Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Efekty zewnętrzne na przykładzie Sony

To pierwszy z dwóch planowanych artykułów na temat włamania do Sony Pictures.

Włamanie do Sony Pictures nie było szerzej komentowane na łamach portalu. Poza tekstem Adama - Włamanie do Sony Pictures to kara za jedną głupią komedię? - temat w zasadzie nie był na dobrych poruszany. A szkoda, bo to całkiem ciekawy przypadek.

Po ostatnich rewelacjach FBI wiodącym podejrzanym jest Korea Północna. Ale nie o tym "kto" ani "jak" się włamał chciałbym napisać tym razem. Szczególnie bowiem interesuje mnie jakie są tego włamania konsekwencje.

Kiedy mamy do czynienia z cyberatakiem na dużą korporację, zarówno w aktualnościach, jak i w przygodnych dyskusjach skupiamy się na tym co firma w związku z zaistniałą sytuacją straci. Dyskutujemy o tym, że akcje spadły o 1/3, o tym o ile trudniej musi się w firmie pracować bez komputerów (wszystkie wyłączono w celu zminimalizowania potencjalnych szkód), kto i jak to zrobił.

Ale to jest dokładnie taki sposób analizy sytuacji, jaki Sony chciałoby, żebyśmy uprawiali. Skupiamy się na firmie, naszych sympatiach i antypatiach, bijemy pianę o powierzchowne problemy. Zastanawiając się "ile Sony Pictures na tym włamaniu straciło" robimy takiego samego typu oszacowanie, jakie robili szefowie Sony Pictures decydując się na marne zabezpieczenia i niedoinwestowanie IT. Właśnie takie myślenie - ile coś kosztuje, ile można stracić - prowadzi do gigantycznych w skutkach włamań, jak to z końca listopada.

Sony Pictures wycenia bezpieczeństwo

Nie ma bezpieczeństwa absolutnego, to jasne. Nie kupią go nawet wszystkie pieniądze tego świata, szczególnie jeśli zabezpieczona ma być sieć komunikująca się z Internetem. Ale między trzymaniem wyłączonego komputera w piwnicznym sejfie (nazwijmy to ascezą), a wkładaniu w maszynę z Windowsem 95 każdego napotkanego pendrive'a (niebezpieczny hedonizm) jest całkiem sporo odcieni pośrednich. Sony Pictures było gdzieś w okolicach "Windows ME z nieaktualnym antywirusem Kasperskyego chętnie pozna pendrive Hello Kitty". Takie ogłoszenie sprawia, że łatwo się naciąć.

Problemem nie jest w sumie to, że ktoś się do sieci korporacyjnej włamał. Takie jest ryzyko prowadzenia biznesu, po to istnieją firmy ubezpieczeniowe. Paskudne jest to, że kompletna indolencja Sony Pictures odbija się przede wszystkim na życiu setek szeregowych pracowników. Część z nich, jak na przykład Jason Spaltro, autentycznie zasługują na karę. To właśnie on w 2007 roku spytany przez magazyn CIO powiedział, że nie zainwestuje 10 milionów by uniknąć milionowej straty.

I will not invest $10 million to avoid a possible $1 million loss

Ten karykaturalny artykuł zatytułowany "Your Guide To Good-Enough Compliance" najwyraźniej minął się dosyć mocno z celem. "The Interview" kosztowało 44 miliony i wciąż nie wiadomo, czy ujrzy światło dzienne. Za taką niekompetencję powinno się płacić swoją karierą, bo miejsce Spaltro ewidentnie znajduje się nie w strukturach zarządzania, a przy frytkownicy. Tam, być może, zaszkodzi tylko sobie, a nie wszystkim dookoła.

Nie Sony Pictures ucierpiało

Bo problemem nie są maile o Angelinie Jolie czy haiku na temat czyichś kaprysów. Problemem jest prywatna korespondencja drobnych pracowników, którzy zwierzali się ze swoich życiowych problemów, pisali o wzlotach i upadkach, wstydliwych chorobach i nawykach. Łatwo jest powiedzieć: mogli tego nie pisać. Ale przenosimy w ten sposób jedynie odpowiedzialność z rąk IT Sony na ręce IT, dajmy na to, Google. Bo wszyscy wysyłaliśmy takie emaile.

