Cerca nel blog

2014/12/19

Sony Pictures violata, lezioni da portare a casa

Ci sono nuovi risvolti nell'attacco informatico alla Sony Pictures, già segnalato la settimana scorsa: la Associated Press ha pubblicato un'analisi impietosa, basata sui file della Sony Pictures trafugati e pubblicati in Rete dagli aggressori (che si fanno chiamare Guardians of Peace o GOP), e ha rivelato le pessime condizioni della sicurezza informatica della casa di produzione cinematografica che l'hanno resa un bersaglio facile.

Per esempio, il CEO di Sony Pictures, Michael Lynton, si faceva mandare via mail, senza cifratura, le password delle proprie caselle di mail, quelle per la gestione via Internet dei conti correnti e quelle per viaggi e acquisti. Nelle oltre 32.000 mail copiate e diffuse dagli aggressori c'erano queste password, insieme a immagini di passaporti, patenti di guida ed estratti di conto corrente. I piani strategici dell'azienda e le informazioni mediche di alcuni dipendenti erano archiviate senza cifrarle. Altri dirigenti avevano lamentato guasti ripetuti e significativi dei sistemi informatici a causa della carenza di spazio su disco, di software obsoleto e di scarso monitoraggio da parte di addetti informatici non competenti. In realtà questi erano, almeno in parte, gli effetti dell'intrusione in corso.

Le modalità esatte dell'attacco non sono ancora note, ma l'analisi della AP indica che gli aggressori hanno preso di mira i dirigenti per spingerli con l'inganno a rivelare le proprie password e che molti dipendenti utilizzavano password facili da indovinare. Si stima, inoltre, che l'intrusione abbia portato alla sottrazione di oltre 100 terabyte di dati: una quantità che implica che gli aggressori sono rimasti indisturbati nella rete informatica di Sony Pictures per settimane.

La responsabilità dell'attacco continua ad essere attribuita da varie fonti non ufficiali alla Corea del Nord o a simpatizzanti di questa nazione, ma le prove oggettive restano tenui per non dire inesistenti.

Di certo, però, la catastrofe informatica che ha colpito Sony Pictures è un'occasione per riflettere sull'eccessiva disinvoltura di moltissimi dipendenti e dirigenti in fatto di sicurezza informatica delle aziende. C'è poca consapevolezza della facilità con la quale computer e smartphone possono essere violati e usati come teste di ponte per sferrare attacchi informatici dall'interno delle reti aziendali e c'è una diffusa credenza che una mail aziendale sia un canale di comunicazione sicuro. Quello che è successo a Sony Pictures potrebbe succedere facilmente a tante altre aziende, colpevoli di non investire in sicurezza e di non educare i dipendenti a pensare in termini di rischio informatico. Sarebbe prudente per ogni azienda cogliere l'occasione per un riesame della propria sicurezza informatica.

Nessun commento: