Backup är inte DR – och skillnaden kan kosta er verksamheten

Nästan alla bolag har backup. Det är ett faktum. Men fråga en IT-ansvarig när de senast faktiskt testade återställningen – inte bara körde ett skript och fick en grön bock, utan faktiskt återställde en komplett miljö och verifierade att allt fungerade. Svaret är oftast en pinsam tystnad.

Det finns ett annat, ännu känsligare ämne: disaster recovery-planen. Den som ska rädda verksamheten när det verkligen smäller. Många organisationer har ett dokument som heter ”DR-plan”. Färre har en plan som faktiskt håller under press. Och ännu färre har definierat vad de egentligen lovar sina verksamheter i form av RPO och RTO – de två mätetal som avgör om ni överlever ett haveri eller inte.

Det här inlägget reder ut begreppen. Inte för att vara akademisk, utan för att fel förståelse av skillnaden mellan backup, replikering, disaster recovery och business continuity kan vara exakt det som avgör om ni är igång på måndag morgon – eller inte.

Fyra begrepp som ofta blandas ihop

Backup

Backup är en kopia av data vid en given tidpunkt. Den kopieras till ett separat medium – ett annat lagringssystem, en annan sajt, molnet – och lagras där tills den behövs. En klassisk backup-strategi jobbar med schemalagda jobb: nattliga fullbackuper, inkrementella eller differentiella körningar däremellan.

Det backup inte är, trots vad många tror: en garanti för snabb återställning. En backup är ett arkiv. Att hämta ut något ur ett arkiv tar tid – ibland timmar, ibland dygn beroende på volym och teknik.

Backup svarar på frågan: Kan vi återskapa datan om vi tappar den?

Replikering

Replikering är kontinuerlig eller nästintill realtidskopiering av data till ett annat system eller en annan plats. Till skillnad från backup är replikering inte ett arkiv – det är en spegel. Det innebär att om du råkar radera en fil, krypterar ransomware era filer, eller en applikation skriver korrupt data, speglas den skadan direkt till replikat.

Replikering ensamt skyddar alltså inte mot logiska fel eller mänskliga misstag. Det skyddar mot hårdvarufel och platskatastrofer – men med en viktig skillnad mot backup: ni kan potentiellt växla över till den replikerade miljön på minuter snarare än timmar.

Replikering svarar på frågan: Kan vi snabbt ha en fungerande kopia av miljön på en annan plats?

Disaster Recovery (DR)

DR är helheten – den orkestrerade processen för att återställa IT-miljöer och affärsprocesser efter en störning. Det kan innebära att aktivera ett sekundärt datacenter, failover till molnet, eller en kombination av båda. En DR-plan utan definierade RPO/RTO är i praktiken inte en plan – det är en önskelista.

• RPO – Recovery Point Objective: Hur gammal får den data vara som vi återställer? Accepterar vi att förlora 24 timmar av transaktioner? Fyra timmar? Femton minuter? RPO avgör hur tät er backup- eller replikeringsstrategi behöver vara.
• RTO – Recovery Time Objective: Hur lång tid får det ta att vara igång igen? Tre timmar? Tolv? Tre dygn? RTO avgör hur komplicerad och kostsam er DR-infrastruktur behöver vara. Lägre RTO = högre kostnad.

DR svarar på frågan: Hur snabbt kan vi återupprätta funktionen, och med hur gammal data?

Business Continuity (BC)

Business continuity är det bredaste begreppet och handlar om hur verksamheten fortsätter fungera under och efter ett haveri – inte bara IT-systemen. Det inkluderar reservrutiner för manuell hantering, kommunikationsplaner, alternativa lokaler, personalplanering och kundkommunikation.

En perfekt fungerande DR-plan men utan en BC-plan innebär att IT är igång – men att ingen vet vad de ska göra, vem som ska kommunicera med kunder, eller hur ni hanterar de tre dagarna utan systemstöd.

BC svarar på frågan: Hur håller vi verksamheten igång, oavsett vad som händer?

Tre scenarier som avslöjar var ni faktiskt befinner er

Teori är en sak. Det här är verkligheten.

Scenario 1: Ransomware

Måndag morgon. Medarbetare kan inte logga in. En lösensumma visas på skärmen. Ransomwaret krypterade alla filer på fredag kväll – och speglingen replikerade krypteringen direkt till ert sekundära datacenter.

De organisationer som klarar sig bäst ur ransomware-attacker är inte nödvändigtvis de som har bäst säkerhet. De är de som har förberett återställningsprocessen och vet exakt vad de gör när det händer.

Scenario 2: Hårdvarufel i primärt datacenter

Fredag eftermiddag. En SAN-kontroller fallerar och tar med sig ett kritiskt produktionssystem. Säkerhetskopiorna finns – men det tar sex timmar att återställa systemet från scratch och ytterligare två timmar att verifiera datan.

Åtta timmar är kanske acceptabelt för ett internt HR-system. Det är inte acceptabelt för ett ordersystem som processar miljontals kronor per timme.

Den avgörande frågan är: Har ni definierat olika RTO för olika system? Och är er infrastruktur byggd för att hålla det löftet?

Scenario 3: Brand eller total platsförlust

Ovanligt, men det händer. Brandman stänger av strömmen, sprinklers aktiveras, vattenläcka från plan ovanför – er primära serverlokal är oanvändbar.