W tym wszystkim to większość nieuprzywilejowanych pracowników Sony Pictures cierpi najbardziej. Dyrektorzy mają opcje, które mogą uratować ich własne skóry. Hakerzy domagają się zdjęcia "The Interview" z kin, w przeciwnym wypadku obnażą przywary prezesa? Prezes zdejmie film z kin. Hakerzy opublikują historię łapania chorób wenerycznych przez pracowników jednego z działów? Nikt palcem nie kiwnie.

To naruszenie zaufania pracowników ma też namacalne i znacznie bardziej mierzalne konsekwencje, niż poniżenie w oczach współpracowników i znajomych, którzy wiedzą jak pobrać archiwa za pomocą BitTorrenta. Wśród opublikowanych informacji znalazły się numery opieki społecznej ponad 40tys pracowników i podwykonawców współpracujących z Sony Pictures. Czytelnik w Polsce może nie rozumieć znaczenia tego faktu, więc wyjaśnię o co chodzi.

Nie Sony Pictures zapłaci

Wyobraźmy sobie, że PESEL jest tajnym identyfikatorem każdego z nas. Mamy go strzec, bo jednoznacznie określa, że Ja to Ja, a Ty to Ty. PESEL jest ważniejszy od dowodu osobistego i prawa jazdy (które nie są obowiązkowe) i tylko na chwilę, czasem rozstajemy się z nim w celu weryfikacji, że jesteśmy sobą, kiedy podpisujemy umowę z pracodawcą, albo kiedy bierzemy kredyt. PESEL to człowiek.

Chyba wszyscy słyszeliśmy historie o telefonach i kredytach "na słupa". Ostatnio nawet wyszło na jaw, tak własny SKOK okradał Wołomiński prezes. Dla niezorientowanych: bierzemy bezdomnego, myjemy i ubieramy go i za niewielką opłatą przekonujemy, żeby wziął na siebie duży kredyt. W Stanach, jeśli się ładnie uśmiechnąć, można wziąć kredyt na cudzy numer opieki społecznej - SSN. Nie trzeba żadnego kartoniku ze zdjęciem, tylko numer napisany na serwetce. Przytrafiło się to kumplowi z zespołu i - niestety - nie jest to szczególnie rzadki przypadek.

Tymczasem dzięki niekompetencji IT Sony, wiele numerów SSN trafiło w ręce każdego potencjalnego zainteresowanego. Na szczęście można uzyskać nowy SSN - nie jest to szybki, ani bezbolesny proces, ale jest to możliwe (choć dzieje się na koszt podatnika). Niestety Sony zwlekało około tygodnia z poinformowaniem pracowników o tym, że ich tożsamość została skradziona. Jeśli były tego konkretne finansowe konsekwencje, to nie dowiemy się o tym, bo medialne są informacje o tym kogo obraziła Amy Pascal i co o Korei myśli Clooney. Pani Halinka z księgowości nie ma wystarczająco donośnego głosu, byśmy ją w Internecie usłyszeli.

Ci, którzy generują dochody

W organizacjach, zarówno państwowych jak i prywatnych, istnieje tendencja do inwestowania w działy, które w czytelny sposób generują dochody (np. dział sprzedaży). Inwestuje się także w stanowiska, które w powszechnym mniemaniu osób podejmujących decyzje generują wartość. Który prezes nie uważa, że gdyby nie on, to firma stałaby w miejscu? Który executive director of information security at Sony Pictures Entertainment nie uważa, że jest wart płaconych mu pieniędzy?

Istnieją też stanowiska stanowiące "utrzymanie ruchu". Problem polega na tym, że nie da się wprost wycenić pracy ludzi z IT. To znaczy: można policzyć ile kosztowały serwery, oprogramowanie do monitorowania ruchu w sieci, czy pracownicy. Ale jaką wartość wniosło to wszystko do organizacji? Zbyt często złudzenie jest takie, że niewystarczająco dużą, by warto było się przejmować ich pracą.

