**20 år av data borta – hackarna kom åt säkerhetskopior**
Mer än tre veckor efter cyberattacken mot Tietoevry står det klart: Mängder med säkerhetskopior förstördes och kommer inte kunna återskapas. Detta trots att avtalet säger att Tietoevry ansvarar för säkerhetskopior, enligt flera kunder.
– Det är Tietoevrys ansvar att säkerställa avtalsenlig hantering av backuperna, säger Thomas Jarbo, it-chef på Vellinge kommun.
Hackarattacken natten mot den 20 januari medförde att en lång rad av it-företaget Tietoevrys kunder fick sina it-system och filer förstörda. Attacken, med så kallat ransomware eller utpressningsvirus, gick ut på att kryptera data och kräva offret på pengar för att låsa upp dem.
Kunderna är företag, kommuner, regioner och myndigheter som anlitar Tietoevry för att driva deras servrar och it-system. Efter attacken inleddes det mödosamma arbetet med att återställa det som hade skadats. I många fall betyder det att ta fram den senaste säkerhetskopian, som Tietoevry enligt avtalet ska ha sparat.
– Aktuella, intakta och återställningsbara säkerhetskopior är helt avgörande efter en ransomwareattack, säger it-säkerhetsspecialisten Karl Emil Nikka, som har följt attackens efterspel.
Men i många fall var det omöjligt. Hackarna hade inte bara kommit åt kundernas servrar, utan även säkerhetskopiorna. Även de var krypterade och därmed helt oanvändbara.
Nu, mer än tre veckor efter attacken, ser många dem som förlorade för alltid.
En av de drabbade är Tandvårds- och läkemedelsförmånsverket, myndigheten som beslutar om vilka läkemedel som ska ingå i högkostnadsskyddet. Bland annat är myndighetens hela diarium borta, något P4 Sjuhärad har rapporterat om.
De äldsta delarna finns delvis i pappersformat, men det digitala register som gjorde dem sökbara är borta. Allt från 2016 är helt försvunnet. Totalt rör det sig om över 20 års data. Nu ska myndigheten försöka lappa och laga från olika källor.
– Vi kommer aldrig kunna återskapa det som det var, säger Maria Bjurö, kommunikationschef på myndigheten.
Tandvårds- och läkemedelsförmånsverket ansvarar också för att det är läkemedlet med lägst pris som lämnas ut på apoteken och att det kan levereras i tillräcklig mängd från läkemedelsbolagen. It-system för att samordna det slogs också ut, och nu måste allt hanteras manuellt.
Vi försöker sätta samman dem med data från kringliggande system. Det är som att lägga ett tiotusenbitarspussel.
– Vi har ett avtal med Tietoevry där det framgår att det ska finnas säkerhetskopior. Nu får vi utreda vad som har hänt. Vi har inte alla svar än, utan fokuserar på att få upp våra system. Det kommer bli en process framåt, säger Maria Bjurö.
Vellinge kommun hör till de värst drabbade. En lång rad it-system slogs ut. Löner, journaler för äldreomsorg, sophantering. För en del är även säkerhetskopiorna förstörda.
– Vi försöker sätta samman dem med data från kringliggande system. Det är som att lägga ett tiotusenbitarspussel, säger Thomas Jarbo, kommunens it-chef.
Bland annat kommer kommunen få göra nästa löneutbetalning baserat på december månads underlag. En del löner kommer gå till personer som har slutat, men det kan inte hjälpas. Allt får justeras i efterhand.
Enligt Thomas Jarbo råder det ingen tvekan om vem som hade ansvar för säkerhetskopiering.
– Det är Tietoevrys ansvar att säkerställa avtalsenlig hantering av backuperna. Vi har fått knapphändig information om hur de har hanterats.
Sverigechefen för Tietoevery tech services, Venke Bordal, höll i en DN-intervju fast vid att företaget inte har brustit i sin it-säkerhet, trots attacken och att företaget ännu inte vet hur den gick till.
Det har väckt många reaktioner, inte minst bland Tietoevry-kunder.
