Digitalisering och risker

Snubbelfot

Trådstartare
IT-leverantören Tieto är utsatta för ett ransomwareangrepp. Jag kunde inte bry mig mindre om Tieto själva, men de har en stor mängd verksamhetskritiska kunder med avgörande beroenden. SF och Granngården m fl klarar sig säkert, men bedrövligare är att flera regioner har hela sina journalsystem remote hos Tieto. Region Uppsala och Region Västerbotten är drabbade, och ytterligare ett antal regioner står i omedelbart begrepp att migrera till exakt samma koncept. Bland andra min egen.

Ett problem är när åtkomsten till egna data försvinner, med de uppenbara konsekvenser det har för verksamheten - även om chefer på hög nivå naturligtvis försäkrar att det inträffade inte medför någon höjd patientsäkerhetsrisk. Det finns nämligen inget missförhållande oavsett grad eller art som medför risk, när man frågar chefer på verksamhetsnivå eller över. Orsaken är att ett sådant erkännande skulle skvätta direkt tillbaks på dem själva.

Ett annat problem, om än mindre akut, är risken att data nås av obehöriga.

Ett tredje problem är om man inte längre kan vara 100% säker på dataintegriteten - enkelt uttryckt att det man läser är exakt det som ursprungligen skrivits. Potentiellt oerhört kritiskt i vårdsystem.

Likväl står digitaliseringsprofeter i landets alla Regioner formligen i kö för att ta utveckla och implementera systemlösningar som har kritiska och avgörande beroenden till förhållanden och aktörer långt utanför organisationens egna horisont. Inte sällan i många nedstigande led av underleverantörer, vilket i praktiken gör riskanalyser svåra eller faktiskt omöjliga.

Aningen frustrerande.
 
Granngården försöker få tillbaka sina 10 miljoner i omsättning som de har varje dag. Så även om de klarar sig, blir det snabbt tokigt dyrt.

Men visst jag håller med om att det är ännu värre när vi bygger in dessa beroenden i samhällskritisk verksamhet. En riskanalys som är omöjlig att göra ger i många modeller högsta riskutfall tills den kunnat analyseras, så okunskap och komplexitet borde inte kunna användas till fördel för en lösning…
 
Vi har vårt elevregister i ett system från Tieto men som jag förstår det har det inte varit påverkat.

Som en liten kommun är det omöjligt att ha egna system till allt som behövs och vi är väldigt beroende av våra leverantörer vilket är trist. Större kommuner har annan möjlighet att ta fram egna system, kanske vore det bättre för oss som liten kommun att haka på dem.
 
Vi har vårt elevregister i ett system från Tieto men som jag förstår det har det inte varit påverkat.

Som en liten kommun är det omöjligt att ha egna system till allt som behövs och vi är väldigt beroende av våra leverantörer vilket är trist. Större kommuner har annan möjlighet att ta fram egna system, kanske vore det bättre för oss som liten kommun att haka på dem.
Egna system, som i specialbyggda, är en annan farsot. Det var kanske inte det du menade utan mer att man själv driftar de system man använder. Men det finns en spridd uppfattning, närmast en praxis, att just den egna regionens eller kommunens behov är så ytterligt unika och väsensskilda från alla andra regioners och kommuners behov, så att det är stört omöjligt att använda befintliga/färdiga/off-the-shelf koncept och lösningar. Man bara måste (låta) utveckla egna. Vilket förstås kommer med en hel palett med nackdelar. Men de egna IT-arkitekterna och systemutvecklarna får göra sig behövda.

Hur som helst, jag menar inte att det nödvändigtvis är negativt att köpa sitt system som en tjänst, eller lägga ut driften. Inte alls. MEN man behöver göra sin riskanalys på riktigt, och den (de) som gör riskanalysen skall inte sitta jävig i någon leverantörs knä - och behöver ovillkorligen ha ett verksamhetsnära perspektiv. Jag har sett, och tvingats delta i, riskanalyser som varit rena spel för gallerierna och orkestrerade av intressenter i vars intresse det ligger att genomföra till varje pris. Man blir inte poppis på att lyfta risker, man blir en gnällspik med särintressen... 🙄
 
Sorry en förmodligen korkad fråga, men jag förstår inte varför systemen fortfarande ligger nere? Det pratas om att det kan ta veckor innan systemen kommer upp igen... Vad är det som gör att man inte kan ta en backup och sätta upp på nån annan server i nån annan serverhall, så att man åtminstone bara kan få igång systemen?
 
Sorry en förmodligen korkad fråga, men jag förstår inte varför systemen fortfarande ligger nere? Det pratas om att det kan ta veckor innan systemen kommer upp igen... Vad är det som gör att man inte kan ta en backup och sätta upp på nån annan server i nån annan serverhall, så att man åtminstone bara kan få igång systemen?

Ett problem är att man måste ta reda på exakt var smittan finns, för att inte få exakt samma problem på en ny plats inom en vecka eller två när hackarna tycker det är rätt tidpunkt att återaktivera det sovande viruset. Det kan mycket väl finnas på plats också på backupen.

