20 år av backuper förlorade i Tietoevry-attacken

Och detta kommer vara en av anledningarna till att man antingen förbättrar sitt skydd.. eller bara betalar vid nästa ransomware.

Härligt att ha allt lättillgängligt online
Molnet är bara nästan säkert när det även finns kopior offline men det har de väl lärt sig nu

https://www.dn.se/sverige/tietoevry-efter-attacken-inga-brist...

Den där rackarns Internetsladden igen....

De har en tvärusel arkitektur om en anfallare kan med ett konto / en vektor nå både backuper och primärsystem. Det är sinnebilden av att ha dålig säkerhet i dagens ransomware era. Det är fullt möjligt att dom har hög säkerhet om vektorn är trojaner och virus, men det är verkligen att lägga ribban på limbo nivå när man ska tävla höjdhopp...

Man kan också fråga sig om det inte är GDPR-fel (och brott mot dataskyddsförordningen) att det till synes var så lätt för en anfallare att kryptera så många olika aktörers känsliga information. Lönesystem och journaler tenderar att vara fyllda med personuppgifter. Inget enskilt konto får ha den typen av behörighet, inte ens ett centralt administrationskonto. Det är regler som inte går att kompromissa med men det låter väldigt mycket som att TietoEvry skarvat många hörn vad gäller säkerhet...

Tietoevry borde få betala rejäla böter för avtalsbrott i många av dom här fallen verkar det som...

Jag ifrågasätter rubriksättningen, det är skillnad på att förlora 20 års backuper och backup av 20 års data.

Det verkar vara 20 års data som myndigheten i fråga har förlorat.

"20 år av backuper" känns nog ändå tillräckligt tydligt och svårt att missförstå om du frågar mig...

Är vi säkra på att kunderna har avtal som specifikt säger att det ska finnas offline lagring mm?

Hoppas någon av alla dessa journalister som skriver om ämnet begär ut upphandlingarna snart så man kanske får reda på lite vettig info.

Jo, det känns som något som krävs när det är såhär pass viktiga system vi pratar om.

Även jag som amatör är skyddad mot såna här attacker. De skulle kunna exfiltrera all data, men inte kryptera den så att jag inte kan nå den igen. Har mina backups och "långsam" data (där SSD eller nätverk inte gör skillnad) på en NAS som kör ZFS. Snapshots tas varje timme, och kan enbart tas bort av root-användaren, så om min Windows-dator får ransomware kan den kryptera all data, men den kan inte ta bort mina snapshots och därmed kan jag bara göra en rollback senare och nå allting igen.

Utöver det har jag en till kopia offsite på samma data som även den har snapshots som inte går att ta bort via den användare som laddar upp filerna.

Det finns många sätt att ha oförstörbara backupper online. T.ex. S3 Object Lock + monitorering av oväntade versioner och realtids-arkivering av databastransaktioner.
Man måste inte ha offsite band-backupper. Dessa är för många system ganska värdelösa ändå eftersom det ändå är tack-och-adjö för företaget om man inte kan återställa det som skapades efter den senaste band-backuppen.
Uppenbarligen använde inte Tietoevry någon som helst form av ransomwareskydd/WORM för sina backupper. Sannolikt satte de upp något backupsystem för länge sedan och har sedan inte hängt med i utvecklingen av vare sig hotbilden eller vilka moderna tekniska möjligheter som finns.

Ja. I den första (felaktiga) formuleringen är den utformad så att man tar för givet att kunden varit kund i 20 år. Det kanske de har, men det är inte det som är poängen. Så ja, väldigt förvirrande, missvisande och otydligt om du frågar mig.

Det finns många brister idag och jag ser fram till alla cybercampus och liknande som kommer forska i ämnet.

När det gäller offlinelagring så går det fixa på de flesta ställen, ett stort problem är att det är ett område som molntillverkare ser att här kan vi verkligen mjölka kunden och ta hutlöst betalt.

Sist tycker jag man inte ska underskatta tankesättet att ju mer man retar upp andra, ju mer hot kommer man få. Idag så när det gäller länder. Så om de retar upp andra länder, så kan IT systemen utsättas mer för detta.

Alla normala företag har väl immutable off-site backups som är skrivskyddade samt checksum kontroller på sina backup jobb för att se att inget ändras i dem?

Nej, det var därför jag skrev "verkar det som".

Jag tycker det verkar som att Tietoevry har lovat och ingått avtal om backup på ett sätt som dom sedan inte levererat.

Det behöver inte vara offline-lagrad backup, finns ju andra lösningar på hur man gör. Men att de ska ha förlorat så här mycket data på ett sätt får mig att tro att dom inte levererat vad dom avtalat.

Helt klart att dom inte levererat vad dom lovat, men hur det sedan står i avtalet går ju inte att säga.

Hoppas TE får böta för sina kassa rutiner. Det skulle kunna leda till långt bättre nivå i hela branchen

Går ju inte att ha allt tillgängligt hela tiden

Det hade inte funnits backup om det inte avtalats om det, tro mig.

Avtal eller ej så känns det ju ändå som backup 101 att det ska finnas mer än 1 kopia, både onsite och offsite.

Behöver ju inte ens nödvändigtvis vara offline, bara skrivskyddat för att undvika otillåten modifiering. Men någon offlinekopia är väl ändå också att föredra? Jag menar, oavsett hur man gör så borde väl ändå en leverantör av backuptjänst själva hålla någon form av minimumstandard för att försäkra sig själva mot oförutsedda situationer som denna? Finns det minsta lilla risk att någon skulle kunna gå in och radera eller förstöra all data bara sådär så ligger ju nog ändå problemet hos dig som leverantör och inte i att "skydd mot detta fanns tyvärr inte i ditt avtal".

Hacker attack är en sak. Men funderar på brand som även det kan hända. Är det avancerade brandskydd med gas etc i hela rummet något man räknar med som 100% tillräckligt eller är inte brand en orsak till att man alltid bör ha t.ex. offsite bandbackup och liknande lösningar också?

Hehe, erbjud dig att ta rollen som "chief security architect" hos Tietoevry.
Skulle våga påstå att deras nuvarande person på den rollen inte förstår vad du talar om.

Jag förstår inte heller. Det måste vara en otrolig inkompetens som besitts av deras anställda, men det går ungefär hand-i-hand med min erfarenhet av "konsulter" som jobbar på generiska storbolag.

backups backups och återigen backups...

online, offline och offsite. och det gäller både kund och online-backup-tjänst imho.

Alltså om det då är en kommun så ska dom ha egna backups på plats kanske dagligen. och en offsite/offline veckovis eller månadsvis.
och online-backupen, det företaget ska ha samma principer. MINST. det ska liksom va dubbel trippelskydd.

verkar som det slarvats ordentligt både hos kunder och företaget i fråga här.

bra läxa för alla...

Privat har jag alltid kört med offline backup.

• Floppy

• QIC80

• Zip250

• CD-RW

• HDD

• SSD/HDD

Känns numera som en bortglömd kunskap.

Var även på väg att skaffa VHS-backup till Amiga. Nu ligger allt istället på ett 50-tal disketter från A500 och CD-R för A4000.

Hur kan man drifta ett datacenter UTAN ha offlinelagring, t.ex. band...
Sjukt oseriöst att kunders data har försvunnit pga ransomware.