Totalhaveri i patientsäkerheten 2,7 miljoner samtal till 1177 vårdguiden läckta

[High1ander]

Roliga med upphandlingar är att anbud kan vara hemliga, så man kan inte se om konkurrenter som är skojare tummar på saker. Då är sådan upphandling av icke-kritiska saker som kaffemaskiner... dvs. offentlig upphandling skyddar inte per automatik mot korruption eller dåliga produkter, däremot garanterat dyrare för alla. Frågan är om det är krävt i upphandlingen bättre lagring eller om de som speccat varit idioter och inte krävt. Händer ju att de som skriver specifikationerna har mer motsägelser än bibeln...

[spas]

Citat:

Ursprungligen postat av High1ander

Roliga med upphandlingar är att anbud kan vara hemliga, så man kan inte se om konkurrenter som är skojare tummar på saker. Då är sådan upphandling av icke-kritiska saker som kaffemaskiner... dvs. offentlig upphandling skyddar inte per automatik mot korruption eller dåliga produkter, däremot garanterat dyrare för alla. Frågan är om det är krävt i upphandlingen bättre lagring eller om de som speccat varit idioter och inte krävt. Händer ju att de som skriver specifikationerna har mer motsägelser än bibeln...

Dålig koll bland dem som upphandlar och krav på att välja billigaste förslaget är sånt sjukt slöseri i slutändan.

[Macroman]

Citat:

Ursprungligen postat av sydskaningen

Med nuvarande upphandlingsregler och praxis så blir det många totalhaverier, vissa uppmärksammas i media, andra inte. Det är i mångt och mycket ett systemfel på grund av ett system som är framdrivet av okunniga och ideologiskt drivna politiker. Jag har sett ett antal exempel irl, allt från bussar i kollektivtrafiken till halkbekämpning med mera. Låga priser vid upphandling>Stabila och hållbara system som borde fungerar bättre och sparar pengar i längden.

Citat:

Ursprungligen postat av wintersnowdrift

Ju mer jag ser av offentlig upphandling desto mer skeptisk blir jag.

Så här tänker våra klappidioter till politiker: Vi kan spara några miljoner/år på att inte ha en kompetent inköpsavdelning med rutinerade inköpare som är vana vid stora upphandlingar. Det de inte fattar är att detta sedan kostar många miljarder i andra delar av budgeten. Och då har jag inte ens nämnt den katastrofala inkompetens dessa säkerhetshaverier visar på...

[R0B]

Lolz



1177-status:

(This post is now available in English at https://medium.com/…/2-7-medical-cal...d-in-sweden-a…)

Jag vet att jag har många vänner och bekanta som inte är så vana vid IT-jargong, vilket såklart används flitigt när de inblandade försvarar sig. Många känner nog att det är en allvarlig olycka som inträffat, något oförutsett, en oönskad men oundviklig bieffekt av digitaliseringen.

Så är inte fallet.

Varenda kodare och jag sett, hört och pratat med asgarvar och gråter om vartannat. Varenda intervju kring detta låter som en Monty Python-sketch, eller som denna klassiker: https://www.youtube.com/watch?v=3m5qxZm_JqM

Det är fullkomligt uppenbart att INGEN inblandad vet ett dyft om något om IT-säkerhet, och knappt något om IT alls. Digitalisering orsakade inte 1177-fiaskot. Absurd inkompetens var orsaken. Verkligen absurd.

Det är alltså ett problem med upphandling, och med konsulter som lovar mycket men fattar noll, och upphandlare som inte har kunskap eller egen personal med kompetens att sätta emot. Det hela blir som en Dunning–Kruger-effekt på systemnivå: folk har så dålig koll att de inte fattar hur dålig koll de har, så de antar att deras lösningar är okej. De begriper inte heller hur lite de andra parterna kan, och plötsligt är det en blind som leder en blind. Det krävs ytterst lite kompetens för att åtminstone begripa att känslig data kräver speciell omtanke, att man behöver ta reda på vad man inte vet, be om hjälp. Inte koppla upp skiten och tänka att det säkert går bra.

