Kampen fortsætter: Bauhaus fortsat mærket af omfattende hacker-angreb

Bauhaus kæmper stadig med konsekvenserne af et hackerangreb for mere end 14 dage side, Illustration: Bauhaus / Mypresswire
Byggemarkedet er fortsat såret efter angrebet fra angiveligt russiske hackere. En række funktioner er fortsat sat ud af spil, oplyser virksomheden. Version2-læser bekræfter udfordringerne.

Står du og mangler at låne boremaskine eller drømmer du om at hente en håndfuld 4x4 lægter, så er det fortsat en udfordring at få de behov opfyldt i det lokale Bauhaus-byggemarked, der på tredje uge kæmper med et hackerangreb.

Det bekræfter byggemarkedet på sin hjemmeside, hvor det anføres, at man oplever nogle »it-tekniske udfordringer,« der blandt andet betyder, at man ikke kan benytte hjemmesidens facilitet ‘Click & Collect', da byggemarkedets lager ikke opdateres i realtid. Derudover er det ikke muligt at leje værktøj og maskiner ligesom mailsystemet fortsat er nede.

Situationen bekræftes af en vaks Version2-læser, der har været forbi et af virksomhedens byggemarkeder.

»Jeg var i Bauhaus i går og fik at vide de ikke stadig ikke kunne bruge deres it-systemer, så for eksempel det at finde ud af, hvor deres varer er placeret, kan kun køre på hukommelsen,« skriver læseren til os her på redaktionen.

Læs også: Bauhaus slås for at slippe ud af russiske hackeres kløer: Overvejer nu at betale løsesummen

En omfattende kamp

Kampen mod hackerne startede, da virksomheden blev ramt på sine it-systemer i både Danmark, Sverige, Norge og Island.

»Du er stort set prisgivet over for de her angreb. Vi syntes jo, vi havde styr på sikkerheden. Vi troede, vi havde købt Mercedes’en inden for alt, men vi skulle åbenbart have haft fat i en Rolls-Royce,« har direktør Mads Jørgensen tidligere forklaret til Børsen, som han også fortalte, at 30 eksterne konsulenter var hidkaldt for hjælpe med at få genoprettet de it-funktioner, der er lagt døde af hackerne.

Fra ledelsens side er det også blevet beskrevet, hvordan man gik med tanker om at betale hackernes krav om løsesum for at få magten over it-systemerne tilbage. Børsen havde regnet sig frem til, at Bauhaus sidste år omsatte for 8,8 millioner kroner om dagen og efter som, at der snart er gået 20 dage, så må det rimeligvis antages, at omsætningstabet for virksomheden kan mærkes.

Om man har valgt at betale løsesummen til hackergruppen Revil, der angiveligt er hjemmehørende i Rusland, eller om man fortsat strides med gruppen, der har haft held til at klemme penge ud af både slagteri-hacket på JBS og Colonial Pipeline vides ikke.

Læs også: Bauhaus ramt af alvorligt hackerangreb

Det er dog sikkert, at man i it-sikkerhedsbranchen fraråder virksomheder at bøje sig for hackernes pres. Her Jacob Herbst fra Dubex:

»Grundlæggende er det sådan, at hver gang du som virksomhed betaler, sørger man for, at afpresningsforretningen kan betale sig. Jo flere der betaler, jo bedre er forretningen. Hvis ingen betalte, ville ransomware forsvinde,« siger Jacob Herbst, der dog har fuld forståelse for virksomhedernes svære valg.

Læs også: Stadigt flere virksomheder vågner med ‘pistolen’ for panden: Digital afpresning driver ramte virksomheder til desperation

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (42)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Steffen Friis

Det er tragisk at større virksomheder rammes, og man kan jo ikke lade være med at tænke at disse kunne være undgået, hvis man bare var en smule in-sync med ens løsninger.

Det ses ofte at folk der sidder i ledende stillinger har en "Det vi har er fint nok", attitude men faktum er bare. At man ofte ikke er dækket godt nok ind , og i takt med at cyberkriminelle udviklere deres methoder skal man også selv i den forsvarende rolle være i konstant udvikling, eller i sync med løsningerne og sikre at man er beskyttet.

Man kan ikke lade være med at tænke på hvor meget dette angreb indtil videre har kostet Bauhaus.

  • 7
  • 0
#3 Mogens Lysemose

V2 er IT medie, ikke et mainstream dagblad. Derfor er det bare ikke godt nok med voxpop og gamle citater. Skaf nogle tekniske detaljer på hvorfor de syntes de havde styr på alting, og så alligevel er hårdt såret på driften af forretninen.

Det var det samme jeg skrev til sidste artikel.

Oplagte spørgsmål journalisten kunne have stillet for Hvorfor kunne alt ikke bare reinstalleres/gendannes fra backup? Har I offline backup af alt? Hvornår har I sidst lavet restore-test? Valgte I at betale skurkene? Osv.

Det må da have være muligt for journalisten at spørge om de på den forløbne tid.

  • 27
  • 1
#4 Christian Nobel

Byggemarkedet er fortsat såret efter angrebet fra angiveligt russiske hackere.

Jeg har ingen sympati for kleptokraten Putin, men der er ingen bevis for at det skulle være russere der står bag, kun er det sikkert at vi taler om forbrydere.