Konsekwencje ponoszą takie ślepe biznesy - wszyscy to widzimy i komentujemy. Ale efekty takiego zakłamywania rzeczywistości przenoszone są także na pracowników tego typu organizacji. A szeregowi pracownicy nie muszą rozumieć, że pracodawca gra w rosyjska ruletkę z bezpieczeństwem. Z zupełnie innych powodów ich zatrudniono - w przypadku Sony mogli się znać na dowolnej z setek funkcji niezbędnych przy produkcji i dystrybucji filmów, nie na ocenie zagrożenia atakiem hakerów.

Pracodawca ma moralny i powinien mieć prawny obowiązek traktować konsekwencje takich potencjalnych wycieków poważnie. Ma też obowiązek wziąć na własne barki koszt dochodzenia i nie przenosić swojego braku kompetencji na podatnika zaprzęgając do pracy FBI czy ABW. Patrzenie na metkę filmu - 44 miliony utopione w celu zaoszczędzenia kilku(nastu) milionów na zabezpieczeniach - nie oddaje pełnego obrazu sytuacji.

Przeniesienie części kosztów z działalności na podmioty trzecie bez odpowiedniej rekompensaty, to właśnie efekty zewnętrzne. Okazuje się, że przymykanie na nie oczu zanieczyszcza nie tylko naszą wodę i powietrze, ale i portfele oraz relacje z innymi ludźmi. Warto o tym pamiętać, kiedy nastąpi kolejny taki atak. 

internet bezpieczeństwo

Komentarze

0 nowych
wacek   16 #1 23.12.2014 14:32

A mi się wydaję, że Sony znowu zrobiło rachunek zysków i strat i wyszło im, że lepiej stracić i nie publikować filmu (podobno i tak to kino klasy B).
"Hakerzy" podobno obiecali nie publikować zdobytych informacji jeżeli w/w film się nie ukaże (pytanie czy to prawda i czy dotrzymają obietnicy:))

Autor edytował komentarz.
Ryan   15 #2 23.12.2014 14:35

Autorzy ataku pogrywają sobie w kotka i myszkę zarówno z Sony Pictures, jak i z FBI. Oddanie swojej decyzyjności w ręce napastników, to słaby pomysł, szczególnie jeśli (tak jak podejrzewam) główny motyw nie jest finansowy, a całkowicie egoistyczny: ludzie podejmujący decyzje w Sony Pictures nie chcą ryzykować własnymi karierami. Pieniędzmi firmy - czemu nie?

No i widziałem kilka recenzji filmu: mesjasz to to nie jest, ale ponoć w miarę zjadliwa komedia. Z pewnością nie jest to syf jak większość filmów Adama Sandlera. ;)

wacek   16 #3 23.12.2014 14:41

@Ryan:
"Z pewnością nie jest to syf jak większość filmów Adama Sandlera. ;)"
No już nie przesadzaj (ja na "Klik: I robisz, co chcesz" się wzruszyłem :))

Ryan   15 #4 23.12.2014 15:14

@wacek: Jeśli masz tak niskie wymagania, to "The Interview" pewnie by Ci się bardzo podobał. :P

corrtez   11 #5 23.12.2014 15:37

Wychodzi teraz oszczedzanie w nie tych miejscach co trzeba...

xomo_pl   20 #6 23.12.2014 16:21

podobno sony zamierza ten film i tak udostępnić w swojej VOD :D

nie zgadzam się całkowicie z tezą, że prywatne firmy powinny sobie radzić bez pomocy FBI...

po coś powołano te urzędy i skoro doszło do przestępstwa to mają się nim zająć i to robią

Autor edytował komentarz.
kilgour   8 #7 23.12.2014 16:55

@Ryan:
Dobry tekst, ale trafiło Ci się niezręczne sformułowanie:
"Paskudne jest to, że kompletna indolencja Sony Pictures odbija się przede wszystkim na życiu setek szeregowych pracowników. Część z nich, jak na przykład Jason Spaltro, autentycznie zasługują na karę."
z którego wynika, że:
- Jason Spaltro jest szeregowym pracownikiem;
- część szeregowych pracowników zasługuje na karę.
Wiem, że pisząc widzi własną myśl, nie wyklawiaturzony tekst :-)
Wesołych Świąt!

marrrysin   6 #8 23.12.2014 17:30

@wacek Szkoda, że się przy słowniku kiedyś nie wzruszyłeś... Z overem byście się świetnie dogadali.

