20 år av backuper förlorade i Tietoevry-attacken

Hela syftet med en backup är ju att kunna återställa vid en fail.
Eftersom backuperna strök med i samma fail... så kan man bara konstatera att dom gjort fel.

En sak om det nu -samtidigt- skulle råka bli, säg, en brand i serverhallen OCH i alla offsite-locations där man har sin cold-storage, då kan jag köpa att det gick åt helvete. Men här verkar dom ju alltså blivit av med produktion/live-system OCH backuperna i SAMMA attack. Då har man gjort nånting fel.

Där jag jobbar så sparas saker som "20 års historik" på BAND. Som inte ens går att komma åt online.

Det kan vara så att de skiljer mellan säkerhetskopia och arkivering, där i varje fall en del information fortfarande finns arkiverad. Annars kan det vara så att de behöver ha elektroniska arkiv som i vart fall delvis behöver vara tillgängliga för andra. Det skulle exempelvis kunna vara kommuner som behöver hålla delar av arkivet tillgängligt för andra kommuner.

Sånt här är svårt att veta utan att ha direkt insyn.

Jag kanske missuppfattar vad du försöker säga, men varför skulle inte arkiv omfattas av kraven på säkerhetskopiering?

Många pratar om backup och att det var där företaget failade. Men då undrar man som lekman på ämnet, hur går sådan här backup till generellt på hosting företag? Hur försäkrar man sig att hackers inte kommer åt det? Inte ens "insider hackers"? Ja, jo offline backup men vad betyder det egentligen? Hur går det till? Finns det 0 risk att "hacker", insider eller inte att komma åt ytan ens under ett kort fönster? Vem kommer åt backup ytan? Notera att vi pratar alltså inte vad det minsann ska hanteras enligt konstens alla "regler" utan hur hosting företag verkligen gör. Min uppfattning, åter igen som lekman på ämnet, är att det är vanligt med genvägar. Ex det tog bra många år för även stora företag att förstå att lagra lösenord i klartext i databasen är direkt dåligt.

Många pratar om backup och att det var där företaget failade. Men då undrar man som lekman på ämnet, hur går sådan här backup till generellt på hosting företag? Hur försäkrar man sig att hackers inte kommer åt det? Inte ens "insider hackers"? Ja, jo offline backup men vad betyder det egentligen? Hur går det till? Finns det 0 risk att "hacker", insider eller inte att komma åt ytan ens under ett kort fönster? Vem kommer åt backup ytan? Notera att vi pratar alltså inte vad det minsann ska hanteras enligt konstens alla "regler" utan hur hosting företag verkligen gör. Min uppfattning, åter igen som lekman på ämnet, är att det är vanligt med genvägar. Ex det tog bra många år för även stora företag att förstå att lagra lösenord i klartext i databasen är direkt dåligt.

Så utan att veta mer, hur är man så säker på att företaget i fråga har faktiskt misskött sig? Är det verkligen sannolikheten vi fäller domen på?

Tack, så hur sköter man detta generellt? Jag antar att man inte gör det helt manuellt när det handlar om backup för 100 tals företag? Så någon typ av automation som ändå ser till att backupen aldrig är kopplad till företagets nätverk? Och sen någon form av WORM-enhet som begränsar möjligheterna att ändra någon backup.

När man läser om det så får man känslan av att det anses "bransch säkert" men som du säger, det blir aldrig 0 risk.

Så utan att veta mer, hur är man så säker på att företaget i fråga har faktiskt misskött sig? Är det verkligen sannolikheten vi fäller domen på?

Har de lovat "backuper" så har de ju haft backuper bara att vissa av dem blivit värdelösa.

Hur det ska gå till har redan självutnämnda experter i tråden avhandlat och varför det inte alltid följs kan vi nog gissa har något med att det i många fall är vinstdrivande verksamhet, d.v.s man tar genvägar. Vidare menar man på att företaget i fråga har gjort ett extra dåligt jobb så då är det såklart intressant att få en inblick hu hur det "generellt" hanteras i branchen, följer man alla "how to" till punkt och prick? Hur görs backup på ett säkert vis som inte ens insider hackers kan nå till.

https://www.publikt.se/nyhet/inga-personuppgifter-uppges-ha-l...
"En annan offentlig aktör som drabbats hårt är Vellinge kommun, där allting från löneunderlag till journaler för äldreomsorgen har påverkats"

Har Tietoevry analyserat data:t lika noga som de skyddat sin backup mot ransomware?

Ligger det inte i begreppet backup att man faktiskt skall kunna återskapa datan som ligger på dom?

Och detta kommer vara en av anledningarna till att man antingen förbättrar sitt skydd.. eller bara betalar vid nästa ransomware.

Det håller jag med om. På samma sätt står det inte heller i avtalen att man hoppas kunna återställa datan. Jag tror att det kommer att bli en del jurister inblandade i att reda ut ersättningar till de drabbade företagen.

För Tietoevry så är det en vädligt liten del av verksamheten som är drabbad (runt 1-2% tror jag) men om de inte sköter detta på ett sätt som omvärlden uppfattar som korrekt så kan det bli stor påverken på deras framtida affärer.

Och detta kommer vara en av anledningarna till att man antingen förbättrar sitt skydd.. eller bara betalar vid nästa ransomware.

Hur definierar du andel drabbad verksamhet och var kommer 1-2 % ifrån? TE är ju inte speciellt transparenta och de drabbade företagens incitament att gå ut med det är kanske inte alltid högt.

T. ex. Azure Backup och deras Imutable Backup Vault där du konfigurerar att minst en månadsbackup ska lagras i några år innan den raderas av systemet. Dyrt, men värt pengarna i liknande situationer.
Osannolikt att en hotaktör väntar i år innan de slår till, med tanke på vad de vill åt; snabba cash.

Jag har hela tiden tänkt att det på det här forumet måste finnas åtminstone ett par som är anställda av/jobbar för TE, och där var du ju.

Sen hade jag också hoppats på lite verklig självinsikt, och där gick jag tydligen bet.

Eller bara återställa alls, jag vet inte varför du lägger till det där sista...

Hela syftet med en backup är ju att kunna återställa vid en fail.
Eftersom backuperna strök med i samma fail... så kan man bara konstatera att dom gjort fel.

En sak om det nu -samtidigt- skulle råka bli, säg, en brand i serverhallen OCH i alla offsite-locations där man har sin cold-storage, då kan jag köpa att det gick åt helvete. Men här verkar dom ju alltså blivit av med produktion/live-system OCH backuperna i SAMMA attack. Då har man gjort nånting fel.

Där jag jobbar så sparas saker som "20 års historik" på BAND. Som inte ens går att komma åt online.