Vi burde i den vestlige verden være bedre til at holde os fine nok til ikke at henfalde til en Goebbels lignende retorik, for selv om man (beviseligt) kan sige meget om Putin og hans slæng, så fremmer vi ingen sag ved at blive ved med at opbygge et koldkrigs fjendebillede.

  • 12
  • 2
#7 Ditlev Petersen

Problemet er, at der er stærk evidens for at russerne faktisk angriber aktivt.

Men hvem er "russerne"? Er det staten? Organiserede kriminelle. Ruslands militær? Selveste Putin? Den ortodokse kirke? Der er nu så mange penge at hente ved at tage virksomheder som gidsler, at også mindre grupper vil kunne se en fidus i at bruge penge på at hacke, på at lave nyt værktøj. Det siges altid, at det kræver enorme ressourcer, og at det derfor kun er Putin og Kim Jong-Un, der kan den slags. Men er det nu rigtigt? Ville ti-tyve dygtige mennesker ikke kunne lave det principielle, som derpå kunne uddelegeres til en større gruppe for endelig at blive solgt?

Vi har set Israel og Iran være i gang med at hacke hinanden. Israel har "et vist ry" for meget dygtige hackere, også civile. Det er jo fremtiden at hacke og stjæle. USAs evner blev (atter) stillet til skue, da noget software blev stjålet og solgt videre til alle,. der havde lyst. FE bavler jævnligt om deres offensive kapacitet.

Om den russiske stat har nogen fordel i det, tvivler jeg meget på. Putin har næppe nogen langsigtet fordel i et billede som Beelzebub.

Der nævnes muligheden for at lamme et land. Jeg tror faktisk ikke, at der er ret mange regeringer, der ville turde rode sig ud i noget i den stil. Det vil være vanvittigt. Men en større bande ville kunne komme til det, som da den amerikanske olieledning blev lukket, eller som det skete for nogle sygehuse for nylig. Penge lugter ikke, og er der nok i sigte, er samviitighed fraværende. Det er skurke på skurkeniveau, der bekymrer mig mest. Ikke præsidentbøller.

Nationalbanken? Tja, verden går ikke under på en uge. Men prøv at lukke elnettet i to dage! Over hele landet. Over det halve EU. Destruktivt.

  • 11
  • 2
#8 Ditlev Petersen

Hvordan håndterer vi det her? Beskyttelse mod computer-virus har været nogenlunde som vaccination mod CoViD-19. Det virker på de fleste situationer, men når noget er nyt, slipper det måske igennem.

Phishing, spear phishing og diverse trojanere (og/eller) bliver et stadig større problem. Ingen er helt immune, selv den mest paranoide kan falde i. Paranoide er (også) naive.

Vi har så set forskellige overvågningsprogrammer være kompromitterede. Der vil komme flere.

Nye angrebstyper, nye forbedrede angreb, ting de færreste forestillede sig. Grovere og grovere krav (afpresning). Ikke nødvendigvis fra en fjendtlig regering, men fra horder af kriminelle bander med den rigtige software,, der skal have penge - nu. Samtidig. Som leger med ilden.

Dertil forskellige svagheder systemer, som KUNNE fikses, men ikke bliver det. At fiske nøglekort op af postkasser var en af dem, keyloggere på offentlige biblioteker, som mange er tvunget til at bruge.

Jeg har fornnemelsen af, at vi kæmper en retrætekamp. Vi taber. Dels fordi nogle institutioner har været for træge, dels fordi ingen kan følge med. Jeg begynder at blive bekymret for de systemer, der holder folk i live. Ikke bare finans og betaling. Men ud over strøm, vand og varme, hvad gør man egentlig, når kasseapparater eller dankort er lagt ned. Og man forresten ikke kan hæve kontanter, fordi automaterne også er nede. Altså rigtige preppere kan holde i nogen tid, men hvem tager hold om resten af os? Måske kan man ikke engang ringe til kommunen og bede om hjælp? Vi håber, at nogen har tænkt situiationen igennem, men med status på andre systyemer (mundbind f.eks.), så vil det komme som en stor overraskelser mange steder.

  • 5
  • 1
#10 Michael Cederberg

Men hvem er "russerne"?

I dette tilfælde synes det at være russiske hackere som får lov at operere i Rusland af staten uden i øvrigt at have nogen tilknytning. Men set i lyset af manglende samarbejde fra russisk side så er det lidt svært at afgrænse.

Jeg er ganske enig i at angreb der blot kræver et enkelt day zero exploit er noget der kan laves af få personer. Så snart mere end et day zero exploits er i brug så tegner det et billede af en større organisation. Det samme med supply chain angreb der står på over længere tid. En større organisation er i øvrigt ikke nødvendigvis synonym med et statsangreb.

I 1939 lod nazisterne tyske soldater angribe en tysk radiosender iført polske uniformer for at skyde skylden på Polen og som undskyldning for at invadere. Dengang som i dag må man vælge hvem man stoler på for det var de færreste der havde mulighed for at tjekke identiteten på ligene. Med cyber angreb er beviserne logfiler o.lign. som naturligt er nemme at falsificere. Efterforskningen i uvenlige lande foretages af efterretningstjenester. Der er således aldrig en rygende pistol. Derfor er det håbløst at bede om beviser for der er ingen der vil overbevise tvivlere.

