Jag läste nyligen på Lifehacker att bloggtjänsten Journalspace, som funnits i drygt sex år, nu läggs ned efter att de tappat alla blogginlägg och övrig data. Datan på deras diskar har skrivits över flertalet gånger och företaget de anlitade för att rädda datan kunde inte få fram något. För att göra det värre så saknade de backuprutiner för SQL-databasen, de har backups på allt förutom just det.

Så nu har de inget annat val än att lägga ner hela företaget. Det visar än en gång hur viktigt det är med fungerande backuprutiner.

http://lifehacker.com/5122848/hard-lessons...space-wiped-out

Jobbigt läge!

De borde väl kunna få ut mycket av datan via Google? De cachar ju praktiskt taget hela internet.

Det där borde väl vara höjden av inkompetens. Hur kan man driva en sådan tjänst utan att ha superkoll på backuper?

Teknikern som jobbade där utförde sabotaget när han fick sparken.

Aha, raderade han då kanske databasbackuperna också? Då kanske mitt inlägg var lite hårt. Men ändå... får ju inte hända.

Ditt inlägg va inte hårt, man måste skydda sig även mot det, allt annat är riktigt oproffsigt.

Enda backupen dom hade var en raid lösning, men det hjälper inte om datan har blivit ersatt på båda diskarna helt och hållet så det inte ens går att återskapa.
Så visst har dom gjort fel, men flesta cheferna för företag har ingen koll på det utan litar på sin tekniker (som jag förstod så hade dom bara en).

Teknikern hade fixat backups för övriga tjänster men inte för SQLen och som chef så har man nog varken tid eller kompetens för att granska vad IT-snubbarna håller på med.

Ett tråkigt och abrupt slut.

Det är ju sånt här som gynnar hackarna, och gör dom lite extra glad :(

"Kommer du ihåg när vi sänkte Journalspace?"

Det mesta är på gott och ont, nu ger detta större utrymme till seriösa och varaktiga aktörer inom blogg tjänster som arbetar på ett bättre och säkrare sätt.

Om det stämmer att det var deras tekniker som medvetet raderade data så spelar det ju ingen roll hur många backupsystem det hade funnits, så länge denne tekniker hade tillgång till det.

Kör själv backup både mot online-tjänst och vissa saker mot extern disk, men det hjälper ju inte om jag får en flipp och radera allting.

Enligt bloggen Journalspace har så var det teknikern.
http://journalspace.com/blog/

Han kanske inte ska ha rättigheter att radera allting?

Man måste ju för fan kunna lita på de anställda. Den här personen borde bli kroniskt fattig resten av sitt liv plus att han får tillverka nummerplåtar ett tag utan betalning.

såklart ska man lita på sina anställda, men det måste också finnas en gräns...Tror inte banken låter någon anställ ta med alla pengar hem från valvet fast att han lämnar tillbaka dom dagen efter.
Man bör aldrig kunna ha så att en person på egen hand kan sänka hela bolaget.
Och det är något man lär sig ganska snabbt att just före detta anställda "ofta" ställer till problem.

Sen är ju fråga "varför måste han kunna tabort/komma åt ALLA backuper"?

Paja han backuperna EFTER att han hade fått kicken är det ju ännu värre.

En ensam tekniker brukar ju mer eller mindre styra allt på företagen som är tekniskt.
Jag vet det av personlig erfarenhet ifrån tidigare jobb att man hade ja, access till allt och kunde göra allt.

Det kanske stämmer, men SKA man ha det?

Ara: Klart att man ska begränsa tillgången så mycket som det är möjligt men i små företag blir det här lätt ohållbart. Då kanske man skapar ett system som kräver ett ytterliggare login för att jobba mot backuperna, ett login som isåfall VDn har, en VD som inte kan något om datorer.

Man kan inte kräva att alla ska kunna allting utan får helt enkelt förlita sig på sina medarbetare, så är det inom alla företag och det finns många bevis på att det inte fungerar men det finns också en överväldigande del som bevisar att det faktiskt fungerar.

