Attack mot Tietoevry. Filmstaden, Rusta, Granngården, Systembolaget drabbade [2024-01-20]

Om du är kompis med någon som har inflytande på Granngården så kan du säkert få åka dit och köpa en säck hundmat, en snöskyffel och ett par nya stövlar. Du kan ge din kompis kontanter, och så får han skriva upp på en lapp vad du har handlat och bokföra transaktionen i efterhand. Eftersom Granngården inte tar kontanter så lär han få skapa en faktura eller dra ett kort när systemen har hoppat igång, men allt går. Köper du mot faktura så behöver de inte ens ha ett kassaregister, så då kanske det till och med går att göra detta lagligt, men du kan få svårt att betala dina faktura kontant.

Tror du att de vill hålla på så? Nä, det vill de inte. Det är en stor kedja med butiker över hela landet som behöver ha ett gemensamt förhållningssätt. Då väljer de att hålla stängt.

Funkar inte så tyvärr.
Rutiner sätter man i förväg så man har en knapp redo att trycka på när en situation dyker upp.
Slarvar man i förarbete, så sitter man pyrt till, finns inget magiskt trollspö att ta till.

De har nog både Windows och Linux skulle jag tro.

Vad menar du? De har såklart alla möjliga varianter; olika linuxdistar, windowsversioner och hypervisors

Hur förklarar du då att dom har fått "utmärkelsen" för sveriges mest jämställda IT-bolag? Du förstår väl att anställda kostar pengar? Pengar som hade kunnat lagts på kompetent personal i stället för jämställdhet.

för att förtydliga - ni kör inga försäkringar , ni återställer miljöer innan utredning och testar era miljöer utan inriktning på AT attacker?

Det här är inte servrar som står gömda i en garderob på kontoret och som Uffe Karlsson 62 år kollar till någon gång i veckan. Vi pratar om serverlösningar för miljontals kronor exklusive kostnaden för arbete av serverarkitekter,tekniker,projektledare etc. Det finns inte heller något som tyder på att in-house lösningar är säkrare än outsourcing. Tvärtom skulle jag vilja säga då det kräver konstant tillsyn.

Jag förstår att själva återläsningen går snabbt (om man har det korrekt uppsatt precis som du säger). Det är utredningen som tar tid. Jag antar att du/ni inte behöver förklara för tusentals kunder om vad som hänt under dessa 15 minuter ni testar återläsningen på. Skiter man i utredningen som du säger (genom att inte blanda in Polisen och återläsa direkt) är det klart att det går snabbt.

Det är liksom inte vilka som helst som använder Tietoevry som leverantör och jag tror att det skulle bli lite tråkig stämning om Tietoevry bestämde sig för att helt enkelt skita i att inte utreda eller polisanmäla. De är väl t.ex. ansvariga för eSam nu mer och har ett antal journalsystem hos sig också. (Säger inte att eSam eller Cambio blivit drabbade här så klart).

Sen förstår jag vad du menar med "IT-personalen jobbar med drift och drift enbart." men jag vill ändå påpeka att SOC, IT-forensiker, SIEM-personal (gränsfall då det också kan infatta infosäk) och lite annat löst folk som de flesta större IT-företag har också ingår i IT-personal som trots det absolut inte jobbar med drift.

Inte menat som att jag ifrågasätter på något sätt. Du har ju koll märker jag men tror vi har lite olika syn på vikten av utredning här bara och det är helt okej!

Den drabbade miljön finns kvar om man vill roa sig med att gräva vidare. Återställa drift går före allt annat.

Mja det är möjligt att jag tolkar snävt. Men han har fortfarande fel

Inhouse är alternativ dyrast.

On-prem alternativ medium

Public/Private Cloud är det billigaste. Speciellt för bolag av den digniteten. Det är ju inte Nisses Bageri som ska ha sitt kassasystem där utan kedjor med tusentals butiker runt om i Sverige.

Det är min profesionella erfarenhet i alla fall. Det folk ofta glömmer är det är ju inte bara HW, El och Internet som kostar pengar. De ska ju ha några som rattar skiten också.

Nej, man återställer ingenting innan utredningen visar att det är ok. allt annat är en chansning och företag som chansar med säkerhet... brukar inte bli så långvariga.

Är verkligen ingen expert, men han menar väl att i värsta scenario där deras huvudsakliga miljö körs, så kan de driftsätta systemen igen, fast med 30 minuters förlust av data (som nu för ett ta ett exempel är kompromissad/nedlåst) vore det då inte bättre att få igång driften igen och samtidigt börja se vad det går att göra för att få tillgång till denna data från dessa 30 min?

Är lite som haveriet på motorvägen. Någon har verktyg för att öppna mitträcket, men det ska vara utredningar och ditt och datt, så det gick icke. Tur ingen frös ihjäl.

Edit: men såklart måste det ju säkerställas villen sårbarhet det var som gjorde det möjligt om det är intrång. Så det inte händer igen haha.