  • 1
  • 0
#11 Klavs Klavsen

Vi troede, vi havde købt Mercedes’en inden for alt, men vi skulle åbenbart have haft fat i en Rolls-Royce

Faktisk kørte han jo åbenbart i en Lada "hvor han IKKE engang havde lavet og testet en plan for et sådant angreb", men mener alligevel det er "synd for ham" for en lada burde jo være godt nok..

Jeg så også meget gerne at version2 hørte nogle tekniske detaljer om hvad der er gået galt her - så andre virksomheder kan lære af det..

Det må jo være manglende recovery test (eller helt manglende backup?) der er problemet.

  • 9
  • 0
#12 Michael Cederberg

Faktisk kørte han jo åbenbart i en Lada "hvor han IKKE engang havde lavet og testet en plan for et sådant angreb", men mener alligevel det er "synd for ham" for en lada burde jo være godt nok..

Så hvis nogen køber en løsning af dig, hvordan kan de så vide om det er en Lada, Mercedes eller M1A1 Abrams? Som køber af services - både fra virksomheder eller egne specialister - hvordan kan man så som ledelse være sikre på hvad man får? Skal CEO'en være specialist i IT?

  • 1
  • 3
#13 Ditlev Petersen

I 1939 lod nazisterne tyske soldater angribe en tysk radiosender iført polske uniformer for at skyde skylden på Polen og som undskyldning for at invadere.

Gleiwitz. Men der var jo ingen problemer, da Saddam Hussein købte yellow cake og producerede kemiske kampstoffer i lastbiler?

Jeg tænkte meget på Gleiwitz dengang. Det er dyrt at stole naivt på folk, der selv har aktier i den slags.

  • 0
  • 1
#14 Klavs Klavsen

Skal CEO'en være specialist i IT?

HVIS IKKE han har en CTO der har IT viden NOK til at vide at man f.ex. SKAL lave en recovery test (rimelig basis viden) - så BURDE han få lavet et IT review af en uvildig 3. part "en gang om året".. Som mange firmaer gør f.ex.

Mange revisor firmaer laver den slags reviews, hvor de også checker om man f.ex. har personlige bruger til alle medarbejdere.. centraliseret brugerstyring osv. osv. Ikke helt dårlige checks.. Ikke perfekte.. Men backup og recovery er minimum de spørger indtil og undersøger (vist nok kun stikprøve - men så ved chefen hvad han har løjet om ihvertfald :)

  • 8
  • 0
#15 mikkel Holm

Det må jo være manglende recovery test (eller helt manglende backup?) der er problemet.

Det kan lige så vel være en restore af et underliggende system, der fortsat har en ukendt zero day hvor hackerne kom ind i første omgang. Så kan de blive ramt på ny i restore processen. Der er mange muligheder og ingen information på nuværende tidspunkt.

  • 1
  • 0
#16 Christian Nobel

Der er mange muligheder og ingen information på nuværende tidspunkt.

Og det er vel det der er kernen.

Alle taler om "det er russerne", men ingen vil åbent fortælle om hvad de reelt har været udsat for, og hvad de reelt har gjort (dels for at forebygge, dels hvad de har gjort for at redde).

Med den lukkethed der er fra virksomheder og myndigheder (jeg kikker på jer CFSC!) så kommer vi aldrig videre.

  • 9
  • 0
#17 Morten Nissen

Rækken af virksomheder der har været ramt er lang. I mange tilfælde virksomheder som antageligvis har haft ok styr på sikkerhed. Men grundlæggende ser jeg it sikkerhed som en investering i at flytte sandsynligheder mere end noget andet. Jeg kender ikke til situationen ved Bauhaus men at dømme ud fra hvor lang tid set tager og hvor mange systemer der endnu ikke er tilgængelige så er det øjensynligt noget målrettet.

Min opfordring til alle er: brug mange kræfter på at sikre jeres backups. Tilsikre at man har data offline fra ens eget net. Procedure for gendannelse skal være kendt og afprøvet. Det står ikke alene, men i mine øjne det absolut vigtigste.

  • 4
  • 0
#18 Karsten Bang

Mange revisor firmaer laver den slags reviews, hvor de også checker om man f.ex. har personlige bruger til alle medarbejdere.. centraliseret brugerstyring osv. osv. Ikke helt dårlige checks.. Ikke perfekte.. Men backup og recovery er minimum de spørger indtil og undersøger (vist nok kun stikprøve - men så ved chefen hvad han har løjet om ihvertfald :)

Jeg har selv siddet ved It-revisioner. Hvis du antager de er med til at lave et skudsikkert system, så bliver du gevaldigt skuffet.

Fint at der laves stikprøver, og tingene bliver checket igennem. Issuet er blot at en revision er en uge eller 3, og det er begrænset hvor meget der kan blive opdaget på den tid.

Revisionen skal finde og fikse alle problemer, hackerne skal blot finde én.

  • 4
  • 0
#19 Michael Cederberg

Gleiwitz. Men der var jo ingen problemer, da Saddam Hussein købte yellow cake og producerede kemiske kampstoffer i lastbiler?

Jeg tænkte meget på Gleiwitz dengang. Det er dyrt at stole naivt på folk, der selv har aktier i den slags.

Ja der er altid smuttere og det er ganske forfærdeligt at Colin Powell satte USA's troværdigheder over styr dengang. Og ja der har været andre. Hver gang det sker så taber USA magt.

