Natuurlijk is het strafbaar wat diegene gedaan heeft maar het laat ook boven water komen dat het bedrijf slordig met hun accounts omgaat. Bij public cloud is het cruciaal om goed na te denken over:

- Gebruik nooit je root account
- Verplichten om 2fa te gebruiken op alle accounts
- Geef iemand alleen maar de rechten die ze nodig hebben om hun taak uit te kunnen voeren (IAM goed inregelen).
- Maak altijd backups en maak het niet mogelijk dat die zomaar verwijderd kunnen worden ( alleen evt via een ander account)
- Regel monitoring goed in zodat verwijderen van bedrijfs systemen gelijk een melding geeft (Cloudwatch bij AWS)

Dit is denk ik de grootste valkuil van de public cloud. Lijkt allemaal heel simpel maar juist over deze zaken nadenken vergt kennis waar veel bedrijven mee geholpen moeten worden.

IT Extremisme/Cybercrime...het zou je toch overkomen als bedrijf...

Dit wil je niet meemaken.

Zegt ook wel alles over de procedures en inrichting van de infrastructuur van dat bedrijf. Zeker als je cloud diensten aanbiedt.

Grandioze service, je biedt diensten op internet aan, maar beschikt niet eens over backups waarmee je in de meest extreme situatie nog terug kunt komen.

Beetje simpele reactie
Zou dat aan de cloud provider liggen? Of aan de werkgever zelf die zijn servers moet backuppen?
Het gebruiken van een virtuele laag en infrastructuur is één ding, beheer van je speelgoed een ander ding.

Speel niet de gemaakte verongelijktheid. De term Cloud Backups is je vreemd?

Het is natuurlijk wel treurig en lachwekkend tegelijkertijd dat iemand die met zijn achternaam 'Gonzalez' heet, 'speedy' als wachtwoord gebruikt voor een werkgevers computeraccount, waardoor met enige gebruikte fantasie ingelogd kon worden op dat slecht beveiligde account door de veroordeelde it'er, maar toch... als dit niet tot een hartig en vooral speedy woordje met de directie heeft geleid, ben ik benieuwd naar het.. en waarom niet?

Wat voor werkgever, leiding, zou t geweest zijn om n werkgever tot zulke daden te brengen?

Dacht toch ook dat weggooien bij USA bedrijven lastig was, jammer dat de patriot-act nog niet op klantwens data retourneert. Zou n hoop kosten besparen in de westerse economie :)

Het valt wel op dat zoiets vaker voorkomt: ontslag gevolgd door een dergelijke wraak.
Ik vraag me dan ook af of ICT-personeel wel altijd redelijk en terecht wordt ontslagen.

Het is mij ook overkomen:
Je spant je jarenlang in en werkt je de pestpokken, want meer personeel willen (zelf zeggen ze "mogen") ze niet aannemen, of "er is geen personeel te krijgen met dergelijke kennis".
Ondertussen is je manager eigenlijk maar een sufferd, speelt spelletjes op de computer in werktijd en geeft soms nodeloze kritiek op je praktische en adequate handelen.
Maar dat hij een sufferd is, wil hij niet weten omdat hij niet doorvraagt en maar half luistert, de kennis niet heeft,
onvoldoende praktisch is ingesteld, of het simpelweg in al zijn ijdelheid niet wil horen dat hij eigenlijk maar een sufferd is.
En o wee als je zelfstandig heel keurig en creatief en probleemoplossend buiten je eigen functieregels opereert.
Daar wordt je manager zo angstig van, dat hij vindt dat je toch maar een andere taak moet krijgen waarmee niet goed zichtbaar is voor het hogere management hoe hard je wel niet werkt.
Ondertussen komt je manager zelf zijn afspraken te vaak niet na, en laat wie er op hem wachten in het ongewisse.

Nu ben ik toevallig niet kwaadaardig aangelegd, en ontslag kan in bepaalde gevallen natuurlijk ook wel eens rechtvaardig zijn, maar tjongejongejonge, er zijn bedrijven (H.R. en bepalende managers) die wel eens in eigen boezem mogen kijken
of het allemaal wel klopt. Dan kan er een goedgekeurd schriftelijk afvloeiplan zijn, maar de praktijk?.....