hivonzooo   3 #9 23.12.2014 18:39

"Wyobraźmy sobie, że PESEL jest tajnym identyfikatorem każdego z nas. Mamy go strzec, bo jednoznacznie określa, że Ja to Ja, a Ty to Ty. PESEL jest ważniejszy od dowodu osobistego i prawa jazdy (które nie są obowiązkowe) i tylko na chwilę, czasem rozstajemy się z nim w celu weryfikacji, że jesteśmy sobą, kiedy podpisujemy umowę z pracodawcą, albo kiedy bierzemy kredyt. PESEL to człowiek."

Numer PESEL sam w sobie nie oznacza nic. Jest to ciąg liczb który nie mówi kompletnie nic o danej osobie, jest pustą informacją, z samym numerem PESEL również nic nie zdziałasz. Nabiera on znaczenie tylko i wyłącznie, gdy z numerem PESEL ktoś posiada inne dane osobowe, jak imię i nazwisko bądź adres.

Autor edytował komentarz.
ichito   11 #10 23.12.2014 19:23

Interesujące ujęcie tematu...fajnie to było czytać...dodać na pewno jednak trzeba jedną istotną rzecz, o którą tylko zahaczono...to strach...taki porażający ludzki strach tych wszystkich, których dane zostały wykradzione. Tu już nawet nie chodzi o kredyty, finansowe przekręty, ale dane adresowe tysięcy ludzi, instytucji i realne obawy o zamach na własność lub nawet życie. Nie mam zamiaru oceniać politycznych konsekwencji posunięć władz USA, ale kra ten jest na celowniku nie tylko hakerów, ale zamachowców różnej proweniencji, a skutki takich zamachów ludzie tam doświadczają niema l każdego dnia. Oni po prostu boją się o swoje życie i życie bliskich.
Niedawno G. Clooney wystosował apel do znanych osób, aktorów w celu stworzenia frontu obrony filmu i Sony...nikt nie podpisał tego apelu, a skierowany był do osób naprawdę wpływowych. To nie był żartobliwy list i żartobliwa reakcja...wszyscy jednogłośnie stwierdzili, że po tym ataku cyberterroryzm wszedł na wyższy poziom oddziaływania na świat.

januszek   18 #11 23.12.2014 19:26

Myślę sobie, że nie ma przedsiębiorstwa, które byłoby w stanie obronić się przed atakiem wojskowym przeprowadzonym przez taką organizację jaką są Państwa. Skąd my w ogóle mamy informacje o tym co tam się stało? W zasadzie: z mediów. Dla mnie to wszystko jest bardzo dziwne.

Autor edytował komentarz.
  #12 23.12.2014 19:42

@hivonzooo:
Nie prawda, PESEL zawiera w sobie DATĘ URODZENIA.

  #13 23.12.2014 19:44

@hivonzooo:
PS: i płeć.

DjLeo MODERATOR BLOGA  17 #14 23.12.2014 21:30

Wrzuciłem to na główną portalu bo tekst aktualny i sensowny. Także Ryan pisz w wolnej chwili więcej..

SebaZ   15 #15 23.12.2014 22:03

@wacek: Wieści powielane prze Lekko Stronniczych w jednym z ostatnich odcinków. Teoria spiskowa jak każda inna i póki oficjalnie Sony nie powie jak było to nie będzie wiadomo, a oni sami się nie przyznają i jest to pożywka dla opowiadaczy historii, czasami niestworzonych :P

Ryan   15 #16 23.12.2014 23:24

@xomo_pl: Nie podoba mi się stopień zaangażowania FBI oraz pierwotna przyczyna obecnego stanu rzeczy: gdyby Sony nie oszczędzało na bezpieczeństwie, zniszczenia byłyby znacznie mniejsze i FBI miałoby mniej do roboty. Nie rozumiem, dlaczego to FBI informuje o postępowaniu, a nie opłacony przez Sony Pictures audytor bezpieczeństwa, firma Mandiant. Z mojego punktu widzenia wygląda to jak zrzucanie kosztów na podatnika. Stąd tekst o efektach zewnętrznych. ;)

Ryan   15 #17 23.12.2014 23:26

@kilgour: Biłem się z myślami pisząc to. Bo Spaltro jest pracownikiem i zapewne brudy na jego temat wyciekną. Ciężko jednoznacznie stwierdzić, czy jest pracownikiem szeregowym. Wątpię, by miał obecnie cokolwiek do powiedzenia w sprawie dalszych działań Sony, więc de facto jest ofiarą własnej niekompetencji. Ale to mi akurat nie przeszkadza: spartaczył, powinien płacić.