Alligevel er dette historier vi hører fra rigtigt mange sider og ikke bare fra nogle få kilder (og efterretningstjenester). Vi ser også russiske hackere blive udleveret til USA og rent faktisk dømt ved domstole med rigtig bevisførelse.

I praksis har du tre muligheder: Lytte til myndighederne. Lytte til Putin. Eller sætte dig med hænderne i skødet og opgive at gøre noget ved kilden til problemet.

  • 1
  • 0
#20 Claus Bobjerg Juul

Nationalbanken? Tja, verden går ikke under på en uge. Men prøv at lukke elnettet i to dage! Over hele landet. Over det halve EU. Destruktivt.

Når du ikke kan betale for en vare i supermarkedet, så går der hurtigt panik i folk og så er der oprør i gaderne.

Kan penge ikke overføres omkring starten/slutningen af måneden så får du ikke lønnen overført og huslejen kan ikke betales.

  • 1
  • 0
#21 Ditlev Petersen

Alligevel er dette historier vi hører fra rigtigt mange sider

Hvor var det nu, jeg hørte den vending sidst?

I praksis har du tre muligheder: Lytte til myndighederne. Lytte til Putin. Eller sætte dig med hænderne i skødet og opgive at gøre noget ved kilden til problemet.

I alle tre tilfælde er jeg (og alle andre) ligegyldige og overflødige. At tvivle er at tænke. At tvivle på myndighederne. Også tvivle på Putin. Og tvivle på USAs administration (hvorfor har de ikke en regering?).

  • 1
  • 1
#22 Peter Stricker

Og tvivle på USAs administration (hvorfor har de ikke en regering?)

Hvad mener du med det? USA har ligesom Danmark et regeringsoverhoved. De har en præsident; vi har en statsminister. Regeringsoverhovedet er indirekte folkevalgt, i USA af et valgmandskollegium; her hjemme af folketinget. Regeringsoverhovedet ansætter regeringsmedlemmer, i USA kaldes de fleste sekretærer; i Danmark kaldes de ministre.

Hvis ikke USA har en regering, så har Danmark vist heller ikke.

  • 1
  • 0
#24 Michael Cederberg

Hvor var det nu, jeg hørte den vending sidst?

Det ved du vist bedst selv ... under alle omstændigheder er det ikke noget argument.

Hvis ikke USA har en regering

But they do not name it a govenment. They call it an administration. Like it is inferior to something.

Er du bare en troll i det her game? Deres ministre hedder også noget andet men derfor udfyldiger de stadigvæk rollen. På samme måde som at administrationen udfylder rollen som regering m.m.

Men en af grundene til at det bliver kaldt en "administration" er at de politisk udpegende går dybere ned i hierarkiet end vi er vant til. Det er således ikke bare ministre og nogle få rådgivere tæt på, men over 4000 tusinde stillinger der fyldes politisk. Dermed går det langt ud over hvad man opfatter som regeringen.

  • 3
  • 0
#26 Kristian Skov

Procedure for gendannelse skal være kendt og afprøvet. Det står ikke alene, men i mine øjne det absolut vigtigste.

Enig.

Men det kan være svært / umuligt at gøre i fuldskala i en global virksomhed. Har været der - den største hurdle viste sig at være båndbredde til restore, så der blev fløjet fysiske diske rundt i verden.

Nej, det var ikke tænkt ind at alle sites kunne blive ramt samtidig.

  • 0
  • 0
#27 Henrik Møller Jørgensen
  • 1
  • 0
#28 Klavs Klavsen

Nej, det var ikke tænkt ind at alle sites kunne blive ramt samtidig.

pænt dumt medmindre man har vandtætte skodder imellem sites.. (og det har man sjovt nok ofte ikke - for "det er besværligt" :)

Jeg foretrækker at lave "major versin updates" og opskalering af services - som recovery test.. På den måde laver man løbende recovery af alle ens systemer.. ikke alle systemer gør det lige let.. Men så skulle man måske skifte til et bedre designet system - så man kan køre "2 sideløbende installationer", sync'e og skifte "pegepinden" til det aktive system (ved major opgraderinger).

Det er en god øvelse - og når man finder en fejl ved major opgraderingen (som jo så kører på FAKTISKE prod data og dermed er en bedre test) - så har man en nem fallback mulighed og har ikke stress i produktion..

  • 1
  • 0
#29 Michael Cederberg

Men så skulle man måske skifte til et bedre designet system - så man kan køre "2 sideløbende installationer", sync'e og skifte "pegepinden" til det aktive system (ved major opgraderinger).

Det må være fedt at leve i sådan et verden. De fleste har mange års IT med i baggagen. Måske har Bauhauss barcode scanners der blev lavet for 20 år siden der kører Windows CE, BusyBox eller RT-OS fra dengang. Omkostningerne ved at skifte alt hardware ud er enorme. Der er sikkert bunker af andre systemer hvor omkostningerne til udskiftning er høje og hvor det heller ikke er ligetil når man skal finde folk der kan gøre det. Jeg gætter også på at omkostningerne til at køre to SAP systemer, to netværksinfrastrukturer, to sæt af airconditioningsystemer, etc. er enorme. Ofte er det bare et lille hul der skal til og så er hackerne inde.

Pointen er at det er ganske nemt at designe enkelt systemer til at have den nødvendige resilience. Det er sværere når man står med et bunke systemer på en gang. Og det er endnu sværere når 70% procent af IT systemerne er noget gammel l... (som kører).

