A Sony-ügy tanulságai

A Sonytól hekkelés útján ellopott és közzétett belső levelezések részletei nagy port kavartak. A történetben nemcsak az tanulságos, hogy egy minden bizonnyal állami megbízásból – Észak-Korea „sértődött meg” a Sony The Interview című filmje miatt – dolgozó hekker hogyan tud ilyen sikeresen behatolni a cég szerverére, hanem az is, hogy ártatlannak tűnő levelek válthatnak ki jelentős érdeklődést.

Sokan teszik fel a kérdést, hogyan lehetséges, hogy egy olyan, jórészt digitális információból, szoftverekből, filmekből élő cég, mint a Sony Pictures Entertainment ennyire egyszerűen megtámadható. Erre a kérdésre két lehetséges válasz is adódik: egyfelől nem tudjuk, hogy a cég rendszerének feltörése mennyire ment könnyen, ezt csak az tudja, aki elkövette a támadást. Akár az is lehet, hogy huzamosabb ideje dolgozik rajta. Ezt a feltevést erősíti, hogy Észak-Korea már ősszel megfenyegette a társaságot, hogy a The Interview című filmmel álljanak le, mert nem tűrik, hogy kifigurázzák Kim Dzsung Un diktátort. A másik lehetséges magyarázat az, hogy éppen tevékenységi körénél fogva a Sony rengeteg külső kapcsolattal rendelkezik, ami elméletben megkönnyíti a behatoló dolgát, és már nem a rendszerek biztonsága, hanem a védelem szabályozottsága kulcskérdés.

Csakhogy a Sony éppen az a cég, amely már eddig is sokat tanulhatott volna a hekkerekkel folytatott küzdelemből. Emlékezetes, hogy a vállalat 2011-ben magával az Anonymusszal került szembe, mert beperelt egy fiatal hekkert, aki feltörte a PlayStationt, és lehetővé tette, hogy a cég által nem támogatott játékok is fussanak rajta. Erre válaszul a hekkercsoport hetekre blokkolta a PlayStation hálózatát, és ellopta több mint 100 millió felhasználó személyes adatait. Ehhez képest a mostani hekkertámadás során az derült ki, hogy a személyes adattárolás azóta sem vált a Sony erősségévé, mert titkosítás nélkül tárolta az alkalmazottak fizetési adatait és tb-azonosítóját, és egy „Jelszó” nevű fájlban tartotta a jelszavakat, ami, ha igaz, akkor a legnagyobb szakmai hiba.

Az okozott kár nehezen számszerűsíthető. A nagy port kavart filmet a Sony végül az interneten keresztül mutatta be 15 millió dolláros letöltési bevételt érve el, és a független mozikból is befolyt további 2-3 millió dollár. A film tehát – talán éppen a nagy felhajtás miatt – sikeres, de a Sony brandjét ért kár így is óriási, és tovább nő, ahogy a cég nyilvánosságra került belső levelezését szép lassan szétcincálja a média. És ez átvezet bennünket az esettel kapcsolatos másik tanulsághoz, ahhoz, hogy mi minden használható fel ellenünk, amiről soha nem is gondoltuk volna.

Személy szerint úgy vélem, hogy a nagy filmgyártó vezetőjének munkaköri kötelessége, hogy értékelje a színészek teljesítményének ár/érték arányát, mégis okkal kelt visszatetszést, amikor egy konkrét színésznővel kapcsolatban adott negatív értékelése napvilágot lát; különösen akkor, ha ezt keresetlen szavakkal fogalmazza meg egy baráti levelezésben.

Egy ilyen levél nyilvánosságra kerülése nemcsak a színésznő híveinek körében rontja a stúdió reputációját, hanem annál szélesebb körben is, mert – remélhetőleg – még nem vagyunk hozzászokva ahhoz, hogy embereket ilyen markáns módon, üzleti alapon értékeljenek.

A helyzet az, hogy levelezésünk szinte biztosan tartalmaz olyan elemeket, amelyek félreérthetők, vagy negatívan értelmezhetők, esetleg manipulálhatók. Ez ellen nem lehet folyamatos önkontrollal védekezni, mégis szinte minden cégnél meg tudnak nevezni a munkatársak olyan vezetőt, aki különösen nyersen fogalmaz, kétértelmű utalásokat tesz, szerencsétlen vicceket mesél, vagy oszt meg a munkatársakkal. Az ő elektronikus ténykedésükkel kapcsolatban nem a félrenézés a megfelelő eljárás, mert ami elektronikusan megszületik, az soha nem tűnik el, és soha nincs száz százalékos biztonságban.