Ryan   15 #18 23.12.2014 23:27

@hivonzooo: A gdzie z mojego tekstu wynikało, że jest inaczej? :) Opisałem teoretyczny scenariusz, który mógłby zaistnieć, gdyby PESEL miał takie znaczenie, jakie ma SSN. Do tego celu musiałby w pierwszej kolejności być unikatowy, a nie jest. ;] Ale to już zupełnie inna kwestia.

Ryan   15 #19 23.12.2014 23:30

@ichito: Byłbym bardzo wstrzemięźliwy w łączeniu włamania do Sony Pictures z obrazem USA w świecie. Interesy Stanów Zjednoczonych w żaden sposób nie ucierpiały w wyniku tego włamania, nawet pomimo ujawnionych quasi-propagandowych relacji Sony Pictures z amerykańskim rządem. Do odezwy Clooneya nawet zlinkowałem w tekście. Akurat Clooney jest, IMO, lekkim paranoikiem. Ale takim zdrowym w obliczu tego, co się od kilku(nastu) lat dzieje w sieci. ;)

Ryan   15 #20 23.12.2014 23:35

@januszek: Myślę, że sytuacja jest dużo bardziej skomplikowana. W bardzo ogólnym ujęciu zagrożenia można oceniać w dwóch skalach: umiejętności i konsekwencji (celowości). Napastnik o niskich kompetencjach nie powinien być w stanie spenetrować sieci korporacyjnej i już - bez względu na upór. To jest do zrobienia. Trudniejsza jest walka z atakującym z odpowiednimi umiejętnościami i zapleczem. Jeśli nie jesteś konkretnym celem, tylko jednym z wielu, to przy rozmiarze Sony Pictures absolutnie powinieneś być w stanie się obronić. Nie dlatego, że jesteś super duper, a dlatego, że inne cele są łatwiejsze. Wymierzony konkretnie w Sony Pictures i tylko Sony Pictures atak powinien być atakiem trudnym. Ale nic nie wskazuje na to, że Sony w ogóle próbowało swoimi praktykami ograniczać szkody tego typu ataków. Gdybym tam pracował, uznałbym taką postawę za niewybaczalną.

Ryan   15 #21 23.12.2014 23:35

@DjLeo: Drugi tekst czeka na dopieszczenie. ;) Dzięki! :)

DjLeo MODERATOR BLOGA  17 #22 23.12.2014 23:52

@Ryan: Proszę bardzo... w takim razie czekam na drugą część ;)

  #23 24.12.2014 08:04

To ja dodam jeszcze coś. Kto odpowiada za wyciek danych klientów? Staramy się trzymać adresy, nazwiska i inne dane bezpiecznie, a potem słyszymy, że ktoś wykradł dane z serwera. Jeśli wpadka jest poważna to firma dostanie karę, która pójdzie do budżetu państwa, a szara osoba nic z tego nie ma.

  #24 24.12.2014 08:53

@hivonzooo: PESEL pustą informacją? A data urodzenia podana wprost? To te pierwsze sześć cyfr numeru. Również ostatnia cyfra określa płeć osoby w starym dobrym tego słowa znaczeniu czyli męską lub żeńską. Reszta cyfr to kolejny numer urodzenia w danym dniu (a raczej zarejestrowania). I co ty na taką pustą informację?

polf   3 #25 24.12.2014 09:06

No coż. Odwieczny problem: pieniądze. Zwykli pracownicy nie mają jak się bronic. W takiej sytuacji są na przegranej pozycji. Ale SONY nie tylko traci zaufanie własnych pracowników. Klienci którzy kupują np. gry mają przecież w archiwach sony numery kart kredytowych. Pytanie zatem czy hakerzy nie mogą wejśc w posiadanie tych danych? Zdaje sę że mogą... A więc czy warto kupowac w sklepach SONY gry np. na PlayStation? Można stracic zatem o wiele więcej niż zyskac. Stracic pieniądze zyskac parę godzin zabawy. Ostateczny rachunek moze pogrążyc SONY. Byłbym bardzo ostrożny w powierzaniu tej firmie tak wrażliwych danych...