I den här statusen kommer samla mina favoritcitat från de inblandade i debaclet allteftersom jag hittar dem, för det är en sådan guldgruva. Man får hjärnblödning av dumheten.

Tommy Ekström, vd på Voice Integrate Nordic AB:
1. "Så den är en intern hårddisk kan man säga, som inte är lösenordsskyddad eftersom man bara kan nå den via datorn den kopplats till."
2. "Vanliga personer klarade inte av det, men de som kan sådant här kunde göra något slags speciell kommandorörelse och slinka in bakvägen."
3. "Det är jämförbart med en personlig hemmahårddisk. Man övervakar inte den för intrång, för det går ju inte att komma in i den."
4. "Av någon anledning har den fått en egen liten sladd mot internet. Det hade inte gjort något om man inte kände till att servern hade det här problemet, men det fick Computer Sweden reda på."
5. "Det går inte att skydda sig hundra procent från sådant här, men vi måste se över våra rutiner, och det gör vi nu. Om vi gör en uppgradering av den här sortens servrar måste vi titta på om de är nätanslutna. Som en checklista när man landar ett flygplan. Sådana här incidenter beror ju på att man har mycket folk i omlopp, inte att någon gör medvetet jävelskap." (Kul, för det är som om en pilot plockat bort en motor och försöker lyfta baklänges, och skylla haveriet på att "det behövs rutiner".)
6. "Men det visar sig att även den simplaste hårddisk är nåbar om den ansluts till nätet."
7. Tommy Ekström säger att de nu har dragit ur internetsladden och släckt hårddiskens nätåtkomst (Kul, p.g.a. de har inte alls kopplat ur något, och folk kunde forstätta komma åt filer flera timmar senare, med ganska enkla medel).
8. Enligt Ekström har 55 filer laddats ned från disken, ”varav en stor mängd dubletter”.
9. Tommy Ekström säger att Voice Integrate Nordic initialt utreder sig själva, men att externa kontrollpersoner kan komma på fråga i ett senare skede.
– Vi har folk som är otroligt duktiga på detta.
(Extremt kul, p.g.a. det kan ni omöjligt ha, och ni är 3(!) anställda enligt allabolag.se)
10. "De behöver inte vara oroliga, deras information är inte släppt. De filer som laddats ned är ingen stor mängd, och vi vet vilka det är."
11. "Men samtidigt, har man en avancerad teknologi så är det omöjligt att skydda sig mot allt."
12. "Det är inte så enkelt i dag att man bara har en server med allting på, det är ett enda jox med en massa involverade, massa olika delar utanför vårt eget företag."
13. "Vi använder Applion för att de har så bra certifikathantering."
14. "Menar du att det inte finns ett användarnamn och lösenord på servern?"
15. "Att nån troligtvis vid nån uppdatering nån gång sett att det satt ett ledigt nätkabelsuttag i servern och så har de väl tänkt då, nån tekniker: 'Jaha, här ska nog en kabel sitta, som ramlat ur', och så har man stoppat in en nätsladd där, och då blivit ansluten till internet. Det är så man går tillväga, liksom." (DET ÄR INTE SÅ MAN GÅR TILL VÄGA! Sluta gå tillväga på det här sättet. Kul, p.g.a. det låter som någon som är kunnig nog att fixa med sitt hemma-wifi och skrivare, och tänker att det här med att hantera användardata i ett företag är typ samma grej.)

Davide Nyblom, vd på Medicall
1. "Vi har kollat upp detta med vår it, och det du säger är helt omöjligt"

Voice Integrate Nordics hemsida:
1. " Vi har fått en hel del "ris" för denna händelse men vi försöker ändå att vara fokuserade på att minimera skada samt tillrättalägga felet." (Nej, det är inte synd om er.)

Medicall hemsida:
1. "Den 18 februari upptäcktes ett intrång hos MediCalls och MedHelps IT-Leverantör Voice Integrate Nordic AB." (Kul, p.g.a. det är knappast att "upptäcka ett intrång" att bli uppringd av en journalist som sitter och tittar på din känsliga data och fråga "Va, är det inte lösenordskyddat?")
2. "Servern är placerad i Sverige och inga patientuppgifter eller personuppgifter lagras utanför Sveriges gränser." (Kul p.g.a. so what när de ligger på internetuppkopplade servrar?)


