Efter intrånget: Tietoevry anser att de har hög säkerhet

Permalänk
Medlem
Skrivet av Awsmkiid:

Och jag kan garantera att deras kunder betalar fullpott för deras service än idag..

Vad man betalar per månad och viten / skadestånd regleras på olika platser i avtalen.
Kunderna får fortsätta betala sina månadskostnader, de kan sedan kärva viten och eller skadestånd i en separat diskussion.

Vissa avtal är utformade så att det finns vissa kriterier för att bryta dem i förtid, men tror vi verkligen något av företagen kommer att använda dem här ? Är ju så mycket bekvämare att låta det går och göra något i nästa upphandling istället.

Visa signatur

Dator: MSI X570 Tomahawk, AMD 5600x, 64 GB RAM, 2xNVMe, 2xSATA SSD, 10 GBit NIC, Grafik Nvidia 3060 12 GB RAM
Skärm: Dell U3821DW 38" ultrawide Bärbar dator: MBA M1
Synology DS1821+ (10Gbit) - Dockers, VM, Surveillance Station 9 kameror
DS3612xs (10Gbit) - Backup sparas till denna från ovan
Skrev jag något vettig? "Tumme up":a så vet jag att det fanns nytta i min post.

Permalänk
Medlem

Jag är imponerad över att någon har haft sinnesnärvaro att spara gamla faxar. Myndigheten jag jobbar på har inte ens några gamla telefoner kvar.

Permalänk
Medlem
Skrivet av Señor Hallon:

Nu är det ju infrastrukturen som har vart boven i det hela där de kommit in i en Cisco ASA brandvägg och använt en gammal version av VMware Tools för att komma vidare.

Värt att nämna är att patchen för exakt denna exploit för Cisco kom för fyra år sedan. De har alltså inte patchat en KRITISK bugg på fyra år.

Fast den CVE för Cisco ASA som det hänvisas till när det häller Akira är CVE-2023-20269 och den blev känd först i September förra året och inte för 4 år sedan. Verkar dessutom som om Cisco valt att inte släppa patchar för alla versioner av ASA heller.

Visa signatur

|Ryzen 5800x3d|RX 7900XTX Hellhound|Asus Prime X370 Pro|32GiB Corsair 2400MHz CL16 Vengeance|Corsair HX1000i|Fractal Define R5|LG 45GR95QE|Corsair K100|Razer DeathAdder V3 Pro|Ubuntu 23.10|

Permalänk
Skrivet av GLaDER:

Men, nej, det är som att säga att: "Många vill inte betala för regntäta hus.".

Ingen byggfirma skulle åta sig att bygga en fastighet som inte lever upp till någon form av rimlig lägstanivå? (Väl? VÄL?!)

Jag jobbar också inom IT och jag slåss för sånt här varje dag. (Senast innan lunch idag.) Det ligger på dig och mig att säkerställa att beställarna förstår att man inte bara kan skippa HTTPS eller att det är orimligt att ha en platt nätverksstruktur i hela kommunen. Visst, det kan hända att kunden går till en annan firma isf, men någon form av yrkesstolthet får man väl ändå ha?

Jag som är slutkund och förvaltar och äger fastigheter kan direkt säga yrkesstoltheten är lite och det få som anamma sig att hela processen går bra till vid byggen. Utan man gör bara vad som står på svart och vitt. Att den sen regnar in och att det var anledningen till att man bytte taket eller fönsterna. Jaha synd. Vi har gjort det vi kom överens om...men det är klart, sparkar man på lite på folk här i Sverige brukar de ha förmåga att utföra det där sista.

It jobb är som en djungel, det lovas guld och gröna skoga. För det är väl inte många kunder som ens vet vad det ska fråga. Funkar wifi:et? VAD BRA. När man sedan begär att få titta på deras jobb. Då blev det jättejobbigt...skulle påstå att säkerheten är otroligt och skrämmande låg hos det flesta företag. Att skicka lösenord över mail är inte vad jag kallar säkerhet...