  #26 24.12.2014 09:25

Ble, ble, ble Kolejna publikacja zaliczona do doktoratu czy jak tam to teraz sobie bezpieczeństwo nazywa. Bez odwołania się do rzeczywistych faktów i stosowanych zabezpieczeń w Sony. Takie sobie gdybanie o win95 czy ME i nielubianym Kasperskym. Nasz ogonek najważniejszy bez względu na koszty będzie kręcił biznesem.
Autor naoglądał się zbyt dużo amerykańskich filmów i seriali klasy B.

A ci wstrętni księgowi już nie tylko niszczą najwspanialsze projekty samochodów, lustrzanek czy zegarków. Teraz niszczą bezpieczeństwo wszystkich - nawet pani Hani z księgowości i tego zasyfionego playboja ze sprzedaży, co to przeleci wszystko, nawet to uciekające na drzewo. ;)
To tak, jakby ważniejsze dla krajów informacje nie wyciekały o najnowszych samolotach bojowych, danych wywiadowczych (Snowden) z organizacji paranoidalnie dbających o bezpieczeństwo czy innych numerów z kartami kredytowymi.
W każdej organizacji szacowanie ryzyka i efektywności nakładów inwestycyjnych jest podstawą sukcesu. Przyjazność środowiska pracy motywuje pracowników i podnosi ich efektywność pracy. A błędy i wpadki są tylko kolejnym kamieniem milowym w procesie szacowania ryzyka i korzyści.
Liczba agentów STASI nie uchroniła NRD od klęski, a żyło się tam przecież "WSPANIAAAALE". panie autorze.

  #27 24.12.2014 10:22

@wacek: ukaZać-ukaŻe, ukaRać-ukaRZę

kilgour   8 #28 24.12.2014 10:44

Jak być paranoikiem, to konsekwentnie! Nie zauważyłem by ktoś zwrócił uwagę, do czego casus Sony można użyć, a można choćby dla przykładu wypowiedzieć totalną wojnę torrentom, tym razem pod sztandarem obrony pokrzywdzonych. Czy nie ładniej to wygląda od działania "w imieniu kasy"?

Prawdę być może pozna za pół miliona lat profesor Orangutanus Hiperintelectus prowadzący wykopaliska w gruzach naszej cywilizacji :-)

xomo_pl   20 #29 24.12.2014 10:50

@Ryan: ależ te służby od tego są. Podejrzewam, że nawet gdyby sony chciało to zrobić samemu to przez to, że wykradziono dane obywateli USA to raczej nie mieli jak im odmówić....

  #30 24.12.2014 10:59

Prezes Sony Pictures, reżyser tego filmu i odtwórcy głównych ról to Żydzi. Wystarczy sprawdzić angielskojęzyczną Wiki. Dziękuję, dobranoc

Ryan   15 #31 24.12.2014 11:55

@SER$ (niezalogowany): Być może przegapiłeś, ale w tekście jest przynajmniej kilka odwołań do "rzeczywistych faktów". Przykładowo pracownicy nie zostali poinformowani odpowiednio wcześnie o wycieku ich danych osobowych. To fakt i zaniedbanie ze strony Sony Pictures, które - twierdzę - wynika właśnie z ignorowania w szacowaniu kosztów efektów zewnętrznych. Nie pisałem nic o księgowych, nie pisałem nic na temat tego, czy/że ważniejsze rzeczy wyciekały. Mam wrażenie, że przeczytałeś nieuważnie, albo nie chciało Ci się czytać. Obie opcje są spoko, przecież musu nie ma. :) Dzięki w każdym razie za komentarz.