Derfor kan man ikke bruge folks patentløsninger til noget. Man er nødt til at se på hvert enkelt system for sig og finde fornuftige løsninger dertil. Det er selvfølgeligt ikke noget argument for ikke at komme i gang og det er slet ikke noget argument for ikke at have en plan og blot håbe på at alt går godt.

  • 2
  • 0
#30 Klavs Klavsen

Det må være fedt at leve i sådan et verden. De fleste har mange års IT med i baggagen.

Det hedder teknisk gæld.. og JA det koster penge at udskifte det.. Jeg arbejder med vilje KUN som Open Source konsulent.. For så har jeg kildekoden jeg skal bruge, og kan selv fikse kode/konvertere til nyere systemer hvor det kan køre.. Det er af samme grund at de store firmaer ansætter open source udviklere (typisk kerne udviklere men også andre systemer) - fordi de så har kompetancen til stede, til at tage ejerskab af ens systemer og udvikle dem i den retning man har behov for.

Og i og med man anvender Open Source - finder man noget der er mange brugere af (et community) - så man som et mindre firma ikke skal løfte alene.

Det er derfor Open Source er så stor en success - det giver firmaer en enorm magt over hvad DE gør og kan - så fremt de kan finde ud af at hyre medarbejdere der kan arbejde på den måde selvfølgelig :)

gammelt hardware er oftest understøttet i Linux allerede, hvis det er solgt i bare en hvis mængde.

  • 4
  • 1
#31 Klavs Klavsen

Hvis man har ladet systemer stå i 20 år (og bare fungere) - så har man sat sig selv i en MEGET dårlig situation og hvis man aldrig begynder at afvikle på den tekniske gæld - så skal man til at komme igang - hvis ikke man vil ende i samme situation som bauhaus.

At gøre ingenting ved sin tekniske gæld - er at gøre livet meget nemt for angribere.

Og bare fordi det er en leverandør der har leveret systemet med den høje tekniske gæld - er det stadig ens ansvar at stille krav til leverandøren - eller finde en mere kompetent leverandør istedet for at spare pengene ved at gøre ingenting og så "tro man har købt en mercedes" :)

  • 2
  • 0
#32 Thomas Jessen

Jeg ved ikke om jeg skal stemple direktøren som en mong eller om hans CTO ikke kan forklare ham tingene godt nok for den udtalelse er jo helt ved siden af "Du er stort set prisgivet over for de her angreb. Vi syntes jo, vi havde styr på sikkerheden. Vi troede, vi havde købt Mercedes’en inden for alt, men vi skulle åbenbart have haft fat i en Rolls-Royce".

Nej man er ikke prisgivet - kun hvis man ikke har styr på ens it. Man kan heller ikke købe sig ud af det ved bare at smide et ekstra system ovenpå eller en større licens som han antyder.

Det er ret simpelt. Bauhaus har ikke styr på deres it og de bærer alt ansvaret selv. Man kan jo håbe på at hvis, de har så meget lort i hovedet at, de vil betale løsesummen at de ikke længere kan når REvil er gået under jorden. I min optik svarer det til at sende penge til en terrororganisation.

  • 2
  • 2
#33 Michael Cederberg

Det hedder teknisk gæld.. og JA det koster penge at udskifte det..

Vi har også bunker af gamle biler, huse der godt kunne trænge til en opfriskning, maskiner der er blevet gamle, etc. Som sagt: Det må være rart at leve i en verden hvor man har råd til kun at købe nyt.

Og i og med man anvender Open Source - finder man noget der er mange brugere af (et community) - så man som et mindre firma ikke skal løfte alene.

Det har intet med open source et gøre. Folk mister interessen for gammel hardware eller software og så er der ingen support. Og hvis man er en lille virksomhed som har købt en dims til at styre det custom designede ventilationsanlæg så er chancen for at man selv kan opdatere softwaren ret lille. Uanset om det er open source eller ej. Måske ved man ikke engang at der kører noget software på dimsen og hvilken eksponering det giver.

Mange virksomheder (og private) har købt IT på samme måde som de købte en brødrister: De forventede at de kunne købe dimsen, se at det virkede og derefter aldrig bekymre sig om hvordan den virkede eller tænke på at lave om på den indtil den en dag skulle skiftes ud.

Det er åbenlyst problematisk at forvente dette på alle punkter men det er også håbløst at skulle have en IT mand ansat for hver eneste brødrister o.lign. man har i virksomheden.

Vi har derfor brug for en gylden mellemvej.

At gøre ingenting ved sin tekniske gæld - er at gøre livet meget nemt for angribere.

Det er jeg enig i. Men det behøver ikke handle om at alt skal være opdateret hele tiden. Det er ganske enkelt for dyrt for de fleste virksomheder.

  • 4
  • 1
#34 Klavs Klavsen

Det er jeg enig i. Men det behøver ikke handle om at alt skal være opdateret hele tiden. Det er ganske enkelt for dyrt for de fleste virksomheder

Det er faktisk ikke så svært / dyrt at holde alt sikkerhedsopdateret, hvis man kører Open Source - hvor man har min. 5 års support gratis (Ubuntu LTS f.ex.) og så holder en Ubuntu version der stadig får opdateringer på alle sine enheder. Sikkerhedsopdateringer af alt kan udrulles automatisk rimelig nemt (selvom det skal gøres i "snapshots" og i sektioner (så man år testet opdateringer før man ruller dem ud på alt) - og det sparer en masse tid og dermed penge på noget der SKAL gøres. En verden hvor man ikke behøver at lave sikkerhedsopdateringer - det tror jeg ikke på kommer til at ske.

