Om det är så svårt att förhindra som du antyder är ju den enda logiska slutsatsen att inte ha känsliga data som inte får komma ut i kontakt med nätet. För vill någon verkligen sno datan är det ju enligt dig inte realistiskt möjligt att hindra det. Är det rätt uppfattat?. Eller finns det organisationer som har kompetens att skydda sin data ändå? I så fall, varför kunde inte Miljödata göra det. För jobbigt, för dyrt, inkompetenta? Eller hade de inte krav på sig från kunderna att göra det?G gaidin skrev:
Allt är en kompromiss mellan kostnad, användarvänlighet och säkerhet.L lbgu skrev:
Även om ett system inte har anslutning till Internet är det inte 100% säkert.
Ta t ex viruset Stuxnet som lyckades slå ut hela Irans kärnenergiprogram.
Om kunden haft några speciella krav på inbrottsskydd, larm etc och tex ett lager fuckar upp det så saker försvinner då är det normalt sett lagerföretagets problem.G gaidin skrev:
Men om man i princip bara köpt en plats i ett kallager där det springer löst folk hela tiden, då är det ju relevant vad som egentligen stod i avtalet.
Det innehållet är ju upphandlande tjänstemannen ansvarig för.
Indirekt tycker jag du säger att IT-säkerhetsarbete är meningslöst för vare sig man ligger i toppen eller botten av fältet, så är det slumpen som gör om man åker dit. En minst sagt märklig inställning från någon i branschen IT-säkerhet och inom offentlig IT-verksamhet. Tycker i alla fall jag...G gaidin skrev:
Det löser naturligtvis inte det aktuella problemet men om incidenten var möjlig på grund av att misstag gjorts är det väl lämpligt att man försöker förhindra liknande misstag i framtiden och då kanske även kan förhindra liknande kommande problem?G gaidin skrev:
Jag har svårt att se skillnaden. Även här hade det väl varit rimligt att undersöka om lämplig skyddsnivå rådde för kundregistret? Fanns rätt typ av lås? Rätt typ av vakter? Rätt typ av larm? Har samhället förändrats så att en upphandling som var rimlig för länge sedan inte längre ger det skydd som dagens situation kräver? Jag ser ingen större skillnad mellan händelserna. Intrång som intrång i min värld.G gaidin skrev:
Kanske? Eller så gör de allt för att tona ned incidenten och försöka sopa den under mattan. En sak är säker, säkerhetskulturen inom IT är riktigt rutten om man exempelvis jämför med hur flygbranschen hanterar incidenter och olyckor.G gaidin skrev:
Jag har inte dem. Det är du som vill hitta fel och kommer med diverse skumma teorier om att allt gått fel till, du måste väl ha gjort någon form av undersökning innan du kom fram till detta?K karlmb skrev:
Du vill skylla på upphandlingen men har inte ens sett den? Påhittade fel alltså.
Publicerat 13 minuter senare...Alfredo skrev:
https://www.nyteknik.se/debatt/lack...for-det-behovs-en-it-haverikommission/4392939
Och en väsentlig fras i den artikeln är den här:
"Kommissionen ska ha mandat att granska allvarliga digitala incidenter i offentliga verksamheter och deras leverantörskedjor – inte för att peka ut syndabockar, utan för att ta reda på vad som hände, varför det hände och hur det undviks framöver."
Medan händelsen togs upp i tråden av en person som just vill peka ut en syndabock som ska straffas. Det är det som jag har vänt mig mot.
Jag har inte sett någon incidentrapport från Miljödata eller någon annan info om hur angreppet gick till, jag antar att de inte skrivit klart den ännu eller inte vill publicera den.
Det vore intressant att se hur det gick till och vilken sårbarhet som utnyttjades. Det är väl inte osannolikt att det är den sårbarhet som hittades i sharepoint i Juli.
Lösningen på sårbarheten levererades ganska snabbt av Microsoft men många äldre implementationer i sharepoint slutade fungera när patchen vilket gjorde att det krävdes ganska mycket jobb för att kunna installera den, i synnerhet som det är mitt i semesterledigheten och många utvecklare inte var på jobbet.
Det vore intressant att se hur det gick till och vilken sårbarhet som utnyttjades. Det är väl inte osannolikt att det är den sårbarhet som hittades i sharepoint i Juli.
Lösningen på sårbarheten levererades ganska snabbt av Microsoft men många äldre implementationer i sharepoint slutade fungera när patchen vilket gjorde att det krävdes ganska mycket jobb för att kunna installera den, i synnerhet som det är mitt i semesterledigheten och många utvecklare inte var på jobbet.
Jag har aldrig skrivit att det är ett mål i sig. Däremot vänder jag mig starkt mot attityden att det bara händer, det är slumpen, ingen kan undvika sånt och liknande bortförklaringar som flera i tråden framför.BirgitS skrev:
Men visst, jag ställer mig frågande om man ska få vara hur vårdslös som helst i dessa sammanhang utan konsekvenser när man inte får vara det eljest i samhället.
Nu är det ju normalt affärshemligheter så det kan ju vi omöjligt få se.G gaidin skrev:
Men jag skulle vilja att någon med kompetens tittar på den och gör ett utlåtande.
Trots allt våra pengar och data.
Sedan skulle väl SKR kunna publicera vilka råd o riktlinjer de givit på området.
(Eftersom det också som ni gillar, är hemligt)
Det är inte det som är det stora, och dyra, problemet när det gäller just västlänken. Det är upphandlingen och entreprenadformen som är de stora problemen.K karlmb skrev: