Jep mutta esim. verkkolaitteet tulee pääsääntöisesti infran toimittajalta. Pääsääntöisesti Akira pääsee sisään päivittämättömistä/vanhoista verkon aktiivilaitteista.
4 tykkäystä
“The incidents were particularly related to weakly secured Cisco VPN implementations or their unpatched vulnerabilities”
17 tykkäystä
Ruotsissa uutisoidaan jopa valtiopäivien ottaneen osumaa, yli sadan muun viranomaisen lisäksi. Vaikutusten selvittely jatkuu edelleen, niukka tiedotuslinja johtunee siitäkin.
https://www.tv4.se/artikel/4RsT5No6DTudHrsbpTookn/riksdagen-drabbat-i-cyberattacken
1 tykkäys
Sitten voineekin kaverin puolesta kysyä - onko säästetty liikaa perus Admin duunareista (jatkuvat yt:t) kun koitettu laittaa tech-puolta väkisin myyntikuntoon.
Mutu osuu kerrankin oikeaan, olen vähentänyt osakepottia samaan tahtiin kuin yt-ilmoitusta on pukannut.
3 tykkäystä
En omista yhtiötä, mutta tämä alkaa näyttämään erittäin huolestuttavalta. Katsonut Stadiumin ja Rustan sivuja ja ne ovat nyt ollut sunnuntaista lähtien alhaalla, mietin vaan että tuleekohan tästä jotain korvausvaatimuksia menetetystä myynnistä. Kuvittelisin, että kyseiset sivut generoisi aika paljon myyntiä per päivä (lisäksi taisi olla useampi muukin toimija).
7 tykkäystä
TietoEvry päivittää tilannetta Ruotsin sivujensa kautta.
Tosin tuorein päivitys on 22.1. ja sangen geneerinen
2 tykkäystä
Ei nyt ihan pikkumurheesta kyse, josta selviäisi olan kohautuksella. Useammalla asiakkaalla ollut verkkokauppa nurin jo nyt 4:tä päivää. Tarkoittaa, että tärkeät myyntikanavat myyvät ei-oo:ta ja rahalliset tappiot on isot. Toivottavasti sopparit ja vakuutukset Tiedolla kunnossa. Mainehaitta iso ja toivottavasti ei seuraa suoraan menetettyjä asiakkuuksia.
4 tykkäystä
Tässä Tivin uutinen asiasta.
5 tykkäystä
Kääntäjän kautta tämän päiväinen (25.1.2024) tiedote
Kiristysohjelmahyökkäys yhteen Tietoevryn palvelinkeskuksista Ruotsissa tapahtui 19. ja 20. tammikuuta välisenä yönä. Tietoevry eristi haavoittuneen alustan välittömästi, eikä hyökkäys ole vaikuttanut yhtiön infrastruktuurin muihin osiin.
Tietoevry jatkaa työskentelyä ympäri vuorokauden laajan asiantuntija- ja teknikkoryhmän kanssa palauttaakseen palvelut asianomaisille asiakkaille. Systemaattinen työ tapahtuu useissa eri vaiheissa ja on edennyt tasaiseen tahtiin yhteistyössä asianomaisten asiakkaiden kanssa.
Voimme ilmoittaa, että ensimmäiset asiakaskohtaiset järjestelmät, joihin hyökkäys vaikuttaa, on palautettu ja toimintakuntoisia. Teemme kovasti töitä varmistaaksemme huolellisesti suunnitellun prosessin, jonka avulla useat järjestelmät palautetaan asteittain samaan toimintatilaan.
Kaiken kaikkiaan asiakaskohtaiset tilanteet vaihtelevat suuresti esimerkiksi sen suhteen, mihin ratkaisuihin se vaikuttaa, sekä palautettavien tietojen määrässä ja monimutkaisuudessa. Rajoitettu määrä asiakastapauksia vaativat lisäpalautustoimenpiteitä ja ne käsitellään tiiviissä vuoropuhelussa näiden asiakkaiden kanssa.