Hvis man vælger at købe noget hvor der ikke er sikkerhedsopdateringer til - så har man jo bevidst valgt problemer senere hen - for en besparelse på kort sigt.

Så ja - hvis du vil anvende IT professionelt - så SKAL du vide hvad du laver, eller have folk ansat der gør det.

I Mit firma arbejder vi meget gerne med kunder, om hvordan "den løsning de har nu" - kan udskiftes med en Open Source løsning.. Men man kan ikke påstå at "man havde købt en mercedes" - når man faktisk bare "købte noget der duede" og så lod stå til i 20+ år :)

  • 3
  • 0
#35 Klavs Klavsen

Folk mister interessen for gammel hardware eller software og så er der ingen support. Og hvis man er en lille virksomhed som har købt en dims til at styre det custom designede ventilationsanlæg så er chancen for at man selv kan opdatere softwaren ret lille. Uanset om det er open source eller ej.

Det er da noget vrøvl. man skal selvfølgelig have en kompetent programmør ansat, hvis man ønsker at køre noget så gammelt.. Til gengæld kan du spare mere end vedkommendes løn, på at bruge Open Source fordi du har ansatte med kompetancen.

Hvis driveren var i Linux da du købte udstyret - så er den der stadigvæk, med meget høj sandsynlighed.. og med 100% sandsynlighed hvis du selv har en programmør ansat, der kan teste med nyere linux kerner og deltager vedr. den driver på linux mailinglister (det et glimrende sted at få hjælp med kerne problemer ved jeg af egen erfaring og ikke tidskrævende).

Ellers må man købe noget fra en leverandør der vil garantere at supportere det om 20 år.. og betale det de tager for det.

Behøver jeg at sige at mange finde Open Source vejen til at være en STOR besparelse over produktets levetid - især hvis du ønsker at det kan bruges længere end 2-5 år :)

  • 3
  • 1
#36 Michael Cederberg

Det er faktisk ikke så svært / dyrt at holde alt sikkerhedsopdateret, hvis man kører Open Source - hvor man har min. 5 års support gratis (Ubuntu LTS f.ex.) og så holder en Ubuntu version der stadig får opdateringer på alle sine enheder.

Hold nu op med den latterlige open source snak. Der er mange gode ting ved open source, men når jeg køber Windows så får jeg endnu længere support. Og hvis jeg ønsker det kan jeg sætter opdateringer på auto.

Problemet er selvfølgeligt at denne historie handler om nogen der netop blot havde sat opdateringer på auto. Det var godt nok ikke noget open source produkt, men de fik netop malware ind da de opdaterede. Og alverdens opdateringer kan ikke hjælpe dig med day zero angreb.

Der er bunker af open source software derude som ikke modtager samme kærlighed som Linux eller de andre store produkter (eller Windows for den sags skyld). Der er ikke 10000 der analyserer hvert eneste commit. Hvis man er heldig er det ikke bare udvikleren selv der kigger på koden. Hvis man sætter sig ned om analyserer software pakker som ikke er så populære så er sandsynligheden for at finde huller meget større. Det bliver ikke sværere af at man har kildekoden i hånden.

Hvis man vælger at købe noget hvor der ikke er sikkerhedsopdateringer til - så har man jo bevidst valgt problemer senere hen - for en besparelse på kort sigt.

Det handler ikke om windows, linux eller OS. Det handler om at bruge en eller flere obscure software pakker. Når jeg reviewer software så ser jeg ofte mange hundrede pakker der importeres. Når ham eller de tre der arbejdede på en af pakkerne finder på noget andet at lave, så modtager software pakken kun stedmoderlig behandling. Udskiftning af pakker eller opdateringer har også ofte breaking changes som introducerer risici, etc.

Det er da noget vrøvl. man skal selvfølgelig have en kompetent programmør ansat, hvis man ønsker at køre noget så gammelt.. Til gengæld kan du spare mere end vedkommendes løn, på at bruge Open Source fordi du har ansatte med kompetancen.

I så fald kan du lukke ret mange danske virksomheder. Og endnu engang: Det har intet med open source at gøre. Løsninger til virksomheder er ofte ikke standardløsninger. De bygges ofte til at løse specifikke problemer, arbejdsprocesser, etc. At forestille sig at man skulle have IT folk siddende og trille tommelfingre i 20 år giver ingen mening. Og når du så giver dem ansvaret for bunker af løsninger, så vil lige den af dem der er 20 år gammel være meget fjern i ærindringen når der en sjælden gang skal lave mere end blot standardopdateringer.

  • 1
  • 3
#37 Klavs Klavsen

Problemet er selvfølgeligt at denne historie handler om nogen der netop blot havde sat opdateringer på auto. Det var godt nok ikke noget open source produkt, men de fik netop malware ind da de opdaterede. Og alverdens opdateringer kan ikke hjælpe dig med day zero angreb.

