> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/nl/verhard-uw-omgeving/readme.md).

# Veilige back-ups implementeren

{% hint style="info" %}
Alle informatie en voorbeelden in dit artikel zijn implementatie-aanbevelingen voor veilige back-ups.

Niets hier is contractueel bindend.
{% endhint %}

Back-ups vormen je laatste verdedigingslinie tijdens ransomware- en destructieve aanvallen.

Het succes van herstel hangt af van de kwaliteit van de back-up, de frequentie, de retentie en het vermogen om snel te herstellen.

### Voorwaarden voor Stoik cyberverzekering

Stoïk cyberverzekering stelt eisen aan back-ups tijdens de acceptatie.

Minimumeis: **minstens één wekelijkse back-up** moet zijn:

* **offline**of
* op **onveranderlijke opslag**

Met een **minimale bewaartermijn van 2 weken**.

Als offline of onveranderlijk niet mogelijk is, is een minder aanbevolen optie een **veilige online back-up**.

Het back-upsysteem blijft verbonden, maar moet voldoen aan **alle** onderstaande vereisten:

* Back-upsysteem is **buiten het AD-domein**
* Back-upsysteem is **gesegmenteerd** (firewall + allowlist-toegang)
* Verwijderen/wijzigen van back-ups is alleen mogelijk via een **webconsole beveiligd met MFA**

Doel: zelfs met een gecompromitteerde domeinbeheerder of cloudbeheerder kan een aanvaller back-ups nog steeds niet wissen.

### Back-uptypen (en wat meetelt)

| Type                                         | Typische voorbeelden                                                       | Waarom dit belangrijk is                                                             | Voldoet aan de eis?                                                            |
| -------------------------------------------- | -------------------------------------------------------------------------- | ------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------ |
| Offline back-ups                             | Externe schijven, USB-media, offline NAS, magneetbanden (LTO/DLT)          | Hoogste bescherming. Niet bereikbaar via het netwerk.                                | <i class="fa-check" style="color:$success;">:check:</i>                        |
| Onveranderlijke online back-ups (cloud)      | AWS S3 Object Lock, Azure onveranderlijke blobs (WORM), Wasabi Object Lock | Online bereikbaar, maar kan niet worden gewijzigd of verwijderd.                     | <i class="fa-check" style="color:$success;">:check:</i>                        |
| Online back-ups (on-prem / datacenter)       | Toegewijde back-upserver met beperkte toegang                              | Kan acceptabel zijn **alleen als** de toegang sterk is geïsoleerd.                   | <i class="fa-check" style="color:$success;">:check:</i> (alleen indien gehard) |
| Niet-onveranderlijke online “opslag” (cloud) | Dropbox, Google Drive, OneDrive zonder WORM                                | Makkelijk te gebruiken, makkelijk te verwijderen als accounts gecompromitteerd zijn. | <i class="fa-xmark" style="color:$danger;">:xmark:</i>                         |
| Lokale back-ups                              | Lokale schijven, bestandskopie op dezelfde server, RAID-mirroring          | Wordt versleuteld of verwijderd samen met de host. Geen herstelplan.                 | <i class="fa-xmark" style="color:$danger;">:xmark:</i>                         |

**“Veilige online back-up”** betekent “bestand tegen een typisch ransomware-aanvalsplan dat probeert alle back-ups te verwijderen”.

### Offline back-upopties

Gebruik rotatie. Houd **minstens één** recente kopie losgekoppeld.

| Optie                        | Hoe dit veilig te doen                                                                                                           |
| ---------------------------- | -------------------------------------------------------------------------------------------------------------------------------- |
| Magneetbanden (LTO/DLT)      | Roteer minstens 2 tapes. Houd altijd 1 tape extern/offline.                                                                      |
| Offline NAS                  | Alleen verbinden voor het back-upvenster. Na de taak loskoppelen. Indien mogelijk meerdere apparaten roteren.                    |
| Externe schijven / USB-media | Alleen verbinden voor het back-upvenster. Na de taak loskoppelen. Bewaren op een afgesloten locatie. Meerdere apparaten roteren. |