Visa signatur

Intel i7 8700k @ 5.0GHz | Asus Rog Strix Z370-H | FD R5 | Strix Gtx 1080 ti | 16Gb Corsair Vengeance LPX 3600Mhz | Samsung 850-Series EVO 500GB | WD Caviar Black 500Gb | WD RE4 1TB x2 i Raid 1 | MK-85 <3 Cpu-Z Gamla

Citera, annars kommer jag inte tillbaka!

Permalänk
Medlem

Kontrakten sa nog bara att kundernas miljöer skulle vara säkra. Det var inte spec'at i kontrakten att hostens infrastruktur bakom skulle vara säker också.

Visa signatur

SweClockers Dark Pearl tema: http://www.sweclockers.com/forum/trad/1484891
(Rek. Stylus)

Permalänk
Medlem
Skrivet av Emma242:

Jag är imponerad över att någon har haft sinnesnärvaro att spara gamla faxar. Myndigheten jag jobbar på har inte ens några gamla telefoner kvar.

I vården lever faxen kvar, svårt att skicka personuppgifter snabbt på annat sätt.

Permalänk
Medlem

Stör mig nåt oerhört på deras namn.. Hur ska man ens uttala Tietoevry.

Visa signatur

Skrax

Permalänk
Medlem

Är det redan första april?

Permalänk
Medlem
Skrivet av Phod:

Du vet väl hur det funkar, ju mindre duktig en person är på någonting desto lättare är det att befordra denne? Som någon skrev på Reddit, Venke kommer säkert från sälj- eller ekonomihållet, och språket hon använder är väl sådant som används när man ska förklara något för en kund som förstår noll.

Det är många analogier om hus i den här tråden, men de flesta här vet nog inte vad de skulle ställa för krav på säkerhet om de skulle ha ansvar för att göra en upphandling. Lägg då till att de som sitter med det ansvaret ofta inte är så särskilt intresserade av säkerhet. Det är bara ett moment som försvårar deras jobb.

Nej, den som ansvarar för upphandlingar har sällan expertkompetens inom det som ska upphandlas, därför tar man med personer som har den kompetensen när man kravställer inför upphandlingen.

Visa signatur

AMD Ryzen 7 1700X 3.8 GHz 20MB | ASUS PRIME X370-PRO | MSI GeForce GTX 1080 Gaming X 8GB | G.Skill 16GB DDR4 3200 MHz CL14 Flare X | Corsair RM650x 650W

Permalänk
Medlem
Skrivet av Arazand:

Hus jämförelsen är lite intressant. För just hus har ju standarder, regler och förordningar som måste följas för att få lov att bygga huset alls. Detta finns inte inom IT, och även om det hade funnits, hade regelverket kunnat hänga med i de förändrningarna som sker? Tror inte det.

Precis, det behöver nog regleras i större grad så inte okunniga beställare kan/får välja fel.
Har själv jobbat som arkitekt inom infrastruktur i 20 år. Det är väldigt lätt som utomstående att säga att man borde gjort si eller så. Men i slutänden är allt en kostnadsfråga, man kan inte köpa/bygga mer än man har budget till.
Inte sällan är det omöjligt att få budget till att ersätta gamla/osäkra system innan de fallerar, särskilt om kostnaden för ersättningen mångdubblats. I bästa fall får man budget till att isolera/säkra upp så gott det går(tex genom virtualisering, mikrosegmentering, deep packet inspection etc).

Regleringar är ju förövrigt också en anledning till att det byggs för lite hus i Sverige... det har blivit alldeles för dyrt och komplext... så det är inte bara plus med det..
Dvs reglerar man it-branschen för hårt så riskerar man tappa framdrift. Allt blir plötsligt dyrt, komplicerat och omöjligt att genomföra.

Permalänk
Medlem
Skrivet av Joppis:

Jag minns bolaget som Tieto Enator.

Aha är det dom! Hade helt missat det.

Visa signatur

AMD Ryzen 7 5700X 3,4GHz
Asus GeForce RTX 4070 Dual OC 12GB
Asus ROG Strix X570-E Gaming
G.Skill Trident Z Neo DDR4 3600MHz 32GB
Samsung 980 Pro Series 1TB

Permalänk
Medlem
Skrivet av Swedishg33k95:

Jag som är slutkund och förvaltar och äger fastigheter kan direkt säga yrkesstoltheten är lite och det få som anamma sig att hela processen går bra till vid byggen. Utan man gör bara vad som står på svart och vitt. Att den sen regnar in och att det var anledningen till att man bytte taket eller fönsterna. Jaha synd. Vi har gjort det vi kom överens om...men det är klart, sparkar man på lite på folk här i Sverige brukar de ha förmåga att utföra det där sista.

It jobb är som en djungel, det lovas guld och gröna skoga. För det är väl inte många kunder som ens vet vad det ska fråga. Funkar wifi:et? VAD BRA. När man sedan begär att få titta på deras jobb. Då blev det jättejobbigt...skulle påstå att säkerheten är otroligt och skrämmande låg hos det flesta företag. Att skicka lösenord över mail är inte vad jag kallar säkerhet...

Jag har jobbat litet mot branscher som säkert liknar din, där kunderna ofta varit så små att det skulle ha varit orimligt att de skulle kunna sitta på all IT-kunskap som krävs. Och det där med guld och gröna skogar känner jag igen. Det finns IT-företag som är så pass specialiserade och inte har tillräckligt med konkurrens att de kan köra på i samma spår år efter år utan att försöka förbättra sig.

En vanlig grej är att kunden behöver mer hjälp än att någon bara säljer på dem ett system. Jag har suttit i projekt där det varit helt uppenbart att man hade sparat pengar på att sälja in en till konsult som hade hjälpt kunden med deras behov. I stället har man bara kört på och levererat något som tagit väldigt mycket tid eller inte riktigt passat kunden. Jag har även haft motparter i andra IT-företag som jag behövt förklara grundläggande saker för. Det sista slutar aldrig att bli pinsamt.

Visa signatur

Bra, snabbt, billigt; välj två.

Ljud
PC → ODAC/O2 → Sennheiser HD650/Ultrasone PRO 900/...
PC → S.M.S.L SA300 → Bowers & Wilkins 607

Permalänk

Tänker det är upp till kunderna att specificera vad de vill ha, eller stämma säkerhetsföretaget om de upplever att det utlovade inte har levererats. Tror dock inte att säkerhetsföretaget skulle ha pengar nog om alla kunder valde att stämma dom så det vore inte rätt alternativ för kunderna.

Kunderna borde ha verifierat genom att begära ut rapporter om hur säkerheten implementerats och lämna över till oberoende experter. Samma som med besiktningar av byggen.

Permalänk
Medlem
Skrivet av noMad17:

Nej, den som ansvarar för upphandlingar har sällan expertkompetens inom det som ska upphandlas, därför tar man med personer som har den kompetensen när man kravställer inför upphandlingen.

Mmm, SweClockers standardlösning. "Det är bara att göra rätt." Det är inte alltid den kompetensen finns att tillgå.

Visa signatur

Bra, snabbt, billigt; välj två.

Ljud
PC → ODAC/O2 → Sennheiser HD650/Ultrasone PRO 900/...
PC → S.M.S.L SA300 → Bowers & Wilkins 607

Permalänk
Medlem

Jag skrattar gott åt att de hävdar att de får "utbilda sjuksköterskor i hur de använder fax". Jag råkar veta att en majoritet av de svenska sjukhusen lägger ALLA sina orderar med fax och har gjort så i decennier. Detta är unikt i Norden då i stort sett alla sjukhus i Norge, Danmark och Finland skickar elektroniska beställningar. Svenska sjuksköterskor behöver inte "utbildas" de gör som de alltid har gjort; klistrar etiketter på papper och faxar det som en beställning.

Permalänk
Medlem
Skrivet av Emma242:

Jag är imponerad över att någon har haft sinnesnärvaro att spara gamla faxar. Myndigheten jag jobbar på har inte ens några gamla telefoner kvar.

Inom sjukvården så jobbar man många år bakåt i tiden jämfört med andra branscher.

Permalänk
Medlem

Allting är relativt. Titanic var osänkbart tills det sjönk. Finns förmodligen inte många system som inte går att hacka.

Visa signatur

7800X3D • 4080S • 32GB • 2TB • 1440p 165 Hz
3700X • 3070 • 32GB • 2TB • 1080p 144Hz

Permalänk
Hedersmedlem
Skrivet av Señor Hallon:

Nu är det ju infrastrukturen som har vart boven i det hela där de kommit in i en Cisco ASA brandvägg och använt en gammal version av VMware Tools för att komma vidare.

Värt att nämna är att patchen för exakt denna exploit för Cisco kom för fyra år sedan. De har alltså inte patchat en KRITISK bugg på fyra år.

This makes no sense. Hur går man från att man har en sårbarhet i VMware Tools till att få access till ESXi-hosten?

Möjligen kan en vuln i VMware Tools ge dig lokal privilege escalation i VM:en, men att sårbar VMware Tools i sig skulle möjliggöra en hypervisor escape känns väldigt snett, då skulle ju någon som tagit över en VM kunna installera en sårbar VMware tools bara för att på den vägen ta sig in i hypervisorn.

Det kanske saknas något steg här i händelseförloppet. En sårbarhet i VMware Tools kan ju ha varit en del av vägen in, men det kan inte vara hela förklaringen.

Permalänk
Medlem
Skrivet av Dreas89:

EEEEEEEEEEEEEEEEEEEEEEXAKT så har vi det.

"Jaha, det tar 30 minuter att göra grej X. Ni har ju inte kravställt att det ska gå snabbare än så." - Eeeeeeeh så vi ska börja kravställa självklarheter in absurdum?

And on and on and on...............

Det motsatta problemet finns på andra sidan. Man har lovat att göra ett visst jobb för en viss peng och redan lagt ner den tid det går åt att göra jobbet. Sedan kommer kunden och vill ha något de var för lata för att tänka på från början, då gör man det för att vara snäll och vårda relationen. Sedan kommer kunden och vill ha ytterligare något och då begär man att få betalt för nerlagd tid. Kunden säger nej. Sedan blir det dålig stämning. I de flesta fall så är lösningen antagligen att avtala om en timbank och sedan stämma av mot den och gemensamt prioritera hur timbanken ska användas framöver. Då finns det bland annat rum för leverantörens anställda att komma med initiativ för hur man ska jobba kontinuerligt med säkerhet.

Ovanstående är anledningen till att husanslogierna inte håller. Ett hus kan slutbesiktigas. En IT-driftstjänst är ett pågående engagemang från bägge håll.

Många organisationer outsourcar för att slippa engagera sig. Det går helt åt helvete, varje gång. Är man lat kommer man få lida för det. Inklusive om man inte gjort nog research om sin leverantör för att veta om de är kompetenta eller inte.

På trådens ämne ser det hela ut att falla helt på Tietoevry. Man kan naturligtvis inte skylla på kunderna när man samtidigt säger att man inte vet vad som hänt. Om man inte vet vad som hänt så kommer det antagligen hända igen, så alla kunder med självbevarelsedrift bör förstås ta sitt pick och pack och dra fortast möjligt. Som många konstaterat är det antingen ett gigantiskt fail att utomstående har kommit åt infran, eller ett gigantiskt fail att man kunnat flytta sig mellan olika kunder.

