Efter intrånget: Tietoevry anser att de har hög säkerhet

Jag är imponerad över att någon har haft sinnesnärvaro att spara gamla faxar. Myndigheten jag jobbar på har inte ens några gamla telefoner kvar.

Fast den CVE för Cisco ASA som det hänvisas till när det häller Akira är CVE-2023-20269 och den blev känd först i September förra året och inte för 4 år sedan. Verkar dessutom som om Cisco valt att inte släppa patchar för alla versioner av ASA heller.

Kontrakten sa nog bara att kundernas miljöer skulle vara säkra. Det var inte spec'at i kontrakten att hostens infrastruktur bakom skulle vara säker också.

I vården lever faxen kvar, svårt att skicka personuppgifter snabbt på annat sätt.

Nej, den som ansvarar för upphandlingar har sällan expertkompetens inom det som ska upphandlas, därför tar man med personer som har den kompetensen när man kravställer inför upphandlingen.

Precis, det behöver nog regleras i större grad så inte okunniga beställare kan/får välja fel.
Har själv jobbat som arkitekt inom infrastruktur i 20 år. Det är väldigt lätt som utomstående att säga att man borde gjort si eller så. Men i slutänden är allt en kostnadsfråga, man kan inte köpa/bygga mer än man har budget till.
Inte sällan är det omöjligt att få budget till att ersätta gamla/osäkra system innan de fallerar, särskilt om kostnaden för ersättningen mångdubblats. I bästa fall får man budget till att isolera/säkra upp så gott det går(tex genom virtualisering, mikrosegmentering, deep packet inspection etc).

Regleringar är ju förövrigt också en anledning till att det byggs för lite hus i Sverige... det har blivit alldeles för dyrt och komplext... så det är inte bara plus med det..
Dvs reglerar man it-branschen för hårt så riskerar man tappa framdrift. Allt blir plötsligt dyrt, komplicerat och omöjligt att genomföra.

Mmm, SweClockers standardlösning. "Det är bara att göra rätt." Det är inte alltid den kompetensen finns att tillgå.

Jag skrattar gott åt att de hävdar att de får "utbilda sjuksköterskor i hur de använder fax". Jag råkar veta att en majoritet av de svenska sjukhusen lägger ALLA sina orderar med fax och har gjort så i decennier. Detta är unikt i Norden då i stort sett alla sjukhus i Norge, Danmark och Finland skickar elektroniska beställningar. Svenska sjuksköterskor behöver inte "utbildas" de gör som de alltid har gjort; klistrar etiketter på papper och faxar det som en beställning.

Det motsatta problemet finns på andra sidan. Man har lovat att göra ett visst jobb för en viss peng och redan lagt ner den tid det går åt att göra jobbet. Sedan kommer kunden och vill ha något de var för lata för att tänka på från början, då gör man det för att vara snäll och vårda relationen. Sedan kommer kunden och vill ha ytterligare något och då begär man att få betalt för nerlagd tid. Kunden säger nej. Sedan blir det dålig stämning. I de flesta fall så är lösningen antagligen att avtala om en timbank och sedan stämma av mot den och gemensamt prioritera hur timbanken ska användas framöver. Då finns det bland annat rum för leverantörens anställda att komma med initiativ för hur man ska jobba kontinuerligt med säkerhet.

Ovanstående är anledningen till att husanslogierna inte håller. Ett hus kan slutbesiktigas. En IT-driftstjänst är ett pågående engagemang från bägge håll.

Många organisationer outsourcar för att slippa engagera sig. Det går helt åt helvete, varje gång. Är man lat kommer man få lida för det. Inklusive om man inte gjort nog research om sin leverantör för att veta om de är kompetenta eller inte.

På trådens ämne ser det hela ut att falla helt på Tietoevry. Man kan naturligtvis inte skylla på kunderna när man samtidigt säger att man inte vet vad som hänt. Om man inte vet vad som hänt så kommer det antagligen hända igen, så alla kunder med självbevarelsedrift bör förstås ta sitt pick och pack och dra fortast möjligt. Som många konstaterat är det antingen ett gigantiskt fail att utomstående har kommit åt infran, eller ett gigantiskt fail att man kunnat flytta sig mellan olika kunder.

Jag klarar inte av att forma en teori om ifall uttalandet är det minst dåliga sättet de kan komma på för att blanda bort korten eller om sverigechefen helt enkelt är dum i huvudet. Oavsett har jag svårt att tro att någon vill ha den ledningen hos en leverantör av kritisk infrastruktur.

Inte ett dugg svårt, finns massor av internetanslutna vårdsystem som hanterar känsliga personuppgifter, läkemedelsbeställningar et cetera. De som använder fax gör det främst för att de har svårt för förändring.

Jag har svårt att se att Venke kan sitta kvar som sverigechef på Tieto speciellt länge till. Hon mer eller mindre skyller ifrån sig allt och lägger ansvaret på kunderna. Tror inte det kommer falla i god jord och på sikt kommer detta bli hennes "famous last words".

Angående Tieto, när högsta hönan börjar dra analogier till fordonsvärlden, då ringer alla varningsklockor. Verksamheter som landsting/sjukvård har ju verkligen alla förutsättningar att själva drifta och utveckla sina IT-system, ändå outsourcar men sina viktigaste system och kärndata till talanglösa lycksökare. Vad är problemet? Detta är inte svåra saker att förstå sig på egentligen.

Än en gång angående Tietos misslyckande. De menar det kan hända vilka som helst? OK, vi spelar med och låtsas att det stämmer. Men det som inte vem som helst kan lyckas med är hur illa man lyckats återställa data och tjänster, återigen, det kan bara talanglösa konsulter lyckas med.