– Jag blev förvånad, milt uttryckt. Hur kan Tietoevry påstå att man har hög säkerhet utan att känna till sårbarheten? Vi som kund utgår från att det vi köpt är det som levererats. I dagsläget är vi inte säkra på det. Vi inväntar skriftlig redovisning från Tietoevry. Förhoppningsvis rätas våra frågetecken ut då, säger Thomas Jarbo.
Minst ett privat företag uppger också att deras säkerhetskopior har förstörts, men vill inte medverka öppet med namn.
I intervjun medgav Venke Bordal att företaget inte vet hur attacken gick till. De har helt enkelt inte lyckats ta reda på om hackarna utnyttjade säkerhetshål eller på annat sätt fick tillgång till det datacenter som angreps.
Enligt uppgift till DN har det försvårats av att hackarna lyckades kryptera även loggfiler till Tietoevrys egna system, som kan ha innehållit viktiga ledtrådar.
DN har sökt Tietoevry, som avböjer att kommentera ”med hänsyn till kundsekretess och säkerhetsskäl”.
Fakta.Tar över serverdrift
Tietoevry är ett stort, internationellt it-företag med runt 24 000 anställda och huvudkontor i Finland.
Företaget sysslar bland annat med outsourcing av serverdrift. Det betyder att företag och myndigheter betalar Tietoevry för att driva deras servrar och it-system i ett datacenter.
Attacken riktades mot ett av datacentren, men eftersom flera kunder hade sina system där drabbades många av attacken.
[deleted]
jag är fullständigt livrädd för ransomware, jag har återkommande påpekat för vår ledning hur extremt rövkörda vi kommer bli om något sådan skit kommer in i våra system. de riktigt kvalificerade angriparna ligger ju och marinerar så att alla backuper är körda också
Och enligt vad Tietoevry sa så är det inget fel på deras it-säkerhet… utan det här är vad man kan förvänta sig om man har dem som leverantör
Jag skulle snarast byta leverantör om jag hade dem
Ett ord: “Air-gapped”
En grej jag funderar över är om/när vi får inhemska grupper som anfaller våra egna system på uppdrag av politiker. T.ex. om någon förskingrat stora mängder pengar och är rädd för att bli påkommen så tror jag absolut att de kan beställa en attack på de system som har data som skulle kunna fälla dem.
Det är nu man saknar tiden då kommunens IT-chef hade ”backuppen” på en USB-sticka hemma.
Rätt höga avgifter på det av Tietoevry va? Dom borde gå i konkurs va?
Finns det någon “svartlista” över bolag som inte får vara med i offentliga upphandlingar?
Kan det här bli ett exempel på hur man inte hanterar it-säkerhet för framtidens data / mjukvaru-ingenjörer?
Det är en bra tid att få sina filer “raderade”
dags för en ny rebrand till tieto?
Sjukt dåligt hanterat av Tietoevry. Samtidigt borde man ju verkligen börja hantera hackerattacker av den här digniteten mycket allvarligare från statligt håll. Borde vara livstid på bordet för hackarna, och har dom stöd från statligt håll borde det ses som en krigsförklaring mer eller mindre. En välriktad attack kan bokstavligen stänga ned hela samhället.
Bästa sättet att lagra säkerhetskopia är på en extern hårddisk som lagras i ett hemligt valv 1km in i ett urberg osv..
Det han menar är att dom troligtvis har så pass hög säkerhet som är standard för branschen och uppfyller de lagar och regler som gäller kring det. Varken mer eller mindre.
Hoppas ju att det kommer någon rapport så man kan ta lärdom av vad som hände. Men är väll tyvärr inte så troligt med tanke på privat bolag.
Hade varit intressant om de hade loggar bara på servrar eller om de skickades till central loggserver och i så fall om även den blivit krypterad.
Känns som att de kommit in på managment nät eftersom de verkar sänkt dem helt.
20år av säkerhetskopior misstänker att de inte körde backup band. Men hade varit intressant även där att veta om rutiner/segmentering av nät eller annat gjorde att de kunde komma åt det.
Offlinekopior era jävla strutsar. En extern hårdisk som är urkopplad och sitter på en arkivhylla. Hur jävla svårt kan det vara?