Jag klarar inte av att forma en teori om ifall uttalandet är det minst dåliga sättet de kan komma på för att blanda bort korten eller om sverigechefen helt enkelt är dum i huvudet. Oavsett har jag svårt att tro att någon vill ha den ledningen hos en leverantör av kritisk infrastruktur.

Permalänk
Medlem
Skrivet av ThomasLidstrom:

Varför ens erbjuda osäkra alternativ?
Jag känner inte till någon bilsäljare som säljer bilar utan broms som ett billigare alternativ

Vad är ett ”osäkert alternativ” då? Säkerhet handlar om defence-in-depth, det är bara en fråga hur långt man ska ta det och därmed hur mycket pengar man ska lägga.

Jag skulle leverera ett lösningsförslag till ett statligt verk för ett projekt där deadlinen var lagstyrd. Jag föreslog att SQL Server-databasen skulle krypteras med den inbyggda funktionen för det. ”Nej, det ska vi inte”, var svaret - utan motivering. Erbjöd jag en osäker lösning när jag nöjde mig med kundens uttryckliga önskemål? Jag antar att vi aldrig får veta förrän det eventuellt blir officiellt att databasdumpar kommit på vift.

Permalänk
Medlem

Tack för intressanta och informativa inlägg folk

Visa signatur

Linux Manjaro XFCE på en MacBook Pro late 2013, gammal slö Asus X202E, Nintedo Switch, gamla Huawei 20Pro

Intel är apartheid

Permalänk
Medlem
Skrivet av Skrax:

Stör mig nåt oerhört på deras namn.. Hur ska man ens uttala Tietoevry.

Hör min fru säga det varje dag (de har ”ti:eto-every” som driftleveratör IT).

Permalänk
Hedersmedlem
Skrivet av Kwirek:

I vården lever faxen kvar, svårt att skicka personuppgifter snabbt på annat sätt.

Inte ett dugg svårt, finns massor av internetanslutna vårdsystem som hanterar känsliga personuppgifter, läkemedelsbeställningar et cetera. De som använder fax gör det främst för att de har svårt för förändring.

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Permalänk
Medlem

Jag har svårt att se att Venke kan sitta kvar som sverigechef på Tieto speciellt länge till. Hon mer eller mindre skyller ifrån sig allt och lägger ansvaret på kunderna. Tror inte det kommer falla i god jord och på sikt kommer detta bli hennes "famous last words".

Visa signatur

SPELA: 13900K - Gaming X Trio 4090
LEVA: OnePlus 12 - MacBook Air M2 13"
PLÅTA: Canon C70, R3, 1DX mkII, BMPCC6K
LYSSNA: KRK Rokit RP8 G4, Beyerdynamic DT 1990 PRO
FLYGA: DJI FPV, Avata

Permalänk
Skrivet av Varg:

Allting är relativt. Titanic var osänkbart tills det sjönk. Finns förmodligen inte många system som inte går att hacka.

Ditt exempel är trasigt men träffar ändå rätt:
PR-budskapet om Titanic var att hon var osänkbar, liknande hur Tieto-chefen i artikeln säger att deras säkerhet är ”bra”. I verkligheten handlar ju det mesta om hur mycket resurser du är beredd att lägga på att skydda dig, i form av verktyg, ja, men primärt i form av tid och kompetens. Inga verktyg kan skydda dig väl mot grundläggande brist på säkra rutiner och basala passiva skydd i form av rättighets- och åtkomstsegmentering.

Permalänk
Medlem
Skrivet av Aphex:

Inte ett dugg svårt, finns massor av internetanslutna vårdsystem som hanterar känsliga personuppgifter, läkemedelsbeställningar et cetera. De som använder fax gör det främst för att de har svårt för förändring.

Eller för att som du säger, det finns massor av olika system. Det går inte att skicka en remiss till någon som inte har system att ta emot den för att man i te använder samma. Då blir det fax.

