Lolz
1177-status:
(This post is now available in English at
https://medium.com/…/2-7-medical-cal...d-in-sweden-a…)
Jag vet att jag har många vänner och bekanta som inte är så vana vid IT-jargong, vilket såklart används flitigt när de inblandade försvarar sig. Många känner nog att det är en allvarlig olycka som inträffat, något oförutsett, en oönskad men oundviklig bieffekt av digitaliseringen.
Så är inte fallet.
Varenda kodare och jag sett, hört och pratat med asgarvar och gråter om vartannat. Varenda intervju kring detta låter som en Monty Python-sketch, eller som denna klassiker:
https://www.youtube.com/watch?v=3m5qxZm_JqM
Det är fullkomligt uppenbart att INGEN inblandad vet ett dyft om något om IT-säkerhet, och knappt något om IT alls. Digitalisering orsakade inte 1177-fiaskot. Absurd inkompetens var orsaken. Verkligen absurd.
Det är alltså ett problem med upphandling, och med konsulter som lovar mycket men fattar noll, och upphandlare som inte har kunskap eller egen personal med kompetens att sätta emot. Det hela blir som en Dunning–Kruger-effekt på systemnivå: folk har så dålig koll att de inte fattar hur dålig koll de har, så de antar att deras lösningar är okej. De begriper inte heller hur lite de andra parterna kan, och plötsligt är det en blind som leder en blind. Det krävs ytterst lite kompetens för att åtminstone begripa att känslig data kräver speciell omtanke, att man behöver ta reda på vad man inte vet, be om hjälp. Inte koppla upp skiten och tänka att det säkert går bra.
I den här statusen kommer samla mina favoritcitat från de inblandade i debaclet allteftersom jag hittar dem, för det är en sådan guldgruva. Man får hjärnblödning av dumheten.
Tommy Ekström, vd på Voice Integrate Nordic AB:
1. "Så den är en intern hårddisk kan man säga, som inte är lösenordsskyddad eftersom man bara kan nå den via datorn den kopplats till."
2. "Vanliga personer klarade inte av det, men de som kan sådant här kunde göra något slags speciell kommandorörelse och slinka in bakvägen."
3. "Det är jämförbart med en personlig hemmahårddisk. Man övervakar inte den för intrång, för det går ju inte att komma in i den."
4. "Av någon anledning har den fått en egen liten sladd mot internet. Det hade inte gjort något om man inte kände till att servern hade det här problemet, men det fick Computer Sweden reda på."
5. "Det går inte att skydda sig hundra procent från sådant här, men vi måste se över våra rutiner, och det gör vi nu. Om vi gör en uppgradering av den här sortens servrar måste vi titta på om de är nätanslutna. Som en checklista när man landar ett flygplan. Sådana här incidenter beror ju på att man har mycket folk i omlopp, inte att någon gör medvetet jävelskap." (Kul, för det är som om en pilot plockat bort en motor och försöker lyfta baklänges, och skylla haveriet på att "det behövs rutiner".)
6. "Men det visar sig att även den simplaste hårddisk är nåbar om den ansluts till nätet."
7. Tommy Ekström säger att de nu har dragit ur internetsladden och släckt hårddiskens nätåtkomst (Kul, p.g.a. de har inte alls kopplat ur något, och folk kunde forstätta komma åt filer flera timmar senare, med ganska enkla medel).
8. Enligt Ekström har 55 filer laddats ned från disken, ”varav en stor mängd dubletter”.
9. Tommy Ekström säger att Voice Integrate Nordic initialt utreder sig själva, men att externa kontrollpersoner kan komma på fråga i ett senare skede.
– Vi har folk som är otroligt duktiga på detta.
(Extremt kul, p.g.a. det kan ni omöjligt ha, och ni är 3(!) anställda enligt allabolag.se)
10. "De behöver inte vara oroliga, deras information är inte släppt. De filer som laddats ned är ingen stor mängd, och vi vet vilka det är."
11. "Men samtidigt, har man en avancerad teknologi så är det omöjligt att skydda sig mot allt."
12. "Det är inte så enkelt i dag att man bara har en server med allting på, det är ett enda jox med en massa involverade, massa olika delar utanför vårt eget företag."