Ryan   15 #32 24.12.2014 12:03

@xomo_pl: Ponownie: nie chodzi o samo zaangażowanie, a o stopień zaangażowania. :) Konsekwencje tego włamania są znacznie rozleglejsze, niż mogłyby być. Gdyby Sony nie oszczędzało, FBi miałoby mniej pracy. To właśnie efekt zewnętrzny w tym wypadku (oszczędność Sony, koszt podatnika).

Podlinkowany artykuł o wystarczająco dobrym bezpieczeństwie moim zdaniem unaocznia jak w rzeczywistości takie bezpieczeństwo wygląda: spełniasz normy, byle je spełnić. To takie wdrażanie absolutnego minimum, żeby być "compliant".

Przypuszczam, że Spaltro doskonale wiedział, że to taka wydmuszka bezpieczeństwa, a nie prawdziwe działania mające na celu ochronę interesów firmy i pracowników. To przykre i doskonale wpasowuje się w tezę tego tekstu. Jeśli natomiast nie zdawał sobie sprawy z tego, że odhacza listę ToDo, a nie faktycznie chroni interesy firmy, to nie powinien piastować stanowiska, które piastuje (piastował?). ;]

Ryan   15 #33 24.12.2014 12:05

@joshek (niezalogowany): Nawet jeśli, to co w związku z tym? :)

xomo_pl   20 #34 24.12.2014 12:29

@Ryan: " Ponownie: nie chodzi o samo zaangażowanie, a o stopień zaangażowania. :) Konsekwencje tego włamania są znacznie rozleglejsze, niż mogłyby być. Gdyby Sony nie oszczędzało, FBi miałoby mniej pracy."

ale to czemu winisz sony za to, że FBI zależy na tym by coś zrobić porządnie a nie prowadzić śledztwa w polskim stylu: byle było, byle media się odczepiły, że nic nie robimy.

Inna sprawa, że nie ma zabezpieczeń nie do złamania ;)

  #36 24.12.2014 13:36

@Ryan: Przeczytałem cały. Nie pisałeś bezpośrednio o księgowych, ale krytykowana postawa Jasona Spaltro to właśnie myślenie księgowego i według mnie jest ono właściwe. Wewnętrzna stopa zwrotu z inwestycji na poziomie 10% jest dyskwalifikująca w korporacji.
Jeśli wziąć pod uwagę sytuację finansową Sony i ponoszone przez ostatnie lata straty, to oszczędności na wydatkach IT są naturalne.
Ukradziony materiał jest już stracony. Dystrybucję filmu wycofano z kin po groźbach ataków terrorystycznych na kina. Nie wyklucza to dystrybucji kanałami sieciowymi, co przy obecnym szumie medialnym może się okazać sukcesem kasowym. Firma jest pewnie ubezpieczona na tego typu ryzyko, więc część strat pokryją ubezpieczyciele.
Straty wizerunkowe są duże, ale nie ma tego złego co by na dobre nie wyszło. Wystarczy wspomnieć zamieszanie medialne z Biedronką, gdy wszyscy wkoło dowiedzieli się, że dyskont jest najtańszy na rynku i to przełożyło się na obecny sukces rynkowy. ;) Powinni ozłocić skarżące byłe pracownice.
Na przyszłość w Sony będą staranniej dobierali repertuar i ten wrażliwy zlecali podwykonawcom.
Czym jest wyciek danych osobowych z Sony wobec chińskiej kopii Lightninga F 35?
Pisali ostatnio, że chińskie superkomputery stoją bezczynnie, bo nie ukradziono do nich oprogramowania do symulacji syntezy białek, symulacji pogody czy modelowania reakcji atomowych. Pewnie to tylko kwestia czasu.

Ryan   15 #37 24.12.2014 13:46

@xomo_pl: Winię Sony Pictures za to, że doprowadziło do sytuacji, w której FBI *musi* a nie jedynie chce prowadzić dochodzenie.

xomo_pl   20 #38 24.12.2014 13:48

@Ryan: ja myślę, że sony raczej nie chciało tego ataku i wykradzenia danych obywateli USA... na pewno nie jest im to na rękę

