Säkerhetsslarv på Tietoevry: "Ofta var lösenordet admin"

Permalänk
Medlem
Skrivet av walkir:

Sen gör blir det inte bättre av att företag skapar onödigt krångliga lösenordspolicys, vilket ofta slutar med att anställda överlistar systemet med lösenord som Kajsastina!1, Kajsastina!2 etc.

Jag har jobbat på ett företag som valde att man skulle ha minst 12 tecken, siffror och specialare, SAMT att det inte fick vara "för likt"(eller samma) de senaste 250 lösenorden du hade.. samt byte varje månad (senare ändra till varannan månad)
Blev att många körde <ett halvlångt ord><bytes-år><bytes-månad> (där månad varierade mellan månaden i siffror och månaden i ord)

Permalänk
Medlem
Skrivet av 0cool:

Oavsett vad grundarna och ledarna har för tanke när de startar är det till synes oundvikligt att alla lyckade bolag tas över av en arme ekonomer som inte bryr sig om bolaget gör datorer eller gurkor. Vi har sett många exempel på detta.

Samhället behöver komma på något regelverk som kan stoppa den utvecklingen. Tanken är ju att de vidrigaste sakerna skall förbjudas i lag (miljöförstörelse mm) och annat "småfult" skall skötas av att osympatiska bolag tappar till sina konkurrenter, men det är i praktiken svårt i vissa branscher, ex. Boeing.

Man kan förstås inte bara döda vinstmekanismen för den är samtidigt det som skapar överskottet som bolaget lever på, men det saknas något starkt medel att stoppa den från att bli det enda syftet och därmed förstöra idén som bolaget grundades för.

Den mission statement som bolag har när ekonomerna tar över är defacto "maximise return to shareholders", allt annat visar sig snabbt vara snack tyvärr, men de flesta bolag HAR ett annat mission statement!

Googles mission statement är exempelvis "to organize the world's information and make it universally accessible and useful." Tänk om de faktiskt var lagligt bundna att hålla sig till det och vd'n kan tvingas gå om någon visar att de bryter mot det genom att exempelvis dölja information bakom reklam?

En frivillig "bolagstecknarens grundlag" vore kul att se. "Jag köper mina datorer från bolaget X eftersom deras grundlag säger att de aldrig kan sälja min information till någon oavsett hur lukrativt det visar sig vara". "Jag köper min senap från bolaget Y eftersom deras grundlag säger att den skall tillverkas i Sverige".

Ett aktiebolag har per definition till syfte att generera vinst till dess ägare (1). Allt annat är bara sätt att åstadkomma vinstsyfte. Sen kan man ha ett långsiktigt vinstmål och bedriva en hållbar verksamhet, eller se till att varje kvartalsrapport maximerar utdelning på bekostnad av allt annat och det är det sistnämnda som brukar råda när rovkapitalister för bestämma.

1): https://lawline.se/answers/kan-man-driva-ab-utan-vinstsyfte

Permalänk
Medlem
Skrivet av Napoleongl:

Ett aktiebolag har per definition till syfte att generera vinst till dess ägare (1).

Intressant, det känns som ett uppenbart fel i lagen som borde rättas. Men det finns ju andra sorters aktiebolag också: https://bolagsverket.se/foretag/aktiebolag/startaaktiebolag/a...

Känns klart görbart att avskaffa vinstkravet för åtminstone en ny publik bolagsform, lagar är ju bara hittepå från början. Viljan verkar dock saknas. :-/

Tänker mig att alla bolag skulle (frivilligt) kunna ha krav av samma sort och lika bindande som det systembolaget har. Inga problem med överlevnaden där ändå märk väl.

Permalänk
Medlem
Skrivet av 0cool:

Intressant, det känns som ett uppenbart fel i lagen som borde rättas. Men det finns ju andra sorters aktiebolag också: https://bolagsverket.se/foretag/aktiebolag/startaaktiebolag/a...

Känns klart görbart att avskaffa vinstkravet för åtminstone en ny publik bolagsform, lagar är ju bara hittepå från början. Viljan verkar dock saknas. :-/

Tänker mig att alla bolag skulle (frivilligt) kunna ha krav av samma sort och lika bindande som det systembolaget har. Inga problem med överlevnaden där ändå märk väl.