Permalänk
Medlem
Skrivet av Durkadur:

Jag skrattar gott åt att de hävdar att de får "utbilda sjuksköterskor i hur de använder fax". Jag råkar veta att en majoritet av de svenska sjukhusen lägger ALLA sina orderar med fax och har gjort så i decennier. Detta är unikt i Norden då i stort sett alla sjukhus i Norge, Danmark och Finland skickar elektroniska beställningar. Svenska sjuksköterskor behöver inte "utbildas" de gör som de alltid har gjort; klistrar etiketter på papper och faxar det som en beställning.

Finns säkert sjukhus som använder fax som primär kommunikation avseende ordrar osv. Men jag tvivlar på att det är ett primärt system i sjukvården generellt. Digitala ordersystem och e-post används faktiskt.. 😉

Skrivet av Dreas89:

Inom sjukvården så jobbar man många år bakåt i tiden jämfört med andra branscher.

Och många gånger av en god anledning. Att använda ny teknik kommer ibland med större risker än att använda gammal teknik. Dessutom är regelverket ett helsike beträffande ny teknik och personuppgifter och/eller sekretessklassad information. Gammal teknik är ju liksom redan godkänd. Avseende fax idag kan du ju fundera över sannolikheten mellan att faxa fel och maila fel... 😀
Och med tanke på tråden detta skrivs i kan man ju tillägga att inte alla sjukhus/regionen etc. har möjlighet till världens bästa IT-kompetens "in-house". Dessa IT-nissar ska dessutom göra allt det som står tidigare i tråden, dvs få diverse hemmasnickrade system, ålderdomliga programvaror och annat att lira med varandra på ett säkert sätt i ett modernt och säkert nät på en modern plattform då utbytesalternativ till äldre mjukvara många gånger saknas eller kostar skjortan för skattebetalarna. Problematiken inom sjukvården avseende IT är minst sagt komplex och inget man bara "fixar" lite enkelt och billigt.. Gäller ju inte bara sjukvården kan väl tilläggas....

Skrivet av Aphex:

Inte ett dugg svårt, finns massor av internetanslutna vårdsystem som hanterar känsliga personuppgifter, läkemedelsbeställningar et cetera. De som använder fax gör det främst för att de har svårt för förändring.

Mja. Fax används väl generellt som reservrutin. Tror inte den primära anledningen är förändringssvårighet.

Visa signatur

Asus Sabertooth X58 - Xeon X5680 - 12GB DDR3 - ASUS GTX1080 8GB

Permalänk
Medlem
Skrivet av danneee:

Eller för att som du säger, det finns massor av olika system. Det går inte att skicka en remiss till någon som inte har system att ta emot den för att man i te använder samma. Då blir det fax.

Skickas mycket elektroniskt mellan olika system inom vården. Många system har elektronisk hantering där filer skickas till höger och vänster. Det är bara konvertera ett format till mottagarens format...iofs inte alltid en bagatell men det mesta går, bara nån är beredd att betala för det.

Visa signatur

5700x3D | RTX 2060 Super | 2 TB M.2 | 32 GB RAM | Gigabyte DS3H| 750 WATT

Permalänk
Medlem

Angående Tieto, när högsta hönan börjar dra analogier till fordonsvärlden, då ringer alla varningsklockor. Verksamheter som landsting/sjukvård har ju verkligen alla förutsättningar att själva drifta och utveckla sina IT-system, ändå outsourcar men sina viktigaste system och kärndata till talanglösa lycksökare. Vad är problemet? Detta är inte svåra saker att förstå sig på egentligen.

Än en gång angående Tietos misslyckande. De menar det kan hända vilka som helst? OK, vi spelar med och låtsas att det stämmer. Men det som inte vem som helst kan lyckas med är hur illa man lyckats återställa data och tjänster, återigen, det kan bara talanglösa konsulter lyckas med.

Permalänk
Skrivet av Joppis:

Jag minns bolaget som Tieto Enator.

Köpte inte dom Evry och därav TietoEvry av ihopslagning? Eller evry kanske finns kvar...

Visa signatur

På tok för många datorer för att skriva här