不少企業都宣稱「我們有定期備份」，直到勒索病毒、機房當機或雲端重大異常發生，才發現備份檔案只是「資料活著」，而業務仍然全滅。本文從勒索攻擊與實際案例出發，說明備份與備援的本質差異，並以簡單比喻與檢查清單，提醒企業如何建立真正能撐過重大事故的備援策略。

一、那一天，備份檔安然無恙，營業卻全停

想像一個畫面：
週一早上，客服電話開始炸裂，網站打不開、訂單無法成立，POS 也連不上。IT 部門衝進機房，看到主機螢幕只剩下勒索訊息。

好消息是——
你們其實有每日備份，而且備份放在雲端儲存服務，看起來完好無損。

壞消息是——
從備份把數 TB 的資料拉回來、重建系統、測試、切換，至少要好幾天。

在這幾天裡，電商不能收單、金融不能交易、醫療系統不能掛號，損失不只是錢，還有客戶信任與品牌聲譽。很多研究都指出，單次重大勒索事件的總成本可能高達數百萬美元，而企業因為無法快速復原而付出的代價，往往比贖金還高。

這就是「只有備份，沒有備援」的真相。

二、備份是「影本」，備援是「第二座可以營業的城市」

備份（Backup）

• 像是把公司所有文件影印一份，放進保險箱。
• 重點在「資料不被完全消失」。
• 常見做法：每日／每小時備份、版本保留、冷備份、雲端儲存。

備援（Disaster Recovery / BCDR）

• 像是再蓋一座「較小型但可以營業」的城市。
• 重點在「業務可持續，能在可接受時間內恢復服務」。
• 包含：異地系統、網路路徑、DNS 切換、備援流程、演練、SLA。

所以，當你說「我們有備份」時，真正的問題其實是：

若今天整個機房失火、雲端區域長時間故障、或勒索病毒把主系統搞垮，
你們多久能恢復營運？能恢復到什麼程度？

也就是常說的 RTO（可接受停機時間） 與 RPO（可接受資料損失量）。

三、勒索病毒時代：僅有備份，風險反而更大

近年的勒索攻擊有幾個變化：

1. 專門找備份下手：很多攻擊會先橫向移動，把線上備份也加密或刪除。
2. 停機成本飆升：有研究指出，停機每小時可能造成數十萬到百萬級別損失。
3. 就算付錢，也不一定拿回資料：最新報告顯示，只有約三分之一付贖金的企業，真的完整拿回資料。

相對地，愈來愈多企業選擇靠強韌的備份＋備援架構來挺過攻擊，而不是被迫付錢。英國調查顯示，2025 年僅約 17% 的企業選擇付贖金，多數改採備份與備援方案自救。

換句話說：

備援不是「附屬於備份」的選項，而是面對勒索與重大事故時，真正讓企業活下來的關鍵設計。

四、三個檢查點：你的備援，真的存在嗎？

你可以用下面三個問題做快速體檢：

1. 我們有沒有「在另一個地方」可以啟動系統？

• 是否有異地的虛擬機、容器叢集、或雲端區域，能在緊急時承接核心服務？
• 是否有跨機房或跨雲的 DNS 切換機制？

如果答案是「沒有，但我們有備份」，那代表只有影本，沒有第二座城市。

2. 我們多久演練一次「真的切過去」？

• 是否一年至少做一次完整演練：從模擬事故 → 切換到備援 → 再切回主系統？
• 演練有沒有記錄 RTO、RPO、資料一致性問題？

沒有演練，就等於沒有備援 – 只是寫在企劃書上的好看文字。

3. 備援範圍，有沒有包含「人與流程」？

• 異地是否有人可以操作？
• 緊急聯絡名單與授權機制是否清楚？
• 若主辦人不在（出國/請假），誰可以代為決策啟動備援？

很多災難復原失敗，不是技術不夠，而是關鍵時刻沒有敢拍板的人。

五、從「備份思維」走向「業務持續思維」

你可以把調整分成三步：

1. 盤點關鍵業務流程
   • 例如：接單、收款、服務交付、客服、法遵申報。
   • 問自己：哪些系統停掉超過 4 小時就會有人打電話抗議？
2. 為每一個關鍵流程設定 RTO / RPO
   • 例如：官網可停 4 小時，交易系統只能停 1 小時；
   • 客戶資料可以接受 1 日內的資料重建，金流與帳務則接近 0 資料損失。
3. 設計對應的備援方案
   • 不一定一開始就做到完美，可先從「跨機房備援＋定期演練」開始，
     再慢慢擴展到跨雲、跨國、乃至於同時考量資安事件的「Cyber Resilience」。

FAQ

備份保證你「資料不會完全消失」，備援則是保證「公司還能繼續活著」。
如果你開始懷疑：我們現在的準備，真的能挺過一場大型勒索攻擊或天災嗎？
可以先從一場簡單的備援健檢與桌上演習開始，讓風險從模糊的恐懼，變成可以被討論與改善的清單。

歡迎轉載！請見：轉載原則。

Image-by-tookapic-from-Pixabay