@Anoniem van 13:00 heden,

Heel herkenbaar probleem. Zelfs een kritisch probleem voor de hele B.V. Nederland. Management en CEO grootverdieners, die nergens verstand van hoeven te hebben, dan het indienen van bonusregelingen en het tevreden houden van de aandeelhouders en verder effectief moeten kunnen lobbyen en "netwerken" als bovenlaag.

Daarnaast de mensen met de relevante kennis en kunde, waar men het liefst zonder zou kunnen verder gaan en hoopt ooit te kunnen vervangen door niets kostende robots. Voor dit soort overhead figuren en uitbuiters van natie en regio bent u minder waard dan een kant en klare doos-oplossingen, een one click voor al oplossing. Het eindje zal de last wel dragen. Blijf dus optimistisch.

luntrus

Waar staat dat er geen backup was? Bij 23 verwijderde servers, was die data misschien wel 22-voudig gebackuped.

Briolet had het niet over backups zonder meer maar over backups waarmee je in de meest extreme situatie nog terug kunt komen. Om dat te bereiken zet je je backups niet allemaal bij dezelfde provider en zijn ze niet allemaal online benaderbaar.

Dan nog kan ik wel situaties bedenken die zo extreem zijn dat dat ook niet voldoende is, maar er zit een grens aan waar je nog zinvol rekening mee kan houden. Die grens lijkt in dit geval niet opgezocht te zijn.

Goede opmerking. De accountant is vaak wel tevreden als er een backup gemaakt is, vinkje in het rapport door naar het volgende punt. In de praktijk heb je voor een DR maar 1 kans om in het geval van een calamiteit de boel terug te krijgen.
DR oefeningen die na een 3e poging een deelresultaat bereiken tonen eigenlijk aan dat het niet goed zit.

Als iemand de account te pakken krijgt die de instances kan verwijderen, dan kan je daarmee waarschijnlijk ook wel de images en backups verwijderen. Deze staan normaal bij dezelfde cloud aanbieder.

Het hele probleem hier is dat er slordig is omgesprongen met de wachtwoorden, dat er geen MFI is ingeregeld, en de beveiliging van de cloud laat te wensen over. Je kunt op AWS de beveiliging helemaal dichttimmeren wie wat mag doen, met RBAC en alles. Maar het is complex, dus veel bedrijfjes kiezen er voor om alles open te zetten.

Van de andere kant zijn dit soort acties gewoon triest. Wat er ook voorgevallen is: het rechtvaardigt niet om een bedrijf naar de afgrond te sturen.

Ja en dat is dus juist niet handig, het is uit BCM oogunt een slecht idee om alle eieren in één mandje te leggen. Externe backups hadden de schade kunnen beperken. Bij een andere cloud provider bijvoorbeeld, en alleeen toegankelijk voor iemand anders dan de systeembeheerder (iets met functiescheiding en zo).


Eens, en ik begrijp dat het voor kleine bedrijfjes soms lastig is, maar een goede "what if" sessie had dit wel aan het licht kunnen brengen en hopelijk geleid tot actie.


Ook eens. Het gebeurt hier toch wat weinig, even benadrukken dat dit soort acties misdadig zijn en dat je niet alle verantwoordelijkheid bij het slachtoffer kan leggen (had de directeur maar geen kort rokje moeten dragen/aardiger zijn tegen de systeembeheerder).
Het feit dat iemand hiertoe in staat is en ook nog vindt dat hij daar het recht toe heeft, kan wel eens de grond achter het ontslag geweest zijn. ICTers worden niet altijd aardig behandeld door HR, maar veel ICTers zijn ook verdraaid eigenwijs, hebben niet zulke geweldige contactuele eigenschappen en zijn heel beroerd in zelfrelativering.
Misschien zouden we elkaar daar ook eens wat meer op kunnen wijzen en niet alleen op de voordelen van iOS boven Android of Agile boven Prince2.