Eller också kan man spara på disk/ftp och på band/extern hårdisk, vilken minimerar risken för det här...
Det är skanske bra att tekniker kommer åt senaste dygnets backup men inte senaste veckan eller kanske en månad gamla backupper utan att behöva be om lov, dom kan tex vara inlåsta i ett kassaskåpe (vilket också skyddar mot att man av misstag kan råka förstöra viktig data).

Men såklart får man göra en riskanalys och se om det är värt det extra jobbet, vilket man i det här fallet säkert ångrar att man inte gjorde.

Och du skriver "Då kanske man skapar ett system som kräver ett ytterliggare login" jag skulle säga att bra rutiner kommer man mycket längre på än att bygga extra system.

Ara: Det var bara ett exempel på varför det inte skulle fungera. Säg att du arkiverar backups i ett låst skåp som den teknikblåste VDn endast har nyckeln till. Om då IT-teknikern går till VDn och ber om nyckeln så behöver han nog inte svänga sig med särskilt många tekniska termer för att nämnda VD ska lämna över sagda nyckel utan att veta vad som ska hända.

Vad säger att backuperna är ens rätt backupade?
Och vem ska utföra backuperna ? VDn som inte kan något eller den enda teknikern?

Det är just för att folk tänker som er det här problemet kan uppstå.
Ni tycker inte att det är lite konstigt att det här över huvudet taget kan uppstå?

Generellt är det som har hänt mkt intressant. Ska man sätta in någon annan i det allra heligaste, måste man dra lärdom av det som hänt och göra så denne inte kan radera alltihop.

Mycket snack om att en person inte ska kunna sänka ett företag men det lyser av okunskap i de flesta inläggen eftersom det alltid finns någon som kan systemet och det dessutom måste finnas nödrutiner (sysadminkonton osv.) som flera har tillgång till. Även på stora företag kan en enskild person ställa till stor skada om den personen innehar "rätt" position. Jag har själv haft sådana positioner tidigare och har även idag en position där jag skulle kunna orsaka väldigt allvarlig skada om jag skulle få för mig att gå bärsärkargång i systemen. Visst är det skrämmande att det går att göra men som sagt, några måste ha tillgång till nödrutinerna.

En nyanställd ska inte kunna sänka ett företag nej, men det är i stort sett omöjligt att bygga barriärer så att en enskild person i förtroendeposition inte skulle kunna orsaka väldigt stor skada med avsikt. Det beror helt enkelt på att det dagliga arbetet skulle bli så otroligt byråkratiskt så att administrationskostnaderna skulle bli orimliga och verksamheten lidande av trögheten i systemet.

Vet inte om jag håller med att det inte kunde ha undvikits. Man hade lätt kunnat utöver en vanlig backup rutin kunna föra över backup till annan plats där du har 2 system och 2 olika ansvariga personer. I detta fallet har man ju inte ens försök göra något för att undvika det hela.

Det blir ett skönt skadestånd teknikern åker på.... kan han betala av på resten av livet.....

Han kommer säkerligen att leva under fattiggränsen resten av livet...

Så jä-la smart var det inte att sabba arbetsgivarens tillgångar....

@Westman, tycker också det är mycket okunskap i ditt inlägg. Att ha ett personberoende är ALLTID farligt, att folk byte jobb är inte ovanligt( inte heller den här typen av sabbotage).
När tex beöver man kunna radera samtliga backuper eller över huvudet taget ha tillgång till alla backuper, kanske sätta "read only" på backuperna? Så såklart man en nyckelperson orsaka stor skada men ska inte kunna sänka hela företaget (skulle bli välgit rädd om det kom fram att tex en ensam person kan förstöra alla swedbanks backuper).

