Stiahnutie Sony neposkytlo veľa nových lekcií pre IT, ale zdôraznilo skutočnosť, že aj tí, ktorí majú čo stratiť, stále prižmúria oči.
V niektorých diskusiách to môže byť dôležité či bola Severná Kórea zapojená do hacknutia Sony, ale z pohľadu IT a korporácie to má malý vplyv na to, aké ponaučenia sa treba naučiť.
Zdá sa, že spoločnosť Sony Pictures Entertainment od začiatku zle riešila svoju situáciu vrátane nedostatočných bezpečnostných štandardov a nedbalé IT procedúry, zlý úsudok v oblasti vzťahov s verejnosťou a nakoniec strohé rozhodnutie upadnúť do hackera požiadavky.
To všetko a hack a jeho dôsledky sú ďaleko od záveru.
Páchne to aj preto, že ďalší hack pod záštitou Sony, porušenie ochrany údajov PlayStation, dosiahla predbežné vyrovnanie 15 miliónov dolárov v skupinovej žalobe krátko predtým, ako sa tento najnovší horor začal v Sony Pictures Entertainment pripravovať.
Uniknuté dokumenty a výpovede bývalých zamestnancov ukazujú, že spoločnosť Sony neprevádzkovala kompetentnú IT prevádzku. Agentúra Associated Press uviedla, že spoločnosť Sony utrpela predchádzajúce technologické výpadky, ktoré spoločnosť obviňovala z nedostatkov softvéru a nešikovného IT personálu, aj keď najnovší hackeri sa motali okolo.
Tiež chýbalo šifrovanie na citlivých dokumentoch obsahujúcich plat a dátum príjmu, strategické plány a osobné informácie o zamestnancoch. Heslá boli uložené v elektronických priečinkoch stručne označených ako „heslá“.
Toto sú druhy prehliadnutí a začiatočníckych chýb, ktoré sa často vyskytujú, no napriek tomu sú pri porušení (a následných právnych krokoch) prinajlepšom bezohľadné a zatracujúce.
Dodávateľ, ktorý pracoval pre Sony, bol otvorenejší a pre Business Insider povedal: „Bezpečnostný tím nemá žiadne potuchy.“
To bola chyba jedna, ignorovanie osvedčených bezpečnostných opatrení v odvetví a zlé rozhodnutia týkajúce sa zamestnancov.
Akonáhle bol hack odhalený, kontrola poškodenia Sony začala vyzerať rovnako nešikovne ako jej sieťové schopnosti.
Spoločnosť priviedla renomovanú firmu na kybernetickú bezpečnosť Mandiant, ale veci sa dostali na juh, keď generálny riaditeľ Sony Michael Lynton vydal správu, ktorú prevzali médiá, firma mu povedala, že tento hack je „bezprecedentný“ a „ani Sony Pictures Entertainment, ani iné spoločnosti nemohli byť pripravený."
Iné firmy zaoberajúce sa kybernetickou bezpečnosťou tento záver zhodnotili a Sony vyzeralo, že zaplatilo za pozitívne hodnotenie, ktoré by jej mohlo získať verejnú priazeň ako obeť šikanovania.
Keď verejná nálada neprišla a príbeh sa vymkol spod kontroly, Lynton zaútočil na médiá a najal pre médiá to povedal vysokopostavený právnik David Boies, ktorý zastupoval ministerstvo spravodlivosti v prípade proti Microsoftu mali ukradnuté informácie a mali by ich zničiť.
Médiá odmietli, citovali zodpovedné spravodajstvo a opäť nechali Sony vyzerať ako zlý herec vo svojom osobnom Armagedone.
To bola chyba dva, pokúšať sa zavesiť závoj pred médiami namiesto toho, aby bol transparentný a držal sa primeraných postupov zverejňovania.
Tretí úder prišiel, keď Spoločnosť Sony stiahla film „The Interview“ z vydania, čím sa rozpútala celoštátna diskusia o prvom dodatku a vyvolala pobúrenie od známych osobností v oblasti zábavy a iných umelcov oddaných slobodnému prejavu.
Hack od spoločnosti Sony teraz vytvára búrku humbuku okolo kybernetickej bezpečnosti, kybernetického boja a hackivizmu, ktorý sa pravdepodobne rozbehne nové kolá zdĺhavej legislatívy, ktorá ešte viac zaťaží prepracovaných firemných bezpečnostných architektov a udrží Sony v tejto oblasti reflektor.
Pre podniky je čas vypnúť hluk. Veľká časť lekcie tu bola odoslaná a správa sa príliš nelíši od toho, ako bola pred hacknutím.
Bezpečnostní architekti musia pracovať na náprave svojich zjavných nedostatkov a pracovať na utiahnutí skrutiek okolo už nasadených bezpečnostných technológií. Je potrebné prehodnotiť zásady a postupy ukladania e-mailov a dokumentov. Firemná komunikácia musí premýšľať skôr, ako začne konať, zabrániť vedúcim pracovníkom v tom, aby robili to isté a podporiť (alebo vytvoriť) krízové plány.
A výkonný balík musí počúvať, chápať riziká a financovať prácu IT, ktorá minimalizuje možnosť porušenia alebo znižuje škody, ak k nim dôjde.
Sú to známe refrény, ktoré sa často riešia s nadhľadom. Existuje však spoločnosť, ktorá sa chystá stať sa ďalšou spoločnosťou Sony Pictures Entertainment. Bude váš?