Attack mot Tietoevry. Filmstaden, Rusta, Granngården, Systembolaget drabbade [2024-01-20]

Jag förstår inte riktigt hur du menar. Tänker du att det system som ska speglas är helt statisk? Om inte måste du väl kontinuerligt spegla ditt aktiva system och blir det aktiva systemet infekterat, exempelvis med ransomware, speglar du något som är infekterat.

Att det finns backuper kan vi nog ta för givet men innan man återställer en sådan måste man väl se till att den backuppen togs innan någon infektion skett, samt se till att den backup man återställer med inte är öppen för samma sårbarhet som innan.

Det går inte att vara så kategorisk.

Eller kan du ge några konkreta exempel?

Det har du helt rätt i. Men det borde väl finnas en backup som finns en tid tillbaka? Jag vet inte hur de tänker. Som "snapshots" hur databasen och systemet var i en viss tidpunkt bakåt. Eller hur kan man annars skydda sig mot att data blivit uppdaterad och blivit korrupt?

Ja vi är på samma tänk här. Men ja, vad tror du hänt? Hur kan någon låsa inlogget till databaser och annat? Jo man får reda på lösenord och inlogg.... Eller finns det andra sätt? Typ låsa läsning av databasen på något sätt?

IT-drift för outsourcing som Tieto kör är inte lika med att ha två datorer i sitt hemmanätverk. Eller tre.

Helt ointressant också om de har folk i personalen från Finland och Indien.

Ta till er också att såna här attacker inte sker på os-nivå.

Plus sluta vara pinsamma med kommentarer om Windows, De kan ha varit relevanta år 1992 men inte senare än så.

Väntar bara på en attack mot typ elnätet, vattennätet, fjärrvärmen eller bränslestationer.

En "spegling innan infektionen" är inte en spegling (klustring) utan en backup/snapshot. Och återställning av detta utan att fixa de bakomliggande säkerhetshålen som har lett till hackningen är helt poänglöst, och att switcha över till ett "reservsystem" i form av någon slags driftsättning av en live-backup riskerar att skada backupsystemet.

Utan att du konkretiserar vad du menar så kommer vi inte längre i diskussionen.

Det finns det förmodligen, men att återställa går inte på nolltid. Till att börja med behöver analysera vad som skett och när. Återställer man bara rakt av utan någon utredning riskerar man dels att återställa med en infekterad kopia dels att det återställda systemet blir utsatt för precis samma attack som tidigare. Innan man återställer något bör man alltså först konstatera hur, var och när attacken skedde.

Lite OT, men det kommer varningar för attacker mot/sårbarheter i diverse industriella kontrollsystem typ en gång i veckan... dessa systems räddning är att de ligger bakom andra skyddslager, och i kritiska verksamheter är detta en känd risk.

Ok, jag förstår. Det ska lösas, så det inte händer igen. Eftersom det var en bugg/säkerhetsrisk som fanns från början. Därför det hände. Så, såklart hade det blivit samma sak igen. Så det måste såklart lösas.

Det kan ju ta sin tid faktiskt. Är med dig där.

Men du som verkar kunna mycket om detta. Vad tror du svagheterna varit här i detta?

Undrar hur länge dom klarar sig, eller kan det vara så att man faktiskt tänkt till ordentligt när det kommer till kritiska verksamheter?

Ganska OT nu, men en sårbarhet verkar vara att många grejer idag måste vara uppkopplade. Är systemet eller internetuppkopplingen utslagen går vissa viktiga saker inte att styra manuellt

Just nu florerar det ju bara diverse rykten så det är svårt att säga. De verksamheter som nämnts är för få för att vara någon generell pryl, typ någon större driftmiljö som infekterats; det kan handla om en specifik miljö som hanterar någon viss form av betalningar utnyttjandes någon viss mjukvara som används för just dessa kunder, till exempel. Eller som någon spekulerade i, en server som mellanlagrar transaktioner mellan betalsystem/webbsajt och bank som blivit hackad -- i så fall räcker det med att en enda server smittats, att vissa sajter ändå stängts ner helt skulle kunna bero på att dessa helt enkelt inte är förberedda för att köras utan fungerande betalfunktion.

Iom molnet är kontrollen redan övergiven.
Och det kanske inte är önskvärt att känsliga uppgifter far runt på internet mer än nödvändigt.
Och vilken databas är i så fall up to date?
En propageringsspärr genererar direkt osynk.