Dansk virksomhed etableret i 2003. B4Restore leverer Data Protection as a Service til offentlige og private kunder samt Managed Service Providers.

• Backup, recovery og business continuity af kritiske systemer og data
• Funktionsadskillelse (fysisk, logisk og teknologisk) og Air-gapped backup
• 24x7 service inkl. overvågning og rapportering samt revisionsspor til compliance
• Regelmæssig test af beredskabsplaner (Business Continuity, IRE, Cleanroom)
• Datalagring på dansk jord i Tier-3 datacentre
• Compliance: ISO 27001/ 22301, ISAE 3402 & 3000 (NIS2/DORA); Kritisk infrastruktur OT/IT