Ryan   15 #39 24.12.2014 15:05

@SER$ (niezalogowany): Nie mam nic przeciwko liczeniu pieniążków w korporacji. Od tego jest. Krytykuję ludzi, którzy *źle* te pieniądze liczą i działają na szkodę firmy, pracowników i podatników. Bo to w miarę oczywiste, że wycenienie bezpieczeństwa jest szalenie trudne. Ale to, co obserwujemy, pokazuje IMO jak bardzo błędne były wyliczenia w tym wypadku. Głównie przez to, że zignorowano efekty zewnętrzne.
Bo o ile w miarę intuicyjne jest to, że efektem zewnętrznym działania kopalni są tąpnięcia; fabryki zanieczyszczenie powietrza; frakingu zanieczyszczenie wody; tak efekty zewnętrzne w tym wypadku nie są tak oczywiste. Kopalnie, fabryki, itp. mają konkretne regulacje, które mówią jakie są konsekwencje zanieczyszczania. Nieadekwatne zabezpieczenia takich konsekwencji za sobą nie niosą. A, uważam, powinny.
Należy też pamiętać, że Sony Pictures to nie Sony. W sensie: są ze sobą związane, ale relacja finansowa między nimi nie jest szczególnie oczywista. Pracowałem w dużym korpo i wiem jak jeden pion może kanibalizować drugi, albo jak pion może być pozostawiony sam sobie, jeśli nie przynosi zysków. Sony Pictures jest bardzo dochodowe. Oszczędności w sektorze bezpieczeństwa są tym bardziej niewybaczalne.
Co do F35, to porównanie moim zdaniem chybione: Lockheed Martin nie ucierpi na tym a Stany wciąż znajda w budżecie miejsce na beznadziejne F35, nawet jeśli USAF ich nie potrzebuje. Nawet to, że budżet na szkolnictwo obcięto, by zapłacić za F35, nie ma przełożenia na efekty zewnętrzne, bo Kongres i tak budżet szkolnictwa by uciął.

Ryan   15 #40 24.12.2014 15:07

@xomo_pl: Jasne, ale bardziej nie chcieli płacić z góry za system, który przynajmniej pomógłby ograniczyć efekty ataku. A zaistniałe wydarzenia pokazują, że nie byli gotowi na atak. Jednym niepowodzeniem jest pozwolić komuś się włamać, zupełnie innym jest być przyłapanym ze spuszczonymi majtkami i nie wiedzieć co z tym fantem zrobić. ;)

xomo_pl   20 #41 24.12.2014 15:19

@Ryan: po co płacić za coś co może się okazać nieprzydatne bo kto i po co miałby atakować Sony Pictures zapewne myśleli sobie...

Oczywiście, że powinni się zabezpieczyć no ale teraz to już nic nie mogą...

Ryan   15 #42 24.12.2014 16:37

@xomo_pl: Mogą wyciągnąć wnioski. ;)

xomo_pl   20 #43 24.12.2014 20:39

@Ryan: atak na PSN w 2011 specjalnie ich niczego nie nauczył więc nie wydaje mi się ;)

Ryan   15 #44 24.12.2014 21:48

@xomo_pl: To niemalże dwie różne firmy. SCE ma centralę w Tokio, Sony Pictures w Culver City w Kalifornii. Współpraca między różnymi działami Sony (czy dowolnej innej korporacji tego typu) rzadko kiedy odbywa się w sposób, jakiego można by oczekiwać, patrząc na wspólny człon w nazwie. ;)

xomo_pl   20 #45 25.12.2014 11:51

@Ryan: oczywiście, że są to niemal różne firmy działające pod wspólną nazwą rynkową 'Sony' z tym, że jakaś forma zależności poszczególnych działów od głównego CEO występuje no i przecież powinni wyciągać wnioski z tego co się przytrafia w innym dziale ;)

Ryan   15 #46 25.12.2014 13:14

@xomo_pl: Znaczenie CEO jest przereklamowane. ;] Każdy pion musi niezależnie się sparzyć, żeby coś się zmieniło.

Dimatheus   21 #47 10.01.2015 22:32

Hej,

Mocne, prawdziwe i porażające. Niestety w wielu firmach tak jest, że liczą się działy, których generację złotówek czy dolarów można policzyć wprost. Reszta to "zło konieczne". Ale czy tędy droga? Bardzo często takie traktowanie odbija się porządną czkawką.

Pozdrawiam,
Dimatheus