### Onveranderlijke back-upopties

#### Cloudgehoste onveranderlijke back-ups

| Leverancier                 | Onveranderlijkheidsfunctie                                                                                 | Handleiding / documentatie                                                                                                                          |
| --------------------------- | ---------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------- |
| AWS                         | [S3 Object Lock](https://aws.amazon.com/s3/features/object-lock/) (en/of Glacier)                          | [Onveranderlijke S3-back-ups](broken://pages/e91203feb753fd9cbbd4059e6c18f7126de2b25b)                                                              |
| Azure                       | [Onveranderlijke blobs (WORM)](https://learn.microsoft.com/azure/storage/blobs/immutable-storage-overview) | [Cloud-back-upoplossingen](broken://pages/f12994cefdd29fc73206e7db1638352cfebafa01)                                                                 |
| Wasabi                      | [S3 Object Lock](https://wasabi.com/cloud-object-storage/s3-object-lock)                                   | [Maak een back-up van je gegevens met Wasabi](broken://pages/91318c978e001183a4d8259413c44fb7e961a179)                                              |
| Acronis Cyber Protect Cloud | Compliance-modus (controleer je plan/versie)                                                               | [Acronis-documentatie 1](https://kb.acronis.com/content/69814), [Acronis-documentatie 2](https://kb.acronis.com/content/71557)                      |
| Scaleway                    | Object Storage (controleer ondersteuning voor Object Lock)                                                 | [Scaleway Object Storage-concepten](https://www.scaleway.com/en/docs/storage/object/concepts/)                                                      |
| OVHcloud                    | Object Lock voor S3 Object Storage                                                                         | [OVHcloud-handleiding](https://help.ovhcloud.com/csm/en-public-cloud-storage-s3-managing-object-lock?id=kb_article_view\&sysparm_article=KB0047399) |
| Fast LTA                    | “Zero Loss Storage”                                                                                        | [Fast LTA-overzicht](https://www.fast-lta.de/en/topic/zero-loss)                                                                                    |

#### Lokaal gehoste onveranderlijke back-ups

| Leverancier / product           | Vereisten                                               | Handleiding / documentatie                                                                                                                                                                                                                        |
| ------------------------------- | ------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Veeam Linux Hardened Repository | Veeam >= 11. Vereist verharding van de repository-host. | [Veeam-referentie](https://cloud.ibm.com/docs/vmwaresolutions?topic=vmwaresolutions-veeam-cr-sa-lhr)                                                                                                                                              |
| Synology                        | DSM >= 7.2. Vereist ondersteunde modellen.              | [Ondersteunde modellen](https://kb.synology.com/DSM/tutorial/which_synology_nas_models_support_WriteOnce_and_secure_snapshots), [Documentatie voor onveranderlijke snapshots](https://kb.synology.com/DSM/tutorial/what_is_an_immutable_snapshot) |
| Dell Data Domain                | Gebruik compliance-modus.                               | [Dell-paper](https://education.dell.com/content/dam/dell-emc/documents/en-us/2020KS_Steen_Immutable_Data_Protection_for_Any_Application.pdf)                                                                                                      |

### Voorbeelden van “onbeveiligde” back-ups

Dit zijn veelvoorkomende patronen die falen wanneer aanvallers beheerdersaccounts overnemen.

| Voorbeeld                                                  | Waarom het faalt                                                                                                    |
| ---------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------- |
| Dropbox / Google Drive / OneDrive / SharePoint (geen WORM) | Een gecompromitteerde beheerder kan gegevens verwijderen en ook prullenbakken / retentie leegmaken.                 |
| “Onveranderlijke” NAS alleen in software geïmplementeerd   | Als het NAS-besturingssysteem wordt gecompromitteerd, kan de aanvaller nog steeds volumes vernietigen.              |
| Uitbesteed datacenter met een permanente netwerkverbinding | Functioneel vergelijkbaar met een online bestandsserver. Ransomware kan via de verbinding versleutelen/verwijderen. |
| Niet-onveranderlijke cloudopslag                           | Als de cloudbeheerder is gecompromitteerd, kan de aanvaller buckets, back-ups en retentieregels verwijderen.        |

### Operationele controles (aanbevolen)

Zelfs met offline/onveranderlijke opslag bepalen operationele controles vaak het succes van herstel:

* **Hersteltests** op een schema (minstens maandelijks voor kritieke systemen).
* Gebruik **aparte back-upbeheerdersaccounts**. Synchroniseer ze niet vanuit AD.
* Dwing **MFA** op back-upconsoles en cloudaccounts.
* Bewaar **back-upreferenties** buiten gebruikersendpoints (geen opgeslagen wachtwoorden in scripts).
* Inschakelen **waarschuwingen** bij mislukte back-uptaken, wijzigingen in retentie en pogingen tot verwijdering.
* Documenteer de herstelhandleiding en bewaar een kopie **offline**.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/nl/verhard-uw-omgeving/readme.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