17 comments
**20 år av data borta – hackarna kom åt säkerhetskopior**
Mer än tre veckor efter cyberattacken mot Tietoevry står det klart: Mängder med säkerhetskopior förstördes och kommer inte kunna återskapas. Detta trots att avtalet säger att Tietoevry ansvarar för säkerhetskopior, enligt flera kunder.
– Det är Tietoevrys ansvar att säkerställa avtalsenlig hantering av backuperna, säger Thomas Jarbo, it-chef på Vellinge kommun.
Hackarattacken natten mot den 20 januari medförde att en lång rad av it-företaget Tietoevrys kunder fick sina it-system och filer förstörda. Attacken, med så kallat ransomware eller utpressningsvirus, gick ut på att kryptera data och kräva offret på pengar för att låsa upp dem.
Kunderna är företag, kommuner, regioner och myndigheter som anlitar Tietoevry för att driva deras servrar och it-system. Efter attacken inleddes det mödosamma arbetet med att återställa det som hade skadats. I många fall betyder det att ta fram den senaste säkerhetskopian, som Tietoevry enligt avtalet ska ha sparat.
– Aktuella, intakta och återställningsbara säkerhetskopior är helt avgörande efter en ransomwareattack, säger it-säkerhetsspecialisten Karl Emil Nikka, som har följt attackens efterspel.
Men i många fall var det omöjligt. Hackarna hade inte bara kommit åt kundernas servrar, utan även säkerhetskopiorna. Även de var krypterade och därmed helt oanvändbara.
Nu, mer än tre veckor efter attacken, ser många dem som förlorade för alltid.
En av de drabbade är Tandvårds- och läkemedelsförmånsverket, myndigheten som beslutar om vilka läkemedel som ska ingå i högkostnadsskyddet. Bland annat är myndighetens hela diarium borta, något P4 Sjuhärad har rapporterat om.
De äldsta delarna finns delvis i pappersformat, men det digitala register som gjorde dem sökbara är borta. Allt från 2016 är helt försvunnet. Totalt rör det sig om över 20 års data. Nu ska myndigheten försöka lappa och laga från olika källor.
– Vi kommer aldrig kunna återskapa det som det var, säger Maria Bjurö, kommunikationschef på myndigheten.
Tandvårds- och läkemedelsförmånsverket ansvarar också för att det är läkemedlet med lägst pris som lämnas ut på apoteken och att det kan levereras i tillräcklig mängd från läkemedelsbolagen. It-system för att samordna det slogs också ut, och nu måste allt hanteras manuellt.
Vi försöker sätta samman dem med data från kringliggande system. Det är som att lägga ett tiotusenbitarspussel.
– Vi har ett avtal med Tietoevry där det framgår att det ska finnas säkerhetskopior. Nu får vi utreda vad som har hänt. Vi har inte alla svar än, utan fokuserar på att få upp våra system. Det kommer bli en process framåt, säger Maria Bjurö.
Vellinge kommun hör till de värst drabbade. En lång rad it-system slogs ut. Löner, journaler för äldreomsorg, sophantering. För en del är även säkerhetskopiorna förstörda.
– Vi försöker sätta samman dem med data från kringliggande system. Det är som att lägga ett tiotusenbitarspussel, säger Thomas Jarbo, kommunens it-chef.
Bland annat kommer kommunen få göra nästa löneutbetalning baserat på december månads underlag. En del löner kommer gå till personer som har slutat, men det kan inte hjälpas. Allt får justeras i efterhand.
Enligt Thomas Jarbo råder det ingen tvekan om vem som hade ansvar för säkerhetskopiering.
– Det är Tietoevrys ansvar att säkerställa avtalsenlig hantering av backuperna. Vi har fått knapphändig information om hur de har hanterats.
Sverigechefen för Tietoevery tech services, Venke Bordal, höll i en DN-intervju fast vid att företaget inte har brustit i sin it-säkerhet, trots attacken och att företaget ännu inte vet hur den gick till.
Det har väckt många reaktioner, inte minst bland Tietoevry-kunder.