Felet är inte att det saknas byråkrati och lagar. Felet är att de lagar som finns tillämpas på fel sätt och att man avskaffade tjänstemannaansvaret. Det har i sin tur haft en katastrofal påverkan inte minst på kompetensbilden hos upphandlingsenheter och politiskt tillsatta styrelser med operativt ansvar inom regioner och kommuner. Svågerpolitik och quid-pro-quo har nära på eliminerat alla möjligheter för upprensning i leden på organisk nivå.

Vad har då detta med Tieto att göra?

På en sund marknad utsätts företag för ständig konkurrens och kan inte agera i ett vakuum. Men eftersom alla de inbyggda systemfelen i LOU aldrig rättas till fortsätter offentliga upphandlingar att bidra till nya oligopol i Sverige. Att med skattemedel ge understöd åt enorma koncerner som Tieto att via dåligt underbyggda offentliga kontrakt och upphandlingar överdebitera sina tjänster och använda vinsterna för att förvärva bort konkurrensen samtidigt som de tummar på kvalitet och struntar i konsekvenserna är ganska sorgligt. Riskerna är ju inte betydelsefulla förrän något faktiskt skiter sig. Och även om det skiter sig på den skala det gjort nu kan man alltid skylla på varandra och bråka om vems ansvaret var att undvika risken från första början.

Som företag går det inte att komma närmare himmelriket än att sitta på offentligt upphandlade kontrakt. Oavsett hur dåligt du sköter dig är det potentiella straffet nästan alltid begränsat till viten. Och ens om bolaget skulle drabbas av ett vite är det så pass ringa belopp att den ekonomiska vinsten av att skita i risken ändå gör det värt att missköta sig.

Permalänk
Medlem
Skrivet av Allexz:

Medans jag inte på något vis, tro mig, inte på något vis alls försvarar dessa snedsteg och brister så är jag inte helt säker på om Kimmo bör avgå för det som hänt.

Enligt deras annual report 2023 så arbetar de i 90+ länder och har 24159 heltidsanställda. Räknar man konsulter så blir det nog mycket mer. Rimligtvis så handlar det om ett flertal tusen olika kunder. Som VD har man ju såklart ansvar, men man kan inte heller förväntas ha personlig översyn och ansvar i något sådant enormt.

Nu är det inte så att jag känner Kimmo, men hur vet vi att det källan sagt stämmer?

Det jag hoppas på däremot är att de som fått jobben delegerade till sig att se till att ansvarskedjan hålls blir hängda.
Det är ganska oförsvarbart att fela när det kommer till säkerhet.

Håller inte med att VDn kan delegera bort sitt ansvar för verksamheten. Det är ju en enorm blunder och sänker trovärdigheten för företaget på grund av VDns girighet.

Baserat på att artikeln stämmer ja

Visa signatur

Att förespråka Mac på Swec är som att förespråka hybridbilar på en raggarträff i Mora.

Nuvarande stationär: 7800X3D, 128Gb ram, 4Tb nvme, 3x8Tb sata-ssd, 4070 Ti S

Permalänk
Medlem
Skrivet av SuperNova:

Tyvärr tror jag att de resonerar helt i kronor och ören.
De räknar helt enkelt med att han genom sitt agerande drog in mera pengar till "dem" än vad denna smäll nu kostar.
...

Oavsett om det var en ekonomisk strategi att låta säkerheten bero så är det inte denna situationen som var i kalkylen. Även om dem tjänade mer under senaste 2 -3 åren på att inte röra miljön så kommer det vara många gånger värre att vara på svarta listan i IT-branchen under odefinerat antal år. Tanken var nog snarare att inte lägga pengar på denna del av deras IT-miljö för att så snart som möjligt sälja av den och låta någon annan ta kostnaden. "Tyvärr" gick det inte som planerat...

Permalänk
Sötast
Skrivet av Trihxeem:

Håller inte med att VDn kan delegera bort sitt ansvar för verksamheten. Det är ju en enorm blunder och sänker trovärdigheten för företaget på grund av VDns girighet.

Baserat på att artikeln stämmer ja

Hm, hur tänker du att en 8H arbetsdag ser ut om en endaste person skall checka in med 21000 anställda och låt säga 2000kunder och inte bara på helhetsnivå. På detaljnivå för varenda kund? samtliga incidenter, säkerhetsbrister, pentester, planerade förändringar, daglig drift etc. Skall denne person också sitta med i t.ex upplärning för first line agenter?

en VD's roll är väl ett helhetsansvar och att driva företaget på ett så bra vis som möjligt och inte att man skall göra precis allt och veta precis allt för ett helt företag?

För isåfall kan ju vdn bara sparka de andra 21000 anställda eftersom han då skall utföra allt arbete själv?

