PS:
Oddělením od sítě se výrazně sníží napadnutelný povrch. (například zavaděč, co si stáhne tělo viru ze sítě si ho prostě nestáhne)
Oddělením na jiný počítač (přez jediný, celkem jasně daný protokol, kde si ten čistý počítač sám zařizuje, co bude s přenášenýma datama dělat + pro něj to prostě jsou jen binární data, ať je to text, program, obrázek, virus, nebo náhodná skupina bytů - všechno jedno, prostě nuly a jedničky, které uloží a případně posčítá, ale spouštět nebude) se možnosti viru na hlavním počítači opět extrémně sníží.
Pokud se nenajde nějaká hodně závažná zranitelnost v SSH, která by šla použít i v takovémto scénáři a virus, který by ji tak používal, tak ten zálohovací počítač může jet bez updatu léta letoucí a být naprosto v pohodě - a pokaždé se zachovat stejně. (Takže nehrozí, že by tam nějaký, vlastně nepotřebný, update zanesl novou zranitelnost, když se updatovat nebude a starý systém bude v pořádku - což se potvrdí časem).
Mimochodem architektura zálohovacího počítače klidně může být zcela jiná, než ta v hlavním (např. hlavní x86, zálohovací ARM) - čímž by ten virus musel být schopný se z windows x86 probít do linuxu x86 bootovaného z externího média a prolomit SSH, aby se vlámal do linuxu ARM na jiném počítači - to už ti tu zálohu spíš rozbije ten meteorit přímým zásahem počítače :)