øhh - så Bauhaus havde sat opdateringer på auto? Hvor fremgår det? Hvorfra ved du at nogen har anvendt et zero-day attack på Bauhaus? Det virker mere sandsynligt at de bare ikke har fået opdateret deres software - og så har nogen misbrugt de kendte sikkerhedshuller der var (typisk via den slags 'angrebssoftware' som diverse botnet og ransomware grupper anvender - der anvender kendte sikkerhedsproblemer - eller bare lokal skrivebordscomputer adgang til filer på network-shares.

Du snakkede om at man ikke kunne få sikkerhedsopdateringer/support.. Ofte bliver systemer brudt ind i, via "andre standard komponenter" på systemet. Det vil altså sige at det er en STOR hjælp at køre det på et operativsystem hvor man stadig kan få sikkerhedsopdateringer (til alt uden om ens eget program).

Men igen - vi har slet ikke nogen detaljer om præcis hvad der er sket her, så vi kan ikke sige noget om Bauhaus situation specifikt.

Jeg kan bare konstatere at det IKKE virker til at de har købt en Mercedes der ikke duede, men snarere ladet stå til og muligvis valgt at lukke øjnene for virkeligheden når det gælder IT og sikkerhedsopdateringer (hvilket man som firma jo selv må stå til ansvar for).

Jeg har altid foretrukket at have driftsansvarlige (hvilket firma har ikke dem?) - der også er programmører - da det netop giver denne mulighed for at gøre tingene på en økonomisk fordelagtig måde.. istedet for at kæmpe med andres support services, der virker til at være bygget til at undgå henvendelser fra kunder.

Men ja - kompetance koster.. Og der findes firmaer hvor man kan betale en pris "per enhed man tilslutter" - som er meget lav.. og så får man i det mindste af vide hvad der skal fikses/hvilke risici man har.. og HVIS ens system er bygget på Open Source - så driver jeg én virksomhed der netop tibyder at bygge automatisering på et fælles-udviklingsprincip - der understøtter fælles behov, således at man (ligesom hvis man har sine egne programmører/driftsfolk der anvender open source) kan dele udgiften hertil med alle de andre brugere af samme software og andre kunder.

Jeg kender ikke rigtigt andre der gør det "som en service" til den lave pris vi gør det til - men det er jo ikke noget nyt - at man ansætter en driftsperson der kan programmere - og på den måde får samme fordel med udgiftsfordeling til alle de fælles komponenter - som i de fleste systemer er 90-100%.

Hvis man er en meget lille virksomhed er den service vi tilbyder klart en billigere løsning for at opnå det samme - og det har jeg ihvertfald kunder/cases hvor det også er, selvom virksomheden er større :)

Den slags samarbejde imellem virksomheder har bygget meget af det Open Source vi alle anvender i dag (f.ex. Apache webserver) - og fortsætter med at være kilden til det meste Open Source vi anvender. Deltager man der, får man en masse økonomiske driftsfordele - såfremt man er stor nok til at ens udgifter i "licens modellen" overstiger prisen for at have et par kompetente medarbejdere til at levere det samme vha. Open Source.. IKKE alt findes tilsvarende i Open Source.. Men MEGET gør, hvis man rent faktisk leder efter det :)

Men igen så er det enhver CEOs job at lave en TCO beregning på de løsninger firmaet anvender - og løbende justere parametre for at vejlede deres valg af software/løsninger (eller ingen software.. eller intet netværk -man kan jo opdatere kasse-terminaler via usb sticks dagligt f.ex. istedet - og undgå disse angreb).

  • 3
  • 1
#38 Ditlev Petersen

Du har tydeligvis ikke sat dig ind i emnet. Du nævner selv elnettet som muligt mål. Det har russerne øvet sig på i årevis i Ukraine.

Det var faktisk det, der fik mig til at nævne elnettet. At slukke for det hjele er rædselsfuldt. Men Ukraine kom op igen. At smadre nettet er dræbende. Generatorer kan faktisk smadres "over nettet", sådan noget som at bringe det hele ud af synkronisering kan virkelig smadre ting.

  • 0
  • 0
#39 Klavs Klavsen

Løsninger til virksomheder er ofte ikke standardløsninger. De bygges ofte til at løse specifikke problemer, arbejdsprocesser, etc.

Og HVIS du har koden til sådanne løsninger (det har man vel sikret sig - så hvis sælger ikke vedligeholder/går konkurs - har man muligheder?) så vil du oftest finde at de består af en del standard komponenter der nemt kan udskiftes med Open Source standard komponenter (hvis ikke de allerede er bygget på en masse Open Source - mange er).

At vurdere hvordan man kan sikre sikkerhedsopdateringer af de services der udstilles fra et givent system bør være standard del af enhver indkøbsprocess.

Betaler man for udvikling af et system til ens virksomhed, BØR enhver virksomhed sikre sig at det bliver bygget så det rent faktisk kan holdes sikkerhedsopdateret i produktets forventede levetid - og at virksomheden har adgang til kildekoden - så de har muligheden for at agere.

En så stor virksomhed som Bauhaus bør have styr på den slags?

Ellers løber de (nok oftest der skoen trykker) en kalkuleret risiko - og køber noget, de så ellers bare "lader være" - og sparer omkostningen ved at holde det opdateret og håber på det bedste - for "der sker nok ikke noget".

Variablerne i den kalkule er jo så ved at ændre sig efterhånden som diverse ransomware/botnets mv. har opdaget hvor mange der kører med kendte sårbarheder på software, der kan nås via skrivebords computere, fra brugere der er "noobs" nok til at køre hvad man sender dem af links mv.