Än en gång - Jag försvarar definitivt inte företag med slentrianmässigt beteende och bristande rutiner etc. Men att hänga en man när det är en isolerad enhet som felar känns lite skumt.

Permalänk
Medlem
Skrivet av DLM:

Oavsett om det var en ekonomisk strategi att låta säkerheten bero så är det inte denna situationen som var i kalkylen. Även om dem tjänade mer under senaste 2 -3 åren på att inte röra miljön så kommer det vara många gånger värre att vara på svarta listan i IT-branchen under odefinerat antal år. Tanken var nog snarare att inte lägga pengar på denna del av deras IT-miljö för att så snart som möjligt sälja av den och låta någon annan ta kostnaden. "Tyvärr" gick det inte som planerat...

Undrar vad alla övertidstimmar, uteblivna intäkter osv har kostat? Det gäller att hålla underhållet på en rimlig nivå så att inte dyra kriser som den här uppstår.

Permalänk
Medlem

Enligt TE själva är allt guld och gröna skogar.
https://www.tietoevry.com/se/nyhetsrum/alla-nyheter-och-press...

Det är ärligt talat snudd på häpnadsväckande hur man som bolag efter en uppsjö bevis fortsätter argumentera att man själv inte bär något ansvar. Då jag råkar ha att göra med TE dagligen i mitt jobb så meddelade jag dem senast idag att det jag ser och det jag hör inte går ihop. Och måste jag välja mellan ord eller handling så väljer jag handling, och då ligger de pyrt till.

Men, precis som någon här ovan skrev, de har riktat in sig på offentlig sektor och där har man LOU att förhålla sig till. Inom privat sektor hade de inte överlevt länge, då deras fasoner aldrig skulle ha tolererats, men givet den gigantiska tröskel som LOU medför gällande upphandling och transition så kommer de undan med det.

Tragiskt, men vad ska man göra.

Visa signatur

---

Permalänk
Medlem
Skrivet av Gorian:

Enligt TE själva är allt guld och gröna skogar.
https://www.tietoevry.com/se/nyhetsrum/alla-nyheter-och-press...

Det är ärligt talat snudd på häpnadsväckande hur man som bolag efter en uppsjö bevis fortsätter argumentera att man själv inte bär något ansvar. Då jag råkar ha att göra med TE dagligen i mitt jobb så meddelade jag dem senast idag att det jag ser och det jag hör inte går ihop. Och måste jag välja mellan ord eller handling så väljer jag handling, och då ligger de pyrt till.

Men, precis som någon här ovan skrev, de har riktat in sig på offentlig sektor och där har man LOU att förhålla sig till. Inom privat sektor hade de inte överlevt länge, då deras fasoner aldrig skulle ha tolererats, men givet den gigantiska tröskel som LOU medför gällande upphandling och transition så kommer de undan med det.

Tragiskt, men vad ska man göra.

Allting är relativt, att byta ut ett lösenord från admin varje år är att förbättra säkerheten. Men inte i så hög takt.

Personligen om jag haft en sådan här miljö hade jag varit livrädd att få en sådan här attack och hade synat systemet i sömmarna för att täppa till alla hål. Då det är lätt att orsaka enorm skada på kort tid, vilket hände här.

Ett problem kan vara att det är spretigt med kunder, svårt att få till servicefönster. Och att budgeten sätter stopp för att bygga systemet tillräckligt redundant för att man ska kunna hålla allt flytande under uppdateringar.

Permalänk
Medlem
Skrivet av Gorian:

Enligt TE själva är allt guld och gröna skogar.
https://www.tietoevry.com/se/nyhetsrum/alla-nyheter-och-press...

Det är ärligt talat snudd på häpnadsväckande hur man som bolag efter en uppsjö bevis fortsätter argumentera att man själv inte bär något ansvar. Då jag råkar ha att göra med TE dagligen i mitt jobb så meddelade jag dem senast idag att det jag ser och det jag hör inte går ihop. Och måste jag välja mellan ord eller handling så väljer jag handling, och då ligger de pyrt till.

Men, precis som någon här ovan skrev, de har riktat in sig på offentlig sektor och där har man LOU att förhålla sig till. Inom privat sektor hade de inte överlevt länge, då deras fasoner aldrig skulle ha tolererats, men givet den gigantiska tröskel som LOU medför gällande upphandling och transition så kommer de undan med det.

Tragiskt, men vad ska man göra.

