NotPetya: Mærsk skrinlagde opgradering af sikkerhed - det var ikke bonusgrundlag

Kan i hvert fald godt nikke genkende til, at KPI'erne tidligere har være med til at splitte virksomheden ad, og det sammen med tidligere udfordringer efter frasalget af Maersk Data og det problematiske skifte til et nyt bookingsystem gav et efterskyld af IT-forskrækkelse.

Kulturen har klart rod i en 1950/1960 inspireret amerikansk KPI baseret tankegang, hvor modstridende KPI'er imellem afdelingerne skal holde det hele i skak i sørge for, at det hele er effektivt og kan måles. Resultater er bare ofte, at det skaber siloer, og er du under det omkostningspres som APM konglomoratet og ikke mindst ML har været under med et sindsygt volatilt marked, så kan det resultere og kortsigtet fokus og give store problemer på sigt.

Det er min opfattelse, at det er blevet bedre, og måske endda meget bedre både i forhold til IT, KPI-fokus og organisationen som helhed. Men selv uden på nogen måde at have direkte indsigt i sikkerheden, er det dog ikke svært at se paralellerne i problamatikkerne linket direkte til angrebet. Var i hvert fald ikke overrasket, da de blev ramt.

Hej, Selvom det ikke er helt relateret, så kan jeg kan ikke lade være at tænke på den her video om hvordan bonusser generelt påvirker menneskers evne til at løse problemer. Det nemt at få resultater, der er i modstrid med det ønskede resultat. Dan Pinks udlægning: "... når opgaverne krævede selv basale kognitive evner, ledte en større belønning til dårligere præstationer."https://www.ted.com/talks/dan_pink_on_motivation

• Martin

Hjalp de under angrebet mod Mærk, og med hvad ?</p>
<p>Og kan USA og NAS ikke sagsøges for udgifterne, det var deres "våben" som havnet i hændere på nogen andre. Hvis de i stedet have advaret mod og hjulpet til med at lukke huller, i stedet for at udnytte dem. SÅ have Verden været et langt sikrere sted.

seriøse overvejelser om bonus til højt kvalificerede og højtlønnede chefer for at passe det arbejde, de i sin tid blev ansat til, ja, at passe !!! Grundlønnen ender nemt med at blive opfattet som et honorar for bare at møde op, og hvis der skal ske mere, må der extrabetaling til fx. i form af div. bonusordninger. Grundlæggende usundt, hvilket her blev demonstreret med al ønskelig tydelighed.

Kunne straffe de ansvarlige ordentligt for et Cyberangreb på os. Også med konventionelle våben ?

Hvis vi skulle kunne gå i krig med, eller virke troværdigt og kunne straffe Rusland som har atomvåben. SÅ bør man nok væbne sig selv ligedan, inden man går ud og rasler med Sablen.

En genindførelse af Ubådsvåben også med "speciale" torpedoer kunne virke effektiv og afskrækkende. Men det skal vi måske ikke have, for de bedste konventionelle af dem kan købes i Tyskland og Sverige, ikke USA ?

Man kan også spørge om hvad de 2-3 Milliarder extra vi nu poster i "cyber forsvaret" går til. Udover at en medarbejder har fået en tilkalder telefonen, så der også er døgnvagt.

Hjalp de under angrebet mod Mærk, og med hvad ?

Og kan USA og NAS ikke sagsøges for udgifterne, det var deres "våben" som havnet i hændere på nogen andre. Hvis de i stedet have advaret mod og hjulpet til med at lukke huller, i stedet for at udnytte dem. SÅ have Verden været et langt sikrere sted.

Den film hvor personer fysisk løber om kap med teknik er da lavet mange gange :-)

Rusland har allerede fortalt os at de ser os som må for atomvåben mål alligevel. og vi kan jo ikke være ikke på at en Præsident i USA kan og vil have samme interesser som os.

og som Rusland selv siger, man skal passe på med at true en Atommagt, mens de selv truer en atommagt :-)

Putin og Trump har jo vist at de kun tager mindre lande alvorligt og overholder indgåede aftaler hvis de har atomvåben. Som jeg ser problemet er det at for FÅ stater og befolkninger har adgang til lignende våben. Palæstinenser vil nok hurtigt kunne indgå en aftale med Israel, hvis de var sikkert muligheden for gensidigt total ødelæggelse.

Der har heller ikke være de store krig mellem Indien, Kina og Pakistan efter at alle parter har fået Atomvåben.

"Man" har hørt om andre store virksomheders virksomheder der forlader sig 100% på SAN-replikering off-site og automatisk failover til andet hostingcenter så de mener at der ikke behøves backup af produktionens vitale servere, da de to hostingcentre aldrig går ned samtidig.