"Det beror helt enkelt på att det dagliga arbetet skulle bli så otroligt byråkratiskt så att administrationskostnaderna skulle bli orimliga och verksamheten lidande av trögheten i systemet. " Det är ett problem som kan medföra att de anställda struntar i säkerhetsrutinerna, men det kanske det är värt lite "bök" om man jämför med att vara tvungen att lägga ner firman?

Att det här har hänt är väl ett bevis på att dom tog fel beslut/kom fram till fel slutsats i riskanalysen.

Men vem är det som skulle ha anlitats för att ta fram ovanstående lösning? Antagligen den ensamme IT-teknikern, som kanske redan då skulle ha sett till att han kunde komma åt det han ville. För att kringgå det så skulle de ha anlitat en tredje part och det känns väldigt långsökt, om man är på väg att starta upp ett företag och inte har så stor koll, så lär man inte vilja lägga massor av pengar på lösningar som inte känns relevanta.

Swedbank har förhoppningsvis mer än 1 tekniker :)

Ara: Har du vidtagit alla dessa säkerhetsåtgärder? Isåfall, hatten av till dig.

Inte alla men många.
Tackar tackar.

Är det någon som vill ha lite säkerhetstip är det bara att höra av sig.

Där har du fel. Chefer ska överblicka verksamheten och ha stenkoll på sådana saker. Att riskera hela verksamheten via en enda anställd är riktigt korkat.

Stenkoll på vad personalen rapporterar möjligen. Men om personalen medvetet och aktivt ljuger, så är det svårt att kontrollera varenda del av verksamheten. Skulle nog säga att en sådan chef är en dålig chef.

Det bästa är förstås om man har råd att hålla sig med en andra tekniker som kan kontrollera den förstes jobb.

Nej. Jag pratade givetvis inte om att varenda liten detalj ska kontrolleras utan sådant som är kritiskt för verksamheten.

Nja, tror det är bättre att någon annan står för kontrollen. Att "vanliga" anställda håller vakt på varandra på det viset känns inte så lyckat.

tartar: Det är ju precis det man har underställda chefer till, att kontrollera vad medarbetarna gör eftersom en VD i bolaget sällan kan hålla koll på allt. Precis som att Volvos VD inte vet om Johan på Volvo Lastvagnar i Umeå gör sitt jobb på sina skift så kan man inte kräva att Journalspaces VD ska veta vad teknikern gjorde.

Men då det var ett mindre företag så hade man väl inte råd med en ytterliggare tekniker och det är en risk man får ta.

Är du medveten om vad jag skrev? Jag skrev ju att man INTE kan sätta sig i en situation där man är beroende av en enskild person och därför måste fler än en person känna till - och kunna komma åt - backuper, systeminformation såsom konton etc.

"Värt lite bök": ja du, det är ju inte lite bök vi pratar om för om det är lite bök så är vi tillbaka i det jag säger i första stycket: därför måste fler än en person känna till - och kunna komma åt - backuper, systeminformation såsom konton etc.

"Att det här har hänt är väl ett bevis på att dom tog fel beslut/kom fram till fel slutsats i riskanalysen." återigen, man måste kunna lita på att anställda i förtroendeposition inte medvetet gör sånt här. Rent krasst så kan det gå till så här: Företaget sparar fem versioner av varje backupfil. Databasservern genererar 3 backupfiler per dygn med unikt dagnamn. Det gör att det finns backup för 5 veckor bakåt. Den anställde med ansvar för databasservern konfigurerar backuperna så att backupfilerna blir skräp i fem veckor och efter som allt ser ut att gå som det ska i backuptagningen så larmar inte övervakningssystemet (t.ex. SCOM). Efter 5 veckor tar den anställde bort databaserna och säger åt chefen att han kan ta sig. Voila, allt är borta trots att dba:n inte har åtkomst till backupfilerna och att backuprutinen var fullgod enligt best practice.

Okunskap lider jag inte av, tvärtom, och jag skäms inte för att påstå det heller.

Jo, men anser att det fortfarande bör vara en lägre chef som står för kontrollen och inte en "vanlig" anställd.