TietoEvry har mängder med privata kunder, t.ex har de många av de nordiska bankerna som kunder, och i ransomware attacken så drabbades bla Stadium, Granngården, Filmstaden och Rusta. De har även Tele2 samt många läkemedelsbolag som kunder.

Visa signatur

|Ryzen 5800x3d|RX 7900XTX Hellhound|Asus Prime X370 Pro|32GiB Corsair 3200MHz CL16 Vengeance|Corsair HX1000i|Fractal Define R5|LG 45GR95QE|Corsair K100|Razer DeathAdder V3 Pro|Ubuntu 24.04|

Permalänk
Medlem
Skrivet av Allexz:

Hm, hur tänker du att en 8H arbetsdag ser ut om en endaste person skall checka in med 21000 anställda och låt säga 2000kunder och inte bara på helhetsnivå. På detaljnivå för varenda kund? samtliga incidenter, säkerhetsbrister, pentester, planerade förändringar, daglig drift etc. Skall denne person också sitta med i t.ex upplärning för first line agenter?

en VD's roll är väl ett helhetsansvar och att driva företaget på ett så bra vis som möjligt och inte att man skall göra precis allt och veta precis allt för ett helt företag?

För isåfall kan ju vdn bara sparka de andra 21000 anställda eftersom han då skall utföra allt arbete själv?

Än en gång - Jag försvarar definitivt inte företag med slentrianmässigt beteende och bristande rutiner etc. Men att hänga en man när det är en isolerad enhet som felar känns lite skumt.

Vem säger att han måste veta om allt eller fråga alla vad de håller på med?
Nej man delegerar till personer man litar på men smäller det får man fortfarande ta ansvaret.

Visa signatur

Att förespråka Mac på Swec är som att förespråka hybridbilar på en raggarträff i Mora.

Nuvarande stationär: 7800X3D, 128Gb ram, 4Tb nvme, 3x8Tb sata-ssd, 4070 Ti S

Permalänk
Medlem

Tätto kan komma med management speak och allt sånt.

Men vi som sett bolaget och hört historier från/om de som jobbar där vet att SvDs artikel snarare är snäll och på bolagets sida än sensationell. Det är ett bolag som främst haft som syfte att vara gött och avslappnat för cheferna. När man jobbat hårt med krav inom andra bolag har det varit "pension" att kliva in i TE och lyfta en hög lön genom att hålla med allt som ledningen sagt.

"Nobody got fired for buying IBM" borde i Sverige vara "It got fired for selecting Tieto".

Visa signatur

4090/7950X

Permalänk
Medlem
Skrivet av ackwell:

Haha otippat. Aged like milk:
"Tietoevry efter attacken: Inga brister i vår it-säkerhet"

De har iaf uppgraderat det från första kommentaren från VD "Vi har bara gjort exakt det kunderna sagt så om vi har dålig säkerhet är det deras fel!"

Visa signatur

4090/7950X

Permalänk
Medlem
Skrivet av AppendixSE:

De har iaf uppgraderat det från första kommentaren från VD "Vi har bara gjort exakt det kunderna sagt så om vi har dålig säkerhet är det deras fel!"

Det var dock inte VD:n utan Sverigechefen (Venke Bordal) för deras "tech services" som intervjuades av DN:

Citat:

"Du kan köpa en Rolls-Royce, eller du kan köpa en Skoda. Kunden måste själv bedöma utifrån sin verksamhet, hur kritisk är den? Nöjer jag mig med en Skoda som är säker och bra eller behöver jag Rolls-Royce?"

Fast kanske mest komprometterande var ju:

DN: Menar du att den här attacken inte alls är kopplad till att ni har brustit i något led?
VB: Ja, det menar jag.

DN: Men angriparna är inte magiker, de utnyttjar säkerhetshål.
VB: Vi vet inte hur man har attackerat här. Men ja, jag vågar påstå att vi har en väldigt hög säkerhet.

DN: Tillräckligt hög?
VB: Ja

DN: Finns det inget ni kunde ha gjort för att stoppa det här?
VB: Det vet jag inte, för vi vet inte hur det här hände. Vi har inte de svaren, det får polisutredningen svara på.

Visa signatur

|Ryzen 5800x3d|RX 7900XTX Hellhound|Asus Prime X370 Pro|32GiB Corsair 3200MHz CL16 Vengeance|Corsair HX1000i|Fractal Define R5|LG 45GR95QE|Corsair K100|Razer DeathAdder V3 Pro|Ubuntu 24.04|