Desværre har den slags jo som regel et skjult "single point of failure", som kunne være SAN-replikeringen - ødelægges SAN1 og replikeres det til SAN2 så ryger det hele.

Og så står produktionslederne og er pludselig meget uenige og utilfredse med IT-afdelingens beslutning om at de ikke behøvede backup men bare kunne geninstallere fra bunden.

Mærsk er een af de to største virksomheder. Jeg kan se de var gået endnu videre med minimize cost, maximize kpi. Her ses resultatet af ekstremt ensidigt fokus.

Alt for mange virksomhedsledere interesserer sig ikke for sikkerhed. Ingen roser dem for at bruge resurser på det - før noget akut sker.

Virksomhedsledere er villige til at løbe risici der virker usandsynlige - uanset de potentielt kan være livstruende for virksomheden hvis det faktisk sker.

Det var det samme med det japanske atomkraftværk: "det er urealistisk at der nogensinde kommer 8 m høje bølger som slår ind over vores bølgeafskærmning så derfor gør det ikke noget at kølingen står i kælderen da vandet aldrig kan komme derned." De havde desværre ikke tænkt på tsunamier.

Nu står der jo ingne steder i artiklen at man ikke havde en backup af sit AD.

Kan I klare en gammel traver? I de “gode gamle dage”, før internettet og den slags uoverskueligheder fandtes, var der 2 (amerikanere tror jeg) der skrev UNIX-bogen. Langt henne i bogen, sikkert under emnet sikkerhedskopi, skrev de at hvis maskinen gik ned (dengang gik EDB-maskiner ned i tide og utide) og det viste sig at sikkerhedskopien ikke virkede, så havde man forhåbentlig sikkerhedskopi nr. 2. Og hvis den heller ikke virker, så “sæt dig hen i en krog og græd”. Slå det selv op på internettet, hvis du tør.

Segmentering er et af de vigtigste sikkerhedstiltag. Suppleret med noget udgående proxy med whitelisting for servere.

Problemet er dog, at det medfører en vedligeholdelsesopgave, og det kræver at man læser dokumentation, og har de folk der kan fejlsøge når dokumentationen som sædvanligt er fejlagtig på dette område.

Og lige segmentering har et problem med at antal åbninger vokser over tid, og bør re-evalueres grundigt med få års mellemrum. Og grundigt er en af de ting der er sparet væk.

Der står ingen steder af de nu er holdt op med af bruge KPI Det havde jeg forventet da det var en grundenen til af det gik så galt

Nu står der jo ingne steder i artiklen at man ikke havde en backup af sit AD.

Men at man valgte at bruge AD'et fra en overlevende server kan der være flere gode grunde til, men da jeg ikke var i Maidenhead skal jeg ikke kloge mig derpå ud over at nævne et par faktorer der måske, måske ikke spillede ind.

1. backupvar ikke tilgængelig fordi backupinfrastrukturen var lagt ned af selvsamme angreb
2. Indlæsning af AD specielt i ældre udgaver fra backup, er en kompleks og besværlig process.
3. Det kan være at man valgte at følge to løsningsspor.

Er om det her får ordlyden af bonus-aftalerne ændret, så bonus bortfalder hvis huller i sikkerheden bliver udnyttet?

Bonusser er ude af kontrolhttps://ing.dk/artikel/banedanmark-har-udbetalt-resultatbonus-direktoerer-trods-manglende-resultater-213996

Jeg tror ikke det er nok bare at skrive sikkerhedshuller ind.

Grundlæggende så bør det være et krav, at afdelingen har et resultat som ikke ligger under budgettet. Jeg har svært ved at se et tab på 1,9 mia. ikke sprænger nogle budgetter.

Isoleret set så kan IT afdelingen jo godt holde budgettet hvis det er de andre afdelinger som bærer tabet. Derfor skal der også være en ansvars paragraf.

Endelig skal der være et kollektivt element i bonusserne, således at man interesserer sig for andre end en selv.

Men det ender helt sikkert med nogle retssager hvis man begynder at lægge ansvar ind i bonussene.

Den film hvor personer fysisk løber om kap med teknik er da lavet mange gange :-)

Næppe - for IT sikkerhed er stadig ikke sexet og der skal nok flere katastrofer til, før virksomhedsledere anerkender behovet.

Meget forståeligt, skal jeg bruge 100 mil på noget usynligt som en IT chef siger er nødvendigt, eller skal jeg bruge 100 mil på tiltag der umiddelbart er målbare og kan ses positivt på bundlinien?

Lidt det samme som mange værksteder oplever, at før en lampe lyser op i instrumentpanelet er der ikke mange der kigger under motorhjelmen for at kigge efter om alt er ok. Og man mødes jo også af en plastic inddækket motor :)

Det er nemt at være bagklog Når alt på nettet ryger, så skal man blot have overset en enkelt vigtig ting før man står med håret i postkassen.