Björn Arkinger, affärsområdeschef på Medhelp:
1. (På frågan: "Varför anlitar man inte en hackare [kallas 'penetrationstestare', Rikards anm.] som kan gå in och se om systemen håller?"
"Ja, det är en bra fråga. Alltså, man ska veta att det är väldigt komplexa system som hanterar den här typen av lösningar. Det är svårt." (Kul, p.g.a. en NAS i ett hörn är inte ett "komplext system". Möjligtvis är härvan av avtal mellan underleverantörer komplext, men få det inte att låta som ett tekniskt problem är du bussig.)
2. "Jag skulle inte säga att gemene man har kunskap nog att komma åt dem. Det krävdes att man gjorde en portskanning på servern och en viss form av ansträngning." (Gemene man har absolut kunskap att komma åt, eftersom det handlar om att gå till en webbadress. Att hitta läckan kräver att man letar lite, men detta hade kunnat spridas hur långt och länge som helst till vem som helst om inte några good guys hade kommit först och varnat.)

Övrigt kul:
Hemsidor från 90-talet:
https://www.voiceintegrate.com/
https://webcache.googleusercontent.com/search… (Varför finns en Guy Fawkes-mask på startsidan???)

OBS! Nedan är overifierade uppgifter, som mycket väl kan vara påhittat. Men "Dark web" i det här fallet är tydligen Flashback Forum, så jag har gärna kvar det, för det är väldigt kul att kalla Flashback för "dark web".

1. The breach is still ongoing, according to statements on the dark web, 30 minutes ago (21:10 CET).
"Tror ni inkompetensen är över? Nej. Man har inte dragit ut sladden. Kör wireshark och skicka skräppacket så ser ni att det enda som filtreras är syn-ack från servern.Slumpade seq-nr i respons bara någon timme och upprättade till slut en anslutning. Vad tror ni jag ser? Färska samtal från bara några sekunder sen i mappen /2019/"
2." There are quite a few hosts responding on port 80 in the 188.92.248.0/21 subnet, including versions of httpd and php over a decade old. I wouldn't be surprised if there are more things unsecured. Yikes."
Källa: https://news.ycombinator.com/item?id=19191241


Allt detta från Rickard Hjorts inlägg här nedan.

https://medium.com/@rikardhjort/2-7-...hw0OwV-QP1SlPI

[Hemi]

Vad det här påminner mig om ett 90 tals projekt i ett företag jag jobbade i, shit, alla som var med i IT svängen på 90 talet måste få en del flashbacks.

"Sladden, dra ur sladden..." lol.

Lol, ja det är slapstick.

[Diomedea exulans]

Citat:

Ursprungligen postat av R0B

Det är alltså ett problem med upphandling, och med konsulter som lovar mycket men fattar noll, och upphandlare som inte har kunskap eller egen personal med kompetens att sätta emot.

En spontan reflektion är att det är symptom på ett större problem i hela det moderna samhällets arbetsliv i stort. Den som anställs på ett jobb är inte den som är bäst lämpad, utan den som kan övertyga anställaren att denne är bäst lämpad. Inte sällan används en utbildning som argument, men en utbildning är inte ett bevis på annat än att personen klarat ett visst antal tentor och inlämningsuppgifter, vilket inte nödvändigtvis kräver mer än ytlig inlärning som fort glöms bort. Att vara hundra procent ärlig och säga "jag är inte sådär jätteduktig kanske" gör att arbetssökaren får gå arbetslös medan jobbet går till någon annan som inte nödvändigtvis är duktigare, så arbetssökaren har inget incitament för att inte framställa sig i bästa möjliga dager. Det är i arbetssökarens intresse att ljuga lite och hoppas att man lyckas lära sig jobbet på plats. Väldigt förenklat är det den största skitsnackaren som får jobb idag, inte den den duktigaste personen.

