Efter intrånget: Tietoevry anser att de har hög säkerhet

Hög säkerhet, jo tjena...

Nog för att Rolls-Royce kanske är dyrare, men att den skulle genomgående vara säkrare ser jag inte alls som uppenbart

Jag förstår inte vad Venke försöker säga här, försöker hon säga att en Rolls-Royce inte är säker och bra, och att man ska ha en Skoda istället om man vill ha det säkert?

Eller mer konkret, vad betyder det här i sammanhanget datasäkerhet, att alla lösningarna är säkra och bra men att man kan lägga mer pengar på dem om man vill men det ändå inte blir säkrare?

Jag är uppriktigt förvirrad.

En sak som sticker ut för mig är att TE verkar lägga typ allt ansvar på beställaren.

Tänk om det fungerade så när man köpte en fastighet? Att man var tvungen att specificera:

Den ska klara:

• regn

• snö

• solsken

• vind

• att en duva flyger in i rutan

Och den ska ha:

• fungerande lås

• drevade och fodrade fönster

• etc.

• etc.

Varför kommer IT-leverantörer undan med att skylla på beställaren?!

Intressant argument att det kunde hänt andra bolag när man själv står med mössan i handen...

Hoppas detta bolag går under.
Är ett rent skämt.

Jag jobbar inom IT och tyvärr är förekommer det kunder som inte vill betala vad det kostar för att ligga på en OK säkerhetsnivå. Vore det upp till mig skulle vi "sparka" alla dessa kunder, men det är inte upp till mig och dessa kunder drar fortfarande in pengar, så man gör så gott man kan under förutsättningarna.

Mycket handlar om inlåsningar i produktval man gjort för många år sedan som är svåra att bryta.

Sedan är ju vissa leverantörer sämre än andra... ju större desto sämre oftast.

Absolut kan man sälja olika lösningar, exempelvis kanske du vill ha en HCI lösning likt VXRAIL eller Simplivity. Men genomgående är ju att om en kund får ransomware så ska inte andra kunder och speciellt inte HOSTARNA bli drabbade och främst av allt så ska inte backuper bli påverkade vilket det enligt rykten är.

Tieto har fuckat upp helt ofantligt och jag skulle inte välja dem som kund någonsin igen. De viten som de kommer få pga det här riskerar hela deras bolag och ingen kommer ju någonsin som sagt välja dem igen, speciellt inte när säkerhetschefen skyller på kunderna när deras infrastruktur är osäker.

Hade aldrig hört talas om Tietoevry innan det här hände.

De verkar inte ha stenkoll precis. Är det outsourcing och konsulter som styr skutan?

Att säga att det kunde hända andra och typ skylla på kunderna samtidigt är ju en skum riktning att gå.

Sen i läget som dom sitter nu så spelar det ju ingen roll om hon vill skylla på beställarna då angriparna tog sig in i datacentret och inte i en enskild kund miljö, så det borde ju vara svårt att skylla ifrån sig då, kan va så att jag tänker helt fel, men om angriparen kunde göra så stor skada för kunderna genom att ta sig in hos TE så spelar det väll ingen roll vad kunden har beställt. Dom har en hel del damagecontroll å jobba med och detta var ju inte som var till deras fördel.

Men, nej, det är som att säga att: "Många vill inte betala för regntäta hus.".

Ingen byggfirma skulle åta sig att bygga en fastighet som inte lever upp till någon form av rimlig lägstanivå? (Väl? VÄL?!)

Jag jobbar också inom IT och jag slåss för sånt här varje dag. (Senast innan lunch idag.) Det ligger på dig och mig att säkerställa att beställarna förstår att man inte bara kan skippa HTTPS eller att det är orimligt att ha en platt nätverksstruktur i hela kommunen. Visst, det kan hända att kunden går till en annan firma isf, men någon form av yrkesstolthet får man väl ändå ha?

Absolut, men nu var det ju inte "en" kunds miljö som blev drabbad utan väldigt många för att deras datacenter blev utsatt för en attack. Då kan man väll inte på något sätt försöka få det till att kunderna har beställt osäkra miljöer, när det var TEs datacenter som det sket sig totalt i?

Alltså, det beror väldigt mycket på vilken roll man har. Om vi ska använda hus som analogi så håller jag med, det är klart man behöver bygga till någon minimal standard. Men när man kommer in och ska göra saker i en befintlig miljö som byggts upp för länge sedan så är det svårare, särskilt om kunden inte vill betala för nödvändiga reparationer.

Om du jobbar som hantverkare och kommer in på ett jobb att hänga upp ett köksskåp är det inte ditt fel om det regnar in i vardagsrummet, så att säga. Och det är väl inte heller fel att ta ett sånt jobb.

Hur som helst är detta inte riktigt superrelevant i det här fallet, som jag förstått det så ligger felet i leverantörens gemensamma hostingmiljö som faktiskt är leverantörens ansvar i just det fallet.

Exakt, i vissa fall så är det smartast att låta kunder gå till någon annan... Det är ju du som leverantör och ditt företag som får skiten i slutändan och då vill man ju knappast stå där och säga "Ja, men vafan. Vi sålde en dålig lösning för det va de dom ville ha"

Nu är det ju infrastrukturen som har vart boven i det hela där de kommit in i en Cisco ASA brandvägg och använt en gammal version av VMware Tools för att komma vidare.

Värt att nämna är att patchen för exakt denna exploit för Cisco kom för fyra år sedan. De har alltså inte patchat en KRITISK bugg på fyra år.

Källa på att de tog sig in såhär?

Hus jämförelsen är lite intressant. För just hus har ju standarder, regler och förordningar som måste följas för att få lov att bygga huset alls. Detta finns inte inom IT, och även om det hade funnits, hade regelverket kunnat hänga med i de förändrningarna som sker? Tror inte det.