Der er jo >ikke< snak om at være bagklog. Hvis man ikke har taget backup af sit AD, så er det jo dumhed. Intet andet. Man kan altså ikke dække sig ind under uvidenhed. Og det kan umuligt være økonomi. Funktionen er stort set standard i alle større backupsystemer.

Jeg har været i en del større firmaer, med masser af DC'ere i netværket. Selvfølgelig blev der taget backup af hver og én. Hver dag... (Men det var heller ikke relateret til en chefs mulige bonus)

Der er skisme langt fra den gamle mantra om "rettidig omhu" til den nye "ingen bonus, ingen indsats".

Det undrer også mig. Hvis man har noget vigtigt så er det vel naturligt at have en offsite og offline backup. Hvordan har det ikke været en del af disaster recovery planen?

Det er nemt at være bagklog Når alt på nettet ryger, så skal man blot have overset en enkelt vigtig ting før man står med håret i postkassen.

Naturligvis skal man gøre sit bedste mht. recovery, men lige så vigtigt er det at sikre at et angreb kan begrænses til få systemer. "Defence in depth" er vigtigt sådan at der er flere sikkerhedsbarrierer mellm det vilde internet og virksomhedens (eller borgerens) systemer.

Det må siges at være flot klaret at man i Maersk ikke har taget backup af alle relevante domæne kontroller.

Ja..... Det er jo ikke ligefrem fordi det er raketvidenskab at tage backup af AD. Det er jo også indbygget i stort set alle eksisterende backup programmer i dag.

Det må siges at være flot klaret at man i Maersk ikke har taget backup af alle relevante domæne kontroller.

Hvis det der foregik i en film, ville publikum vel udvandre? Bare tanken om en tekniker, der løber om kap med en "orm". Og så "stafet" med en harddisk.

Jeg håber da, at nogen lærer af det der. Også uden for Mærsk.

Hvordan gik det med det der fynske (?) skole-edb (Er Det Borte?)? Det var vist også noget, som man ikke behøvede have backup af.

Det må siges at være flot klaret at man i Maersk ikke har taget backup af alle relevante domæne kontroller. Jeg tør ikke tænke på hvad det helvede det ville have været hvis de var blevet tvunget til at bygge hele domæne netværket fra bunden, og det inklusiv alle Active Directory objecter og policies.

Men, det viser da også hvor vigtig det er med alt fra firewalls, og at der ikke findes alt for mange som har enterprise administrator rollen da det er den som rolle som kan nedlægge en hel organisation. hvor af domæne administrator rollen i det mindste er begrenset til det lokale domæne.

"Intet tab bør ramme os, som kan undgås ved rettidig omhu."

Er om det her får ordlyden af bonus-aftalerne ændret, så bonus bortfalder hvis huller i sikkerheden bliver udnyttet?

Det antages at de i stedet fik bonus for en stor indsats ved genetableringen.

Men der hvor slaget skal slås er i det offentlige, i virksomhederne og hos private. Med at sikrere individuelle systemer og netværk.

Det hjælper intet at samfundet pøser milliarder i en cyberkrigsstyrke, underlagt krigsministeriet, nok nærmere tværtom.

Det skal ud i det åbne i form af aktiv forebyggelse og information mv., for det det nytter ikke spor at Center for CyberUsikkerhed sidder og leger wargames, når det i virkeligheden drejer sig om at virksomheder ryger i fælden som resultat af monokultur og manglende seriøsitet omkring sikkerhed.

Maersk ligger fuldstændig som de selv har redt, og om så hele statsbudgettet blev proppet i cfcUs, så ville det ikke have ændret en bønne.

Er om det her får ordlyden af bonus-aftalerne ændret, så bonus bortfalder hvis huller i sikkerheden bliver udnyttet?

Det er fint at NATO laver en cyberstyrke. Det er fint at forsvaret har center for cybersikkerhed.

Men der hvor slaget skal slås er i det offentlige, i virksomhederne og hos private. Med at sikrere individuelle systemer og netværk. For selv hvis vi kan slå hårdt igen mod angreb og selv hvis staten sikrer sine systemer, så er det stadigvæk utallige systemer i kommuner, virksomheder og hjemme hos danskerne.

For hvis man fx. kunne ramme domain controllere i mange danske virksomheder, så står landet stille. Det samme hvis man rammer cisco switche. Eller SOHO routers til ADSL eller kabelnettet. Eller ...

Vi er nødt til at gentænke brugen af IT og hvordan det er netværket. Fx. burde langt de fleste computere i det offentlige og i virksomheder ikke have tilgang til internettet.