Sony Pictures hack: vad kan vi lära oss av all uppståndelse?

Blogg av Andy | (engelska) Publicerad på torsdag 18 december 2014

Ännu en hackinghistoria har dykt upp i de globala medierna, och Sonys säkerhetsmardröm i november skapar rubriker igen. Om du inte har hört det så utsattes Sony Pictures i november för ett säkerhetsintrång av ett gäng hackare som kallade sig ‘GOP’ eller ‘Guardians of Peace’, och det gick rykten om att Nordkorea var inblandat, arga över den planerade lanseringen av The Interview, en komedi som gör narr av landets regim och ostberoende ledare. De har förnekat dessa spekulationer, men sagt att de beundrar känslan.

Varför är detta en internationell nyhet? Tja, bortsett från politik, är det storlek:

Sonys storlek
Sony Pictures är en global underhållningsjätte med $8 miljarder i intäkter (mars 2014) och tusentals anställda (Sony Corporations totala antal anställda i världen uppgår till över 140.000).

Storleken på dataförlusten
Cirka 100 TB känsliga uppgifter om nämnda anställda, inklusive finansiell information, personaluppgifter och användarlösenord. Allt lagrat på ett osäkert sätt i en mängd olika format (t.ex. kalkylblad och Word-dokument) som de minst sofistikerade datoranvändarna kunde se.

Ämnets storlek på sociala medier
Trending på Twitter, allt över att dela webbplats Reddit (verkligen, Reddit har börjat förbjuda användare att dela dokument om Sony-hacket) och föremål för många nyhetsartikel.

Förutom storleksaspekten är det relevansen av hacket för alla oss som lär oss om det. Visst, den ryktade ‘anledningen’ till hacket (Sonys försök att distribuera en film som är kritisk mot den nordkoreanska regimen) är specifik för dem, men arten och omfattningen av den hänför sig till oss alla.

Det finns lagar om dataskydd och efterlevnad i de flesta länder nu, men få av dem tillämpar dem verkligen förrän efter att en dataförlust har inträffat. Det finns vissa sektorer som har inrättat tillsynsorgan för att övervaka efterlevnaden (vi tittar på er, bankirer), men resten av oss lämnas till självreglering.

Men reglerar vi oss själva?
Om du arbetar i ett företag, ta en titt på din företagskultur och de metoder du använder för att dela information. Kan de äventyras? Ännu bättre är att fundera på hur du hanterar all information som du lagrar på din dator eller skickar till någon, oavsett om det är på jobbet eller hemma. Hur säker är den informationen? Även företag som använder ett intranät för att distribuera information bör vidta åtgärder för att säkra den information som lagras, men alltför ofta förlitar man sig på att isoleringen från det övriga internet ska ersätta säkerheten.

Okej, så hur reglerar vi oss själva?
Börja med själva filerna. Om du skyddar dem när du skapar dem genom att kryptera dem och begränsa åtkomsten, kommer de att vara värdelösa även om de hamnar i fel händer. Om Sonys dokument hade varit åtkomstkontrollerade hade filerna varit värdelösa för de hackare som kom över dem. Programvara som t.ex. Vaksam RightsWatch är perfekt för detta. WatchDox, programvara som syftar till att skydda delning av dokument mellan användare är också ett bra sätt att skydda dina dokument när du distribuerar dem (och återlämna åtkomst senare).

Du kan skydda dina dokument ytterligare genom att säkra den hårdvara som de lagras på. Flerfaktorsautentisering med biometriska metoder blir allt billigare och mer utbredd och är nu en realistisk lösning för en dataskyddsstrategi. Använd fingeravtrycksautentisering som en del av din åtkomstkontroll (tillsammans med lösenord - mer om det om en stund) när du loggar in på din dator. Om du tar med dig dina uppgifter på ett USB-minne eller en extern hårddisk ska du kryptera dem och begränsa åtkomsten till dem. Imations lysande portabla lagringslösningar Ironkey levereras med kryptering redan aktiverad, och Ironkey F200 USB-minne och H200 extern hårddisk levereras med inbyggd fingeravtrycksautentisering.

Och så finns det helt enkelt god praxis och sunt förnuft. Om ett företag antar och tillämpar en strategi för god säkerhet och förväntningar på sina anställda kan det begränsa risken för att data utsätts för potentiella hot:

• Förvara inte lösenord i klartext någonstans. Om lösenord måste lagras, kryptera dem och begränsa åtkomsten.
• Byt lösenord regelbundet och se till att de är starka. De behöver inte vara en enda röra för att vara svåra att knäcka - två slumpmässiga ord med minst 5 tecken, stora bokstäver och åtskilda av minst två siffror och två skiljetecken är ett bra mönster, t.ex. ‘Toasted46$!Mantra’ - se bara till att allt är slumpmässigt. I teorin skulle det ta en standard-PC 931 biljoner år för att knäcka det exemplet. Och om du använder det varje dag kommer du att tycka att det är lätt att komma ihåg.
• Följ förordningar och riktlinjer om lagring av personlig och finansiell information om enskilda personer, och lagra dem aldrig i en okrypterad fil.

För att du är värd det
Jag antar att min poäng är att Sony Pictures inte var sårbara för attacker helt enkelt för att hackare kan ha haft en agenda. De var sårbara eftersom deras personal var självbelåtna med sin säkerhet och inte vidtog de åtgärder som krävs för att mildra hoten. Och du är lika sårbar om du inte gör detsamma.

Den sorgliga sanningen är att vi alla måste utgå från att alla våra enheter, särskilt de som är anslutna till internet, är potentiella mål för skrupelfria användare på nätet. Men om vi alla ansluter oss till kulturskiftet kommer vi - precis som vanan att säkra våra hem och bilar eller skydda våra PIN-koder för kreditkort - att göra livet lite svårare för dem som försöker förstöra vårt arbete eller bara förstöra vårt nöje.