13. "Vi använder Applion för att de har så bra certifikathantering."
14. "Menar du att det inte finns ett användarnamn och lösenord på servern?"
15. "Att nån troligtvis vid nån uppdatering nån gång sett att det satt ett ledigt nätkabelsuttag i servern och så har de väl tänkt då, nån tekniker: 'Jaha, här ska nog en kabel sitta, som ramlat ur', och så har man stoppat in en nätsladd där, och då blivit ansluten till internet. Det är så man går tillväga, liksom." (DET ÄR INTE SÅ MAN GÅR TILL VÄGA! Sluta gå tillväga på det här sättet. Kul, p.g.a. det låter som någon som är kunnig nog att fixa med sitt hemma-wifi och skrivare, och tänker att det här med att hantera användardata i ett företag är typ samma grej.)
Davide Nyblom, vd på Medicall
1. "Vi har kollat upp detta med vår it, och det du säger är helt omöjligt"
Voice Integrate Nordics hemsida:
1. " Vi har fått en hel del "ris" för denna händelse men vi försöker ändå att vara fokuserade på att minimera skada samt tillrättalägga felet." (Nej, det är inte synd om er.)
Medicall hemsida:
1. "Den 18 februari upptäcktes ett intrång hos MediCalls och MedHelps IT-Leverantör Voice Integrate Nordic AB." (Kul, p.g.a. det är knappast att "upptäcka ett intrång" att bli uppringd av en journalist som sitter och tittar på din känsliga data och fråga "Va, är det inte lösenordskyddat?")
2. "Servern är placerad i Sverige och inga patientuppgifter eller personuppgifter lagras utanför Sveriges gränser." (Kul p.g.a. so what när de ligger på internetuppkopplade servrar?)
Björn Arkinger, affärsområdeschef på Medhelp:
1. (På frågan: "Varför anlitar man inte en hackare [kallas 'penetrationstestare', Rikards anm.] som kan gå in och se om systemen håller?"
"Ja, det är en bra fråga. Alltså, man ska veta att det är väldigt komplexa system som hanterar den här typen av lösningar. Det är svårt." (Kul, p.g.a. en NAS i ett hörn är inte ett "komplext system". Möjligtvis är härvan av avtal mellan underleverantörer komplext, men få det inte att låta som ett tekniskt problem är du bussig.)
2. "Jag skulle inte säga att gemene man har kunskap nog att komma åt dem. Det krävdes att man gjorde en portskanning på servern och en viss form av ansträngning." (Gemene man har absolut kunskap att komma åt, eftersom det handlar om att gå till en webbadress. Att hitta läckan kräver att man letar lite, men detta hade kunnat spridas hur långt och länge som helst till vem som helst om inte några good guys hade kommit först och varnat.)
Övrigt kul:
Hemsidor från 90-talet:
https://www.voiceintegrate.com/
https://webcache.googleusercontent.com/search… (Varför finns en Guy Fawkes-mask på startsidan???)
OBS! Nedan är overifierade uppgifter, som mycket väl kan vara påhittat. Men "Dark web" i det här fallet är tydligen Flashback Forum, så jag har gärna kvar det, för det är väldigt kul att kalla Flashback för "dark web".
1. The breach is still ongoing, according to statements on the dark web, 30 minutes ago (21:10 CET).
"Tror ni inkompetensen är över? Nej. Man har inte dragit ut sladden. Kör wireshark och skicka skräppacket så ser ni att det enda som filtreras är syn-ack från servern.Slumpade seq-nr i respons bara någon timme och upprättade till slut en anslutning. Vad tror ni jag ser? Färska samtal från bara några sekunder sen i mappen /2019/"
2." There are quite a few hosts responding on port 80 in the 188.92.248.0/21 subnet, including versions of httpd and php over a decade old. I wouldn't be surprised if there are more things unsecured. Yikes."
Källa:
https://news.ycombinator.com/item?id=19191241
Allt detta från Rickard Hjorts inlägg här nedan.
https://medium.com/@rikardhjort/2-7-...hw0OwV-QP1SlPI