Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset
Eli jokin julkisessa netissä kiinni oleva (PSN-?)kehityspalvelin (?) pyörii Linux-versiolla, jossa ilmeisesti on jokin tunnettu haavoittuvuus.
Mielenkiintoisempaa tuossa on se, että kyseinen SOE:n kone ei ole julkisessa netissä (ainakaan enää), vaan reverse-DNS paljastaa sen olevan NAT:in takana oleva sisäverkon kone, jonka IP-osoite on 10.x.x.x verkossa.
Jos näistä krakkereiden touhuviikoista jotain positiivistä hakee, niin viimeinkin yritysten tietoturva ja siihen liittyvät riskit saavat palstatilaa myös karvalakkimediassa ja pääuutislähetyksissä.
Sony ja sen eri tytäryritysten tilanne ei tosiaankaan ole mikään poikkeus, vaan yritysmaailmassa on enemmänkin sääntö kuin poikkeus ylenkatsoa ja laiminlyödä tietoturvaan liittyvät asiat. Joskus tämä on puhdasta tietämättömyyttä ja osaamattomuutta, mutta usein takana on kvartaalitalous ja kustannusten säästö. Jos IT-toimittaja sanoo, että uuden järjestelmän tietoturvan varmistaminen lisää kustannuksia x euroa, jää se helposti tekemättä, jollei asiasta päättäville tahoille pystytä kunnolla esittämään miten tämä ennakointi hyödyttää yritystä taloudellisesti.
Ongelma tavallaan ruokkii myös itseään, sillä IT-toimittajien ei kannata rakentaa tarjoustaan siten, että siinä on huomioitu tietoturvan läpikäynti täysimittaisesti, koska tällöin tarjouksesta tulee kalliimpi ja yritys valitsee yleensä aina halvimman. Jollei tarjouspyynnössä ole erikseen mainittu tietoturvaa kriteerinä tarjouksia pisteytettäessä, ei siihen kannata panostaa. Julkishallinnon hankinnoissa tämä on vielä suurempi riski, koska hankintalaki edellyttää valitsemaan aina halvimman tarjouksen vaikka se olisi kuinka huono jos se muutoin täyttää tarjouspyynnön muotoseikat.
Sama ongelma on olemassa olevien järjestelmien osalta. Niiden turvaamiseen ei panosteta riittävästi, vaikka yrityksen omat asiantuntijat sitä ehdottaisivatkin. Niin hämmästyttävää kuin se onkin, käsitetään IT monessa yrityksessä edelleen pelkkänä kulueränä, ei strategian keskeisenä mahdollistajana ja kilpailuetuna.
Nämä yritykset voi melko helposti tunnistaa katsomalla johtoryhmän miehitystä. Jos johtoryhmässä istuu kaikki muut johtajat, mutta IT:stä vastaavat CTO/CIO ei ja ovat raportointivastuussa talousjohtajalle, niin on melkoisen selvää, että ko. yrityksessä IT on tärkeä asia vain silloin, kun kuluista pitää karsia.
Harva yritys myöskään hyödyntää palveluita, joissa tietojärjestelmiä ja ohjelmakoodia auditoidaan erilaisin automaattisin työvälinein. Iso osa näistä perusvirheistä, kuten SQL injection ongelmista, löytyy tällaisissa auditoinneissa helposti.
Tietoturva on käytettävyyden ja laadun ohella asia, jota ei voi ripotella järjestelmän päälle myöhemmin, vaan sen on oltava mukana alusta asti. Nämä kaikki kuitenkin lisäävät kustannuksia, joita "toiminnan tehostamisen" ja "rönsyjen karsinnan" verukkeella leikataan.
Eräässä esityksessä Sony Picturesin edustaja luonnehti heidän kokonaisarkkitehtuuria ja sen hallintaa näin:
"Olemme osa luovaa teollisuuutta, jossa ihmisillä on ollut tapana tehdä päätöksiä omin päin". Tämä tietysti on koskenut IT-hankkeita ja niihin liittyviä päätöksiä, eikä keskitetysti hallitua IT:tä ole ollut. Nyttemin heillä sellainen on, mutta sen muodostamisen motiivit olivat alunperin kustannussäästöt ja "tehokkuuden lisääminen", ja hankkeesta raportoitiin talousjohtajalle.
Kuvaavaa on myös Sony Picturesin
privacy policyn toteamus tietoturvasta:
"We incorporate commercially reasonable safeguards to help protect and secure your Personal Information. However, no electronic data transmission or storage of information can be guaranteed to be 100% secure. Please note that we cannot ensure or warrant the security of any information you transmit to us, and you use the Sites and provide us with your information at your own risk. "