Det er iøvrigt samme metode, vi i et sikkerhedsfirma jeg arbejdede i, anvendte til at trænge ind i banker mm., når vi sikkerhedstestede dem.. Det er ikke ligefrem en nyhed, at man ikke skal stole på sine medarbejder computere.

  • 1
  • 1
#40 Michael Cederberg

øhh - så Bauhaus havde sat opdateringer på auto? Hvor fremgår det? Hvorfra ved du at nogen har anvendt et zero-day attack på Bauhaus

Du har ret. Der gik jeg for hurtigt. Alas, når man ser på hvordan det har manifesteret sig så passer det fint med det vi har hørt fra supplychain angreb (Solarwinds, Kaseya). Dem der blev ramt af de angreb kørte bare på auto. Jeg har svært ved at forestille mig at det ikke er det samme med Bauhaus (sammenfald af tid, metoder, etc). Vi er ikke længere der hvor det bare er latterlige botnet angreb vi ser.

Jeg kender ikke rigtigt andre der gør det "som en service" til den lave pris vi gør det til - men det er jo ikke noget nyt - at man ansætter en driftsperson der kan programmere - og på den måde får samme fordel med udgiftsfordeling til alle de fælles komponenter - som i de fleste systemer er 90-100%.

Jeg er ikke ude på at disrespecte din virksomhed. Du lyder som en fyr der har styr på dine egne ting og det har jeg stor respekt for. Min pointe er bare at når tingene bliver større og der er tale om mange forskellige systemer så er "vælg open source" og "opdater dig ud af problemerne" en simplificering der ikke holder vand.

Når man køber en service fra en virksomhed som din, så har man grundlæggende ingen mulighed for at sikre sig at I gør arbejdet ordentligt. Det er fint at I deler koden men det er en lille del. Der er bunker af configuration, arbejdsprocesser, etc. som er meget vigtigere. Og dem har dine kunder i praksis ingen mulighed for at vurdere. De er nødt til at stole på dig og dit firma. Det er ikke alle firmaer hvor det viste sig som en god ide.

Jeg kunne fx. tilbyde "Michaels all-included backup service" hvor jeg hver dag henter alle kunders data og med det meste bare sender det til /dev/null. Jeg kunne producere fine rapporter om hvordan vi restorede data uden rent faktisk at gøre noget. Etc. etc. I praksis er risikoen for at de skal bruge data er alligevel meget lille og hvis proceduren for at få data tilbage er tilstrækkelig kompliceret til at kunder giver op så opdager ingen mit scam. De kan gå rundt og tro at de har købt en Mercedes, de kan have betalt for den men grundlæggende var det bare den samme bil vi viste til alle kunderne.

Alas, der skal nok broderes mere på historien for at den holder vand men pointen er at det er muligt at snyde kunder sådan at man sparer penge og jeg er ganske sikker på at det sker i stor målestok. Det er svært at gardere sig mod den slags. Et godt eksempel er alle de sikkerhedsvirksomheder som fortæller om alle deres fantastiske metoder og hvor jeg grundlæggende mener at det mest er smoke-and-mirrors. Jeg har oplevet tilstrækkeligt mange sessioner med den slags til at have tillid til at deres produkt opdager de mere seriøse problemer.

Den slags samarbejde imellem virksomheder har bygget meget af det Open Source vi alle anvender i dag (f.ex. Apache webserver) - og fortsætter med at være kilden til det meste Open Source vi anvender. Deltager man der, får man en masse økonomiske driftsfordele - såfremt man er stor nok til at ens udgifter i "licens modellen" overstiger prisen for at have et par kompetente medarbejdere til at levere det samme vha.

For langt de fleste systemer jeg kender er licensomkostningerne ikke det vigtigste. Det er implementering og driftudgifter der er det dyre. Dem hvor licensomkostningerne ryger gennem loftet er typisk for systemer hvor kundebasen er ganske lille.

Open Source.. IKKE alt findes tilsvarende i Open Source.. Men MEGET gør, hvis man rent faktisk leder efter det :)

Der er mange gode open source ting derude og danske virksomheder bruger rigtigt meget open source. Alle forsøger at reducere omkostningerne men det er ikke licensomkostninger der bør drive valg, men i stedet TCO, funktionalitet, etc.

Og HVIS du har koden til sådanne løsninger (det har man vel sikret sig - så hvis sælger ikke vedligeholder/går konkurs - har man muligheder?) så vil du oftest finde at de består af en del standard komponenter der nemt kan udskiftes med Open Source standard komponenter (hvis ikke de allerede er bygget på en masse Open Source - mange er).

I nogen tilfælde er det nemt blot at udskifte. Men i de fleste tilfælde er det en stor udgift. Noget så simpelt som at skifte fra en SQL database til en anden tager nogen gange meget lang tid fordi der er forskelle hele vejen. Læg så oveni når custom business logik udnytter funktioner i den komponent du vil udskifte og du så også er nødt til at lave ændringer i business logikken. Samme business logik har været igennem ejerskab af mange forskellige og ingen kan længere overskue hvorfor den er præcist som den er og dermed bliver ændringer svære. Ja ... sådan er den ideelle verden ikke. Men sådan er den virkelige verden.

  • 1
  • 0
Log ind eller Opret konto for at kommentere