Tapahtuman luonne ja palautettavien asiakaskohtaisten järjestelmien määrä huomioon ottaen palautusprosessi voi silti kestää useita päiviä, jopa viikkoja.
Laadun ja turvallisuuden takaamiseksi meidän on edettävä hyvin systemaattisesti ja perusteellisesti. Teemme kaikkemme palauttaaksemme asiakkaidemme palvelut turvallisesti ja mahdollisimman pian teknisesti mahdollista. Olemme pahoillamme tämän hyökkäyksen aiheuttamista ongelmista asiakkaillemme ja kaikille, joita se koskee, sanoo Venke Bordal, Tietoevry Tech Servicesin Ruotsin johtaja.
Jatkamme tiivistä yhteistyötämme poliisin ja muiden viranomaisten kanssa ja autamme heitä kaikin tavoin tukemaan tutkintaa. Olemme erittäin halukkaita ratkaisemaan tämän ja työskentelemään yhdessä estääksemme tulevat kyberhyökkäykset yhteisöämme vastaan. Teemme tämän sekä itsemme että asiakkaidemme turvallisuutta ajatellen, Venke Bordal sanoo.
Koska kiristysohjelmahyökkäykset ovat vakava rikos, Tietoevry otti välittömästi yhteyden asiaankuuluviin viranomaisiin, mukaan lukien Ruotsin poliisiin. Poliisin ilmoitus tehtiin lauantaiaamuna 20. tammikuuta ja aktiivinen vuoropuhelu viranomaisten kanssa jatkuu.
6 tykkäystä
Onko arvioita siitä, millaiset taloudelliset vaikutukset tällä hyökkäyksellä on? Itsellä ei ole mitään aavistusta ns. suorista kustannuksista.
Mainehaittaa tietysti mahdoton mitata rahassa ja miten tämä saattaa vaikuttaa tuleviin diileihin.
Edit. Vai voiko tätä arvioida vasta kun laajus ja kesto ovat kokonaisuudessaan selvillä?
Mahdotonta arvioida, koska vaikuttanut yrityksien suoraan myyntiin ja myös epäsuoraan myyntiin, esim järjestelmien osalta. Tätä varten on varmaan vakuutukset, mutta oma prosessinsa sekin. Yleensä tälläistä vyyhtiä selvitellään pitkään.
Pitkässä juoksussa, jos mainehaitta liian iso voi jopa tulla brändiuudistus. Suora vaikutus on se, että kyseinen liiketoiminta, jossa tietomurto tapahtui on kaupan. Tämä tarkoittaa, että joko myyntihinta putoaa koska kohonneet riskit tai lisäinvestointeja turvallisuuteen jolla voidaan pyrkiä ostaja paremmin vakuuttamaan, että samankaltainen tilanne ei toistu enään. Toki tämä on nyt toinen muutaman vuoden sisään, joten vaikeaa on vakuuttaa se ostajalle. Ainakin itselleni aika mahdoton skenario olla ajattelematta, ettei tämä vaikuttaisi myytävän liiketoiminnan valuaatioon. Näin ollen voi olla jopa uusi strateginen arviointi ja loppujen lopuksi liiketoimintaa ei tässä ajanhetkessä pyritä kauppamaan, kun valuaatio riskien kanssa pudonnut niin alas.
3 tykkäystä
Tässä vaiheessa on vielä vaikea arvioida tarkempaa suoraa taloudellista vaikutusta, koska rippuu kauanko tämän ratkominen kestää ja siten paljonko omaa extra työtä sekä ulkopuolista työtä ratkominen vaatii. Potentiaaliset isommat vaikutukset voivat tulla mikäli asiakaat vaatisivat XX korvausta menetetystä liiketoiminnasta, mutta tämä tilanne voidaan ymmärryksemmem mukaan mahdollisesti luokitella “force majeure” tilanteeksi. Lisäksi asiakkaalla ja Tietoevryllä on vakuutuksia, joka voi laskea kustannuksia. Tulevien viikkojen aikana tästä saadaan luultavasti parempaa tietoa. Tietoevry raportoi Q4:n 15 helmikuuta, jolloin viimeistään luultavasti saadan kommentteja tilanteseen.
