<div dir="ltr"><div dir="ltr">On Tue, Sep 28, 2021 at 11:15 PM Ryan Delgrosso <<a href="mailto:ryandelgrosso@gmail.com">ryandelgrosso@gmail.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  
    
  
  <div>
    <p>B: I believe they need to be drawing national attention to this
      to highlight what a steaming dumpster fire much of the critical
      infra really is. Mostly because its designed to maximize quarterly
      earnings, not stay working in the face of adversity.</p></div></blockquote><div>That's not an exclusive problem to network engineering, or even IT in general.</div><div>Under another hat, I consult with a lot of healthcare facilities.  I'd say somewhere around 40% of my clients are *still* running Windows 7 and Windows Server 2008 on their networks.</div><div>Why?  Because it will cost a few hundred thousand to upgrade/replace all the machines and they want IT costs to look good on paper so they can sell out in a month, a year, or whatever.</div><div>When I mention how irresponsible it is, I found out most (if not all) of them managed to get "cyber insurance".</div><div><br></div><div>Did you know you can get a $5,000,000 "cyber insurance" policy from some insurance companies for only $2,500k/mo?</div><div>Even more astonishing...did you know they will issue that policy after doing a port-scan of your public IPs, and if they find no ports open, they consider you to be secure?</div><div>They didn't even require something as basic as a NIST 800-171 audit or filling out the most basic of questionnaires.</div><div><br></div><div>I read one of the policies and was stunned.  I'm not a lawyer, but it appears to me the insurance company will be on the hook even though they have no AV, no patch management, no logging/monitoring, and their stunningly incompetent external IT contractor fixes permissions issues in vendor-supplied applications by promoting people to "Domain Admin".</div><div><br></div><div>No one cares because they'd rather have an external company for $15k/mo as opposed to a competent team of employees for $25k/mo.  Looks great on the books that they saved ~$120k last year by "fixing" IT. ;)</div><div><br></div><div>-A<br></div></div></div>