Jag har dock inget förslag på något alternativt system som skulle fungera bättre.

[Rickard]

Det finns ju dock en fördel i det här.
Det här är något som är greppbart som ett problem för vanliga människor.
Allt annat är för abstrakt och man förstår inte vad som är problemet med dålig säkerhet samt att bli lagrad i alla möjliga och omöjliga sammanhang.

Det visar hur viktigt det är med hur och vilken data som hanteras utav vem.

[Hemi]

Det finns bara en sak som är av intresse, det skall inte läcka ut. Det spelar ingen roll vem du är eller vad du förstår.

[PixelMiner]

[Aryt]

Citat:

Ursprungligen postat av Diomedea exulans

En spontan reflektion är att det är symptom på ett större problem i hela det moderna samhällets arbetsliv i stort. Den som anställs på ett jobb är inte den som är bäst lämpad, utan den som kan övertyga anställaren att denne är bäst lämpad. Inte sällan används en utbildning som argument, men en utbildning är inte ett bevis på annat än att personen klarat ett visst antal tentor och inlämningsuppgifter, vilket inte nödvändigtvis kräver mer än ytlig inlärning som fort glöms bort. Att vara hundra procent ärlig och säga "jag är inte sådär jätteduktig kanske" gör att arbetssökaren får gå arbetslös medan jobbet går till någon annan som inte nödvändigtvis är duktigare, så arbetssökaren har inget incitament för att inte framställa sig i bästa möjliga dager. Det är i arbetssökarens intresse att ljuga lite och hoppas att man lyckas lära sig jobbet på plats. Väldigt förenklat är det den största skitsnackaren som får jobb idag, inte den den duktigaste personen.

Jag har dock inget förslag på något alternativt system som skulle fungera bättre.

Det är fan "nice guy" nivå på det där.. Nisse?

[Aryt]

Citat:

Ursprungligen postat av svenbanan

På åttiotalet hada man inget bättre för sig än att ringa och lyssna på mellanstadiegrabbar låtsas vara tjugo, eller så låtsades de vara tjejer. Alternativt låtades de sitta och runka.

Hoppas att du fått hjälp att lämna dessa.. urges.., låter lite vanskligt tbh.

[Diomedea exulans]

Citat:

Ursprungligen postat av Aryt

Det är fan "nice guy" nivå på det där.. Nisse?

Vadå?

[Aryt]

Citat:

Ursprungligen postat av Diomedea exulans

Vadå?

En nice guy

Citat:

The terms "Nice Guy" and "nice guy syndrome" can be used to describe a man who views himself as a prototypical "nice guy," but whose "nice deeds" are deemed to be solely motivated by a desire to court women. From said courting, the 'nice guy' may hope to form a romantic relationship or may be motivated by a simple desire to increase his sexual activity. The results of failure are often resentment toward women and/or society. The 'nice guy' is commonly said to be put by women "into the friend zone" who do not reciprocate his romantic or sexual interest. Third wave feminist interpretations tend to see this resentment as being based upon an assumption by men that they are entitled to sex and are therefore confused when they find that it is not forthcoming despite their supposed 'niceness'.[24] More male orientated interpretations claim that the resentment is down to the fact that society, and the vast majority of people in spoken conversation, claim to be attracted to traits such as honesty, integrity and kindness, when in reality more superficial considerations trigger attraction. According to this interpretation people who display wealth, good looks, dominance and confidence tend to succeed more in romance than do 'nice guys'. Nice guys are therefore resentful at the inconsistency between what people claim to be attracted to and by how they act in reality.

var lite paralleller där mot arbetsgivare och berättigande till jobb

[Wain]

Citat:

Ursprungligen postat av PixelMiner

[YT]8mxgjJeFMfw[./YT]

[Diomedea exulans]

Citat:

Ursprungligen postat av Aryt

En nice guy


var lite paralleller där mot arbetsgivare och berättigande till jobb

Jag förstår vibbarna. Det var ju klagomål mot samhället.

Jag försäkrar dig dock att jag inte är ett så bra troll att jag klarar att skapa en hel parallell persona med unikt uttryckssätt som Nilz.