Sitten mainehaitta Tietoevrylle on toinen asia ja sen vaikutuksia on vaikea arvioida. Kolmas asia on taas miten tämä nostaa kyberturvan otsikoihin ja vaikuttaako se markkinakysyntään? Case-Vastaamo ja Venäjän hyökkäys Ukrainaan loi paljon puhetta kyberturvasta, mutta ei ole näkemyksemme mukaan vaikuttanut suuremmin kyberturva kysyntään sektorilla.
28 tykkäystä
@HenryKle @Joni_Gronqvist Kiitos vastauksistanne! Sain näistä uusia näkövinkkeleitä ja ajatuksia.
Q4 rapsan kommentteja odotellessa…
Oman selvittelyn perusteella TietoEVRY:llä on sopimuksissa melko hyvät klausuulit joiden mukaan se ei olisi suoraan korvausvelvollinen asiakasyrityksille tämänkaltaisissa tapauksissa. Kenties asiakasyritykset saavat omasta keskeytysvakuutuksestaan jotain tai sitten eivät? Toki asiakkaat saavat tästä casesta ihan hyvää selkänojaa hintaneuvotteluihin. Uskon siihen, että jossain kohtaa on pakko tehdä myönnytyksiä asiakkaiden suuntaan vaikkei se olisikaan suora korvausvelvollisuus.
8 tykkäystä
Juurikin näin. Jos on todettu, että kyseessä on hybridi operaatio venäjän suunnalta, niin kyseessä on force majeure. Ja minusta Tietoevry vaikuttaa onnistuvan järjestelmien palauttamisessa. Kestää minkä kestää.
Mun on vaikea käsittää miten tällaisessa tilanteessa voisi vedota force majeureen eli ”ylivoimainen este, jota on ollut mahdotonta ennakoida”.
Eikös verkkohyökkäykset ole juuri niitä kaikkein keskeisimpiä tietoturvariskejä, joihin verkkoympäristössä toimiva IT-palveluntarjoaja voi ja tulee varautua ja yksi niistä keskeisistä asioista, joista asiakkaat maksavat? Etenkin, jos selvityksissä käy ilmi, että tietoturva ei ole ollut vaaditulla/sovitulla tasolla, mikä on mahdollistanut hyökkäyksen onnistumisen.
Jos tulivuori purkautuu ja laava peittää konesalin, niin ymmärtäisin force majeureen vetoamisen.
Mielenkiinnolla seuraan ratkaisua, enkä vain osakkeenomistajana.
30 tykkäystä
Oma muistikuvani, jota pikainen googletus tukee, on että ilman sopimuksen näkemistä on aivan mahdotonta sanoa mitään selvää asiasta, sillä varsinaisen sopimuskohdan muotoilu (jos sitä on) merkitsee todella paljon. Maerskin taauksen aikaan tällä spekuloitiin paljonkin.
Force Majeuren ajatus on suojata sopimuksen osapuolia tilanteelta, jota ei voida ennakoida ja joka on niiden hallinnan ulkopuolella (esim sota tai terroriteko). Mutta eihän toimija toisaalta voi mennä terroriteon taakse jos joku vain murtautuu sisään ja varastaa tavarat. Kyllä se olisi pitänyt ennakoida.
Lähtisin samasta logiikasta tietomurroissa. Jos kyseessä olisi ollut valtiollisen toimijan tuore ja yleisesti tuntematon, nollapäiviä ja ties mitä käyttävä hyökkäys, olisi se omasta mielestäni lähempänä force majeurea. Mutta nyt kyseessä on palveluntarjoaja, joka luultavasti on tarjonnut “tietoturvallista” palvelua, lisättynä ilmeisesti haittaohjelmalla, joka on tunnettu (mm. Traficomin erikseen varoittama), niin vähän on hankala mielestäni väittää ettei Tietoevrulla olisi ollut mahdollisuutta siihen varautua tai sitä yrittää estää.
