Σχέδιο ανάκαμψης από καταστροφές

Το Σχέδιο Ανάκαμψης από Καταστροφές (Disaster Recovery Plan) είναι το έγγραφο που αναφέρεται στα μέτρα προστασίας, ανάκαμψης και αποκατάστασης πληροφοριακών συστημάτων και τεχνολογικών υποδομών σε περιπτώσεις έκτακτης ανάγκης, όπως φυσικές καταστροφές, εξωτερικές επιθέσεις/εισβολές, κ.λπ.

Το σχέδιο αυτό είναι απαραίτητο για την αποτύπωση των διαδικασιών και των τεχνικών μέτρων που πρέπει να εφαρμόσει ο φορέας για την προστασία των προσωπικών δεδομένων σε περίπτωση κάποιου έκτακτου περιστατικού, όπως φυσικές καταστροφές (π.χ. σεισμός, πυρκαγιά, πλημμύρα) ή μεγάλης εμβέλειας περιστατικά ασφάλειας (π.χ. καταστροφή από ιομορφικό λογισμικό). Ως εκ τούτου, συμπληρώνει το σχέδιο ασφάλειας (ή αποτελεί μέρος του) ενώ ουσιαστικά αποτελεί τμήμα των ευρύτερου σχεδίου έκτακτης ανάγκης που μπορεί να εφαρμόζει ένας φορέας. Οι διαδικασίες αυτές θα πρέπει να προβλέπουν σενάρια διακοπής της επιχειρησιακής λειτουργίας του οργανισμού και τον τρόπο ανάκαμψης/συνέχισης αυτής. Ο φορέας θα πρέπει να διαθέτει εναλλακτικές εγκαταστάσεις και εξοπλισμό, στα πλαίσια του σχεδίου ανάκαμψης από καταστροφές, προκειμένου να διατηρήσει την επιχειρησιακή του λειτουργία σε περίπτωση καταστροφής.

Επίσης, το σχέδιο αυτό πρέπει να ελέγχεται περιοδικά προκειμένου να διαπιστώνεται η αποτελεσματικότητα των μεθόδων ανάκαμψης. Οι έλεγχοι πρέπει να καλύπτουν όλο το εύρος, τις διαδικασίες και τα δεδομένα των συστημάτων.

Στο σχέδιο ανάκαμψης από καταστροφές, πρέπει να προβλέπονται μέτρα που στοχεύουν στα ακόλουθα:

  • Ελαχιστοποίηση διακοπών της κανονικής λειτουργίας των συστημάτων,
  • Περιορισμός της έκτασης των ζημιών και καταστροφών και αποφυγή πιθανής κλιμάκωσης αυτών,
  • Δυνατότητα ομαλής υποβάθμισης,
  • Εγκατάσταση εναλλακτικών μέσων λειτουργίας εκ των προτέρων,
  • Εκπαίδευση, εξάσκηση και εξοικείωση του ανθρώπινου δυναμικού με διαδικασίες έκτακτης ανάγκης,
  • Δυνατότητα ταχείας και ομαλής αποκατάστασης της λειτουργίας,
  • Ελαχιστοποίηση των οικονομικών επιπτώσεων.

Το σχέδιο αυτό πρέπει να προσδιορίζει τους πιθανούς κινδύνους και γενικότερα τα κριτήρια που καθορίζουν την κατάσταση ως έκτατη και επιβάλλουν την ενεργοποίησή του. Πρέπει να υπάρχουν σαφείς και γραπτές διαδικασίες που να θέτουν τον φορέα σε κατάσταση έκτακτης ανάγκης και να επιτρέπουν ανάκληση του σχεδίου.

Το σχέδιο ανάκαμψης από καταστροφές πρέπει να προσδιορίζει τις σημαντικές λειτουργίες (critical functions and systems) και τα αντίστοιχα συστήματα του οργανισμού, τη στρατηγική προστασίας τους (protection strategy) και την προτεραιότητα με την οποία θα τεθούν σε εφαρμογή οι δραστηριότητες του φορεά στο εναλλακτικό σύστημα. Επίσης, το σχέδιο πρέπει να περιέχει μια κατάσταση με τα μέλη του προσωπικού που θα κληθούν στην περίπτωση καταστροφής, καθώς και τα τηλέφωνα των προμηθευτών υλικού και λογισμικού, των σημαντικών συνεργατών ή πελατών, των ατόμων που βρίσκονται σε διαφορετικές εγκαταστάσεις που θα χρησιμοποιηθούν από την επιχείρηση για τη συνέχιση της λειτουργίας της. Επίσης, το σχέδιο θα πρέπει να περιέχει διαδικασίες για τον υπολογισμό της ζημιάς από την καταστροφή που συντελέστηκε. Ακόμα θα πρέπει να περιέχει έναν ρεαλιστικό χρονοπρογραμματισμό με σαφή ανάθεση καθηκόντων για την αποκατάσταση της λειτουργίας του οργανισμού.

Το σχέδιο αυτό πραγματεύεται, εκτός των άλλων, την ανάκαμψη της λειτουργίας της υπολογιστικής και επικοινωνιακής υποδομής μετά από φυσικές καταστροφές (φωτιές, πλημμύρες, σεισμούς, κ.λπ.). Για την ταχύτερη δυνατή αντιμετώπιση των έκτακτων περιστάσεων, προτείνεται η τοποθέτηση συναγερμών, οι οποίοι χρησιμοποιούνται τόσο για την ανίχνευση (επικείμενης) ζημιάς λόγω των φαινομένων αυτών, αλλά και για την ανίχνευση εισβολών στα συστήματα.