Här är backup på en extern disk i skrivbordet irrelevant. Replikering till en annan geografisk sajt avgör allt. Men har ni testat failover-processen? Vet personalen vad de ska göra? Är DNS-poster, licenser och konfigurationer dokumenterade och tillgängliga utanför det datacenter som nu är under vatten?

Vad bör en modern backup-arkitektur innehålla 2026?

Hotbilden har förändrats dramatiskt de senaste fem åren. En modern arkitektur för dataskydd behöver hantera:

3-2-1-1-0-regeln – det nya grundmönstret

Den klassiska 3-2-1-regeln (tre kopior, två medier, en offsite) räcker inte längre. Moderna rekommendationer lägger till:

+1: En kopia som är offline eller air-gapped och oåtkomlig från nätverket
+0: Noll oupptäckta fel – backupen verifieras regelbundet med automatiserade integritetstest

Immutabel lagring

Ransomware-skyddad lagring som inte kan ändras eller raderas under en definierad kvarhållningstid. Många moderna plattformar, inklusive Cohesity och Rubrik, erbjuder detta som standardfunktion med objektlåsning (WORM).

Automatiserade återställningstester

En backup ni aldrig testat är en backup ni inte kan lita på. Moderna lösningar kan automatisera recovery-tester i isolerade sandboxmiljöer och rapportera att återställningen faktiskt fungerar – utan att ni behöver involvera en person.

Granulär återställning

Att behöva återställa en hel virtuell maskin för att hämta en enskild fil är inte acceptabelt. Modern dataskyddsplattform tillåter filnivå-, objekt-, applikations- och databas-granulär återställning utan att man behöver rulla tillbaka hela miljön.

Integration med molnet

Molnet är inte längre ett komplement – det är en strategisk del av DR-arkitekturen. Möjligheten att failovra workloads till Azure, AWS eller en privat molnmiljö ger en flexibilitet som tidigare krävde ett sekundärt fysiskt datacenter.

Centraliserad hantering och synlighet

Att ha tio olika backup-agenter för tio olika system är en administration som fallerar under press. En samlad plattform med enhetlig policy, rapportering och larmhantering gör skillnad – inte minst när det gäller att bevisa compliance mot exempelvis NIS2.

Cohesity och Rubrik – modern dataskyddsplattform i praktiken

Marknaden för enterprise dataskydd har konsoliderats kraftigt. Cohesity och Rubrik är de två dominerande plattformarna som adresserar just de utmaningar som beskrivits ovan – och de är fundamentalt olika i sin arkitektur.

Gemensamt för båda är att de ersätter fragmenterade backup-miljöer med en samlad plattform som hanterar backup, replikering, DR-orkestrering och datahantering. De erbjuder immutabel lagring, automatiserade recovery-tester och nativ integration mot de stora molnplattformarna.

Cohesity fokuserar starkt på dataintelligens och hantering av datalandskapet i stort – klassificering, compliance, och möjligheten att faktiskt använda sina sekundärdata analytiskt.

Rubrik har gjort säkerhetsintegration till sitt starkaste kort – med cyber resilience-funktioner djupt inbyggda i plattformen, inklusive hotdetektion i backupdatan.

Vi har gjort en djupdykning i skillnaderna i ett separat inlägg: Arkitekturduellen: Cohesity vs Rubrik.

Backup som tjänst – när det egna ansvaret är för tungt

Många organisationer saknar resurser, kompetens eller tid att bygga och underhålla en modern dataskyddsinfrastruktur internt. Det är inte ett tecken på svaghet – det är en realistisk bedömning av vad som är rimligt att hantera in-house.

Backup som tjänst (BaaS) innebär att en extern partner tar ansvar för infrastrukturen, övervakningen, testningen och – när det krävs – återställningen. Rätt utformat inkluderar det:

• Definierade RPO/RTO-åtaganden i avtalet (inte önsketänkande)
• Regelbundna tester med dokumenterade resultat
• 24/7-övervakning och larmhantering
• Transparent rapportering om backup-status och täckning

Det centrala i ett BaaS-avtal är inte tekniken – det är de faktiska SLA-åtagandena. Se alltid till att RPO och RTO är specificerade per systemklass, att testningsfrekvens är kontrakterad, och att ansvarsfördelningen vid ett haveri är glasklar.

Var börjar ni?

Om det här inlägget väckt frågor om er egen miljö är det en bra start. Det finns några konkreta steg ni kan ta redan den här veckan:

1. Inventera och klassificera era system

Vilka system är affärskritiska? Vilka är viktiga men kan vänta? Vilka är nice-to-have? Svaret på den frågan avgör vilken skyddsnivå varje system behöver.

2. Definiera RPO och RTO per systemklass

Inte vad ni tror att ni har – utan vad ni faktiskt kan leverera baserat på nuvarande infrastruktur, och vad verksamheten faktiskt behöver.

3. Testa er backup

Planera en faktisk återställningsövning. Inte ett teoretiskt test – en faktisk återställning av ett kritiskt system i en isolerad miljö. Dokumentera resultatet.

4. Granska var era backuper lagras

Är de åtkomliga från samma nätverk som er primära miljö? Om svaret är ja – ni har ett problem om ransomware slår till.

5. Utvärdera om nuvarande arkitektur matchar era faktiska RTO-åtaganden

Det är bättre att veta nu än att ta reda på det under ett pågående haveri.