Många organisationer är inte heller alls rustade för att använda en backup bak i tiden när det kommer till praktiken.
 
Istället för att beväpna sig med vapen mot ryssen så är chanserna att om de anfaller är det digitalt och militären kanske skulle satsa mer på digital säkerhet inte sablar. Ett IT anfall som är tillräckligt stort och allvarligt kan rasera hela Sverige på en kort tid. Betydligt mer effektivt än att invadera Sverige fysiskt. Eftersom vi är så extremt digitaliserade så är vi också extremt sårbara.
 
Istället för att beväpna sig med vapen mot ryssen så är chanserna att om de anfaller är det digitalt och militären kanske skulle satsa mer på digital säkerhet inte sablar. Ett IT anfall som är tillräckligt stort och allvarligt kan rasera hela Sverige på en kort tid. Betydligt mer effektivt än att invadera Sverige fysiskt. Eftersom vi är så extremt digitaliserade så är vi också extremt sårbara.

Det jobbas enormt på den fronten (både inom FM och andra myndigheter), men av förklarliga anledningar går man inte ut med i detalj hur.
 
Ett problem är att man måste ta reda på exakt var smittan finns, för att inte få exakt samma problem på en ny plats inom en vecka eller två när hackarna tycker det är rätt tidpunkt att återaktivera det sovande viruset. Det kan mycket väl finnas på plats också på backupen.

Många organisationer är inte heller alls rustade för att använda en backup bak i tiden när det kommer till praktiken.
Tietoenator är en väldigt stor spelare för IT-drift.

Man kan tycka att de borde ha distribuerade, och väl skyddade backup lösningar på olika geografiska platser. Rimligtvis så har rörlig data åtskild från programvara, och har bl.a. programvara på andra medier än HD som är kopplade till nätet.

Jag som är rätt misstrogen när det gäller offentlig verksamhet och IT, misstänker att många/vissa myndigheter och organisationer inte ens efterfrågat IT-säkerhet, och framför allt inte velat betala för ökad säkerhet.

MVH Skogaliten som som vägrar att använda Office 365 och som backupar manuellt efter vissa kontroller 2 ggr per månad till stand-alone dator.
 
En gravt komplicerande faktor från min synvinkel är att digitalisering (och nu använder jag begreppet svepande) inte sällan drivs av närmast politiska beslut, genom organisationsdelar med relativt låg riskmedvetenhet och som är relativt långt från kärnverksamhet. De viktigaste strategiska besluten kan vara tagna innan rätt kompetenser får möjlighet att ifrågasätta.
 
Egna system, som i specialbyggda, är en annan farsot. Det var kanske inte det du menade utan mer att man själv driftar de system man använder. Men det finns en spridd uppfattning, närmast en praxis, att just den egna regionens eller kommunens behov är så ytterligt unika och väsensskilda från alla andra regioners och kommuners behov, så att det är stört omöjligt att använda befintliga/färdiga/off-the-shelf koncept och lösningar. Man bara måste (låta) utveckla egna. Vilket förstås kommer med en hel palett med nackdelar. Men de egna IT-arkitekterna och systemutvecklarna får göra sig behövda.

Hur som helst, jag menar inte att det nödvändigtvis är negativt att köpa sitt system som en tjänst, eller lägga ut driften. Inte alls. MEN man behöver göra sin riskanalys på riktigt, och den (de) som gör riskanalysen skall inte sitta jävig i någon leverantörs knä - och behöver ovillkorligen ha ett verksamhetsnära perspektiv. Jag har sett, och tvingats delta i, riskanalyser som varit rena spel för gallerierna och orkestrerade av intressenter i vars intresse det ligger att genomföra till varje pris. Man blir inte poppis på att lyfta risker, man blir en gnällspik med särintressen... 🙄
Jag utvecklade under en period tics i form av ofrivilliga grimaser av avsky när jag såg Treseva och Logica loggor...
Det kunde ha varit värre, vi hade dom som faktiskt blev sjukskrivna på grund av systemet och när vi hade ett haveri som drabbade våra klienter som med all rätt var mycket upprörda och desperata behövde man ta in vakter för som skydd...
 
Istället för att beväpna sig med vapen mot ryssen så är chanserna att om de anfaller är det digitalt och militären kanske skulle satsa mer på digital säkerhet inte sablar. Ett IT anfall som är tillräckligt stort och allvarligt kan rasera hela Sverige på en kort tid. Betydligt mer effektivt än att invadera Sverige fysiskt. Eftersom vi är så extremt digitaliserade så är vi också extremt sårbara.
Det görs hela tiden.
Och har gjorts kontinuerligt.
Och jag lovar dig att kompetensen är hög där.
Jag litar fullständigt på de människor som sköter den saken just nu.

https://sv.m.wikipedia.org/wiki/Försvarsmaktens_telekommunikations-_och_informationssystemförband
 

Bukefalos, Hästnyheter, Radannonser

Allmänt, Barn, Dagbok

Hund, Katt, Andra Djur

Hästrelaterat

Omröstningar

Tillbaka
Upp