Αναφορικά με την αντιμετώπιση των έκτακτων καταστάσεων, μπορούν να χρησιμοποιηθούν ειδικές συσκευές φιλτραρίσματος, όπως είναι τα φίλτρα αέρος, που περιορίζουν τις ζημιές από τον καπνό και από άλλα βλαβερά αέρια και τα φίλτρα θορύβου, που ελαττώνουν το άκουσμα εξωτερικών θορύβων. Επίσης, για τους περιβαλλοντικούς ελέγχους υπάρχουν συσκευές ή μέθοδοι που ελέγχουν τη θερμοκρασία, την πίεση, την υγρασία και άλλους περιβαλλοντικούς παράγοντες. Παραδείγματα είναι τα κλιματιστικά, οι ελεγκτές υγρασίας και οι ιονιστές της ατμόσφαιρας.

Για την αντιμετώπιση περιστατικών πυρκαγιάς, μπορεί να τοποθετηθεί ειδικός εξοπλισμός σε ενδεικνυόμενα μέρη. Παραδείγματα αποτελούν οι πυροσβεστήρες, οι ειδικοί αφροί, ειδικά χρηματοκιβώτια για την αποθήκευση σπουδαίων εγγράφων, αντιγράφων ασφαλείας και άλλων σημαντικών αντικειμένων, και οι εγκαταστάσεις αποθήκευσης νερού, οι οποίες έχουν και δυνατότητες άντλησης. Αυτό το τελευταίο είναι πολύ σημαντικό και για την αντιμετώπιση διαρροών νερού.

Όσον αφορά τις εισβολές, για την ανίχνευση και αντιμετώπισή τους μπορούν να χρησιμοποιηθούν ειδικά συστήματα λογισμικού, τα επονομαζόμενα συστήματα ανίχνευσης εισβολών, τα οποία κάνουν χρήση διαφόρων αισθητήρων και δίνουν τακτικές αναφορές στα κέντρα ελέγχου.

Ακόμα, στο σχέδιο αυτό προβλέπεται τρόπος αντιμετώπισης των διακοπών στην παροχή ηλεκτρικού ρεύματος. Για τον λόγο αυτό συνιστάται η χρήση ειδικών γεννητριών, οι οποίες παρέχουν συνεχώς ενέργεια σε ζωτικά τμήματα του εξοπλισμού. Στο σχέδιο ανάκαμψης από καταστροφές περιλαμβάνονται και τα μέτρα για τον έλεγχο της φυσικής πρόσβασης κατά τη διάρκεια της αντιμετώπισης έκτακτων περιστάσεων.

Πρέπει να επισημανθεί, ωστόσο, ότι οι κίνδυνοι αυτού του είδους ελαχιστοποιούνται, αν έχει προηγουμένως καταστρωθεί ένα προσεγμένο σχέδιο ασφάλειας. Το σχέδιο ανάκαμψης από καταστροφές, άλλωστε, έρχεται να συμπληρώσει το σχέδιο ασφάλειας.

Το σχέδιο αυτό αντιμετωπίζει τις περιπτώσεις απώλειας δεδομένων, λογισμικού και υλικού με τη δημιουργία αντιγράφων ασφάλειας, τα οποία φυλάσσονται σε άλλους προστατευόμενους χώρους (κτίρια). Αναφορικά με την αντιμετώπιση της έλλειψης διαθεσιμότητας της υποδομής, διακρίνονται κυρίως δύο τρόποι: cold sites (ή shells) και hot sites. Τα πρώτα είναι, στην ουσία, εγκαταστάσεις όπου υπάρχει παροχή ηλεκτρικής ενέργειας και κλιματισμός. Στις εγκαταστάσεις αυτές θα μπορεί να εγκαθίσταται ένα υπολογιστικό σύστημα, όμοιο ακριβώς με αυτό που λειτουργεί στα κυρίως κτίρια, το οποίο θα μπορεί να τίθεται άμεσα σε λειτουργία, κάθε φορά που κάτι τέτοιο θα κρίνεται απαραίτητο. Τα hot sites, από την άλλη, είναι και αυτά εγκαταστάσεις, στις οποίες όμως υπάρχει ήδη εγκατεστημένο ένα υπολογιστικό σύστημα, το οποίο είναι και ανά πάσα στιγμή έτοιμο για λειτουργία και χρήση. Το σύστημα αυτό διαθέτει περιφερειακά, τηλεπικοινωνιακές γραμμές, γεννήτριες, ακόμα και προσωπικό για να το χειριστεί άμεσα, σε περίπτωση έκτακτης ανάγκης. Για την ενεργοποίηση ενός hot site, αρκεί να φορτωθούν τα δεδομένα και τα αντίγραφα ασφάλειας του γενικού λογισμικού και των εφαρμογών, αντίγραφα των οποίων φυλάσσονται αποθηκευμένα, κατά κανόνα, σε διαφορετικά κτίρια από αυτά που βρίσκονται τα συστήματα κανονικής λειτουργίας του οργανισμού.