– Jag blev förvånad, milt uttryckt. Hur kan Tietoevry påstå att man har hög säkerhet utan att känna till sårbarheten? Vi som kund utgår från att det vi köpt är det som levererats. I dagsläget är vi inte säkra på det. Vi inväntar skriftlig redovisning från Tietoevry. Förhoppningsvis rätas våra frågetecken ut då, säger Thomas Jarbo.
Minst ett privat företag uppger också att deras säkerhetskopior har förstörts, men vill inte medverka öppet med namn.
I intervjun medgav Venke Bordal att företaget inte vet hur attacken gick till. De har helt enkelt inte lyckats ta reda på om hackarna utnyttjade säkerhetshål eller på annat sätt fick tillgång till det datacenter som angreps.
Enligt uppgift till DN har det försvårats av att hackarna lyckades kryptera även loggfiler till Tietoevrys egna system, som kan ha innehållit viktiga ledtrådar.
DN har sökt Tietoevry, som avböjer att kommentera ”med hänsyn till kundsekretess och säkerhetsskäl”.
Fakta.Tar över serverdrift
Tietoevry är ett stort, internationellt it-företag med runt 24 000 anställda och huvudkontor i Finland.
Företaget sysslar bland annat med outsourcing av serverdrift. Det betyder att företag och myndigheter betalar Tietoevry för att driva deras servrar och it-system i ett datacenter.
Attacken riktades mot ett av datacentren, men eftersom flera kunder hade sina system där drabbades många av attacken.
[deleted]
jag är fullständigt livrädd för ransomware, jag har återkommande påpekat för vår ledning hur extremt rövkörda vi kommer bli om något sådan skit kommer in i våra system. de riktigt kvalificerade angriparna ligger ju och marinerar så att alla backuper är körda också
Och enligt vad Tietoevry sa så är det inget fel på deras it-säkerhet… utan det här är vad man kan förvänta sig om man har dem som leverantör
Jag skulle snarast byta leverantör om jag hade dem
Ett ord: “Air-gapped”
En grej jag funderar över är om/när vi får inhemska grupper som anfaller våra egna system på uppdrag av politiker. T.ex. om någon förskingrat stora mängder pengar och är rädd för att bli påkommen så tror jag absolut att de kan beställa en attack på de system som har data som skulle kunna fälla dem.
Det är nu man saknar tiden då kommunens IT-chef hade ”backuppen” på en USB-sticka hemma.
Rätt höga avgifter på det av Tietoevry va? Dom borde gå i konkurs va?
Finns det någon “svartlista” över bolag som inte får vara med i offentliga upphandlingar?
Kan det här bli ett exempel på hur man inte hanterar it-säkerhet för framtidens data / mjukvaru-ingenjörer?
Det är en bra tid att få sina filer “raderade”
dags för en ny rebrand till tieto?
Sjukt dåligt hanterat av Tietoevry. Samtidigt borde man ju verkligen börja hantera hackerattacker av den här digniteten mycket allvarligare från statligt håll. Borde vara livstid på bordet för hackarna, och har dom stöd från statligt håll borde det ses som en krigsförklaring mer eller mindre. En välriktad attack kan bokstavligen stänga ned hela samhället.
Bästa sättet att lagra säkerhetskopia är på en extern hårddisk som lagras i ett hemligt valv 1km in i ett urberg osv..
Det han menar är att dom troligtvis har så pass hög säkerhet som är standard för branschen och uppfyller de lagar och regler som gäller kring det. Varken mer eller mindre.
Hoppas ju att det kommer någon rapport så man kan ta lärdom av vad som hände. Men är väll tyvärr inte så troligt med tanke på privat bolag.
Hade varit intressant om de hade loggar bara på servrar eller om de skickades till central loggserver och i så fall om även den blivit krypterad.
Känns som att de kommit in på managment nät eftersom de verkar sänkt dem helt.
20år av säkerhetskopior misstänker att de inte körde backup band. Men hade varit intressant även där att veta om rutiner/segmentering av nät eller annat gjorde att de kunde komma åt det.
Offlinekopior era jävla strutsar. En extern hårdisk som är urkopplad och sitter på en arkivhylla. Hur jävla svårt kan det vara?