Sony Pictures hack: wat kunnen we leren van alle ophef?

Blog door Andy | Geplaatst op donderdag 18 december 2014

Er is weer een nieuw hackverhaal opgedoken in de wereldwijde media, nu Sony's veiligheidsnachtmerrie van november weer het nieuws haalt. Voor het geval je het nog niet wist, in november was Sony Pictures het slachtoffer van een beveiligingsinbreuk door een groep hackers die zichzelf ‘GOP’ of ‘Guardians of Peace’ noemden. Er gingen geruchten dat Noord-Korea erbij betrokken was, omdat het boos was over de geplande release van The Interview, een komedie waarin het regime van het land belachelijk werd gemaakt. kaasafhankelijk leider. Ze hebben deze speculatie ontkend, maar zeiden dat ze het sentiment bewonderden.

Waarom is dit internationaal nieuws? Nou, afgezien van de politiek, is het de maat:

Sony's grootte
Sony Pictures is een wereldwijde entertainmentgigant met $8bn inkomsten (mrt 2014) en duizenden werknemers (Sony Corporation heeft wereldwijd meer dan 140.000 werknemers).

De omvang van het gegevensverlies
Ongeveer 100 TB aan gevoelige gegevens over genoemde werknemers, waaronder financiële informatie, personeelsgegevens en gebruikerswachtwoorden. Allemaal onveilig opgeslagen in verschillende formaten (bijv. spreadsheets en Word-documenten) die de minst geavanceerde computergebruikers konden bekijken.

De omvang van het onderwerp op sociale media
Trending op Twitter, over de hele site delen Reddit (inderdaad, Reddit is begonnen met het verbieden van gebruikers die documenten over de Sony-hack delen) en het onderwerp van vele nieuwsartikel.

Naast het aspect van de omvang, is het ook de relevantie van de hack voor ons allemaal. Natuurlijk, de geruchtmakende ‘reden’ voor de hack (Sony's pogingen om een film te verspreiden die kritisch was over het Noord-Koreaanse regime) is specifiek voor hen, maar de aard en omvang ervan heeft betrekking op ons allemaal.

In de meeste landen zijn wetten voor gegevensbescherming en compliance van kracht, maar slechts weinige landen zien er echt op toe dat ze worden nageleefd totdat er gegevens verloren zijn gegaan. Er zijn bepaalde sectoren die regelgevende instanties hebben opgezet om toezicht te houden op naleving (we kijken naar jullie, bankiers), maar de rest van ons wordt overgelaten aan zelfregulering.

Maar doen we aan zelfregulering?
Als je in een bedrijf werkt, kijk dan eens naar je bedrijfscultuur en de manieren waarop je informatie deelt. Kunnen deze in gevaar komen? Beter nog, denk eens na over hoe je alle informatie beheert die je op je computer opslaat of naar iemand thuis of op het werk stuurt. Hoe veilig is die informatie? Zelfs bedrijven die een intranet gebruiken als middel voor informatieverspreiding moeten stappen ondernemen om de opgeslagen gegevens te beveiligen, maar vertrouwen te vaak op de isolatie van het bredere internet als substituut voor beveiliging.

Ok, dus hoe kunnen we zelfreguleren?
Begin met de bestanden zelf. Als je ze beschermt op het moment dat je ze maakt door ze te versleutelen en de toegang te beperken, zullen ze zelfs nutteloos zijn als ze in verkeerde handen vallen. Als Sony's documenten toegangsgecontroleerd waren, zouden de bestanden waardeloos zijn voor de hackers in wiens handen ze vielen. Software zoals Waakzame RechtenWaak is hier ideaal voor. WatchDox, Software die gericht is op het beveiligen van het delen van documenten tussen gebruikers is ook een goede manier om je documenten te beveiligen terwijl je ze verspreidt (en later de toegang weer opgeeft).

Je kunt je documenten verder beschermen door de hardware waarop ze zijn opgeslagen te beveiligen. Multi-factor authenticatie inclusief biometrische methoden wordt steeds betaalbaarder en wijdverspreider en is nu een realistische oplossing voor een gegevensbeschermingsstrategie. Gebruik vingerafdrukverificatie als onderdeel van je toegangscontrole (naast wachtwoorden - daarover dadelijk meer) wanneer je inlogt op je computer. Als je je gegevens meeneemt op een USB-stick of externe harde schijf, versleutel deze dan en beperk de toegang ertoe. Imation's briljante Ironkey draagbare opslagoplossingen De Ironkey F200 USB stick en H200 externe harde schijf hebben al versleuteling ingeschakeld en vingerafdrukverificatie is ingebouwd.

En dan zijn er nog eenvoudige goede praktijken en gezond verstand. Als een bedrijf een strategie van goede beveiliging en verwachtingen aanneemt en oplegt aan zijn werknemers, kan het het risico op blootstelling van gegevens aan potentiële bedreigingen beperken:

• Sla wachtwoorden nergens in platte tekst op. Als wachtwoorden moeten worden opgeslagen, versleutel ze dan en beperk de toegang.
• Verander wachtwoorden regelmatig en zorg ervoor dat ze sterk zijn. Ze hoeven geen wartaal te zijn om moeilijk te kraken - twee willekeurige woorden van ten minste 5 tekens, met een hoofdletter en gescheiden door ten minste twee cijfers en twee leestekens is een goed patroon, bijvoorbeeld ‘Toasted46$!Mantra’ - zorg ervoor dat het allemaal willekeurig is. In theorie zou een standaard PC er 931 biljoen jaar over doen om dat voorbeeld te kraken. En als je het de meeste dagen gebruikt, zul je merken dat het makkelijk te onthouden is.
• Ik wil volgen voorschriften en richtlijnen over de opslag van persoonlijke en financiële informatie van personen en sla deze nooit op in een onversleuteld bestand.

Omdat je het waard bent
Ik denk dat mijn punt is dat Sony Pictures niet kwetsbaar was voor aanvallen simpelweg omdat hackers misschien een agenda hadden. Ze waren kwetsbaar omdat hun personeel zelfgenoegzaam was over hun beveiliging en niet de stappen nam die nodig waren om bedreigingen te beperken. En jij bent net zo kwetsbaar als je niet hetzelfde doet.

De trieste waarheid is dat we er allemaal vanuit moeten gaan dat al onze apparaten, vooral die apparaten die verbinding maken met het internet, potentiële doelwitten zijn voor gewetenloze gebruikers van het web. Maar als we allemaal meedoen aan de cultuuromslag, dan zullen we - net als bij de gewoonte om onze huizen en auto's te beveiligen of onze pincode voor creditcards te beschermen - het leven een stukje moeilijker maken voor degenen die ons werk of gewoon ons plezier willen verpesten.