Mutta tässä yhtälössä on paljon muutakin. Oliko se purnukka, josta sisään tultiin, kenen ylläpitovastuulla? Oliko sen suojaamisen laiminlyönti tahallista, tuottamuksellista vai aito vahinko? Onko asiakkaiden pitkittynyt downtime Tietoevrystä johtuvaa, vai ovatko asiakkaat itsekin laiminlyöneet esimerkiksi omia varmuusmenettelyjään (klassikko on varmuuskopiot, joiden tekemisen ja testaamisen kaikki osapuolet olettavat kuuluvan toiselle osapuolelle)? Onko soppareissa alunperinkin luvattu tai rajattu jotain ulkouolelle? Onko asiakas valinnut tietoisesti “halvemman” palvelutason “hyvän” sijaan jne.
tl;dr: Tietoevryn kannalta tämä ei ole positiivinen juttu tietenkään ja epäsuorat vaikutuksen erityisesti voivat näkyä myyntiputkessa. Mutta mitään euromääriä tms ei oikein voi huudella ennen kuin yksityiskohtia alkaa paljastumaan.
12 tykkäystä
Tietoturva(kin) kanssa työskentelevän voin kertoa lohduttoman sanoman.
Vaikka pitäisit tuotteet uusimmilla versioilla, et ole suojassa.
Aina paljastuu uusia reikiä. Suunnattua, erityisesti esim valtiollisen toimijaa vastaan, lienee likes mahdoton torjua. Sisään ujutetaan vielä virus jota mikään virustutka ei havaitse.
Ulkoisia uhkia, kuten Remote Code Execution (eli ajaa ulkopuolelta hakkerin koodia, uhka korkein mahdollinen), paljastuu koko ajan.
Tässä listausta
Uusimpia RCE esim Atlassian tuotteissa (jira, confluence), Windows Hyper-V, Junos OS&Ivanti VPN-tuotteet, jne…
On vähän samanlaista kuin rakennuksilla. Yritetään hyvää, mutta sekundaa tulee.
En silti sanoisi ohjelmistojen tekijät on huonoja vaan hakkerit hyviä.
13 tykkäystä
Kyllä tässä haisee et on menty vanhalla aukolla eikä nollapäivällä. Pääsääntöisesti aukot kerrotaan ensin ja vasta kun valmistajille on annettu aikaa tehdä pätsit ja asennusaikaakin ne julkaistaan ja ilmestyvät hyökkäystyökaluihin.
Ikävän usein tulee mm Atlassianiin uusia haavoja
2 tykkäystä
Tämä menee hieman ohitse yksittäisestä yrityksestä, mutta minä väitän, että nimenomaan ohjelmisto-/järjestelmäkehityksen laatu on surkealla tasolla mitä tulee tietoturvallisuuteen. Juurisyy ei toki ole yksittäisessä ohjelmistokehittäjässä, vaan huonossa kulttuurissa ja siis viime kädessä huonossa johtamisessa. TJ:ltä vaikkapa vuoden bonarit veks aina kun merkittäviä breacheja tulee. Silloin rupeaa tapahtumaan. Muuten ei.
Asiasta enemmän kiinnostuneille, Kyberturvallisuuskeskuksen julkaisemasta ohjelmistoturvallisuuden tila -raportin tiivistelmästä lainaus:
Turvallisuuden tarve ymmärretään yleisellä tasolla, mutta toteutustasolla vastuut ja turvallisuuden vaatimukset eivät konkretisoidu tekemiseen. Osalla organisaatioista osaaminen ja toteutuskyky on korkealla tasolla, mutta toisilla on huomattavia haasteita jo perustason turvallisuuden toteuttamisessa
2 tykkäystä