忘掉八卦，这些是索尼黑客事件的教训 - 彭博社

摄影师：图库库存在考虑 索尼影业 的大黑客事件时，尽量不要关注制片人斯科特·鲁丁对安吉丽娜·朱莉的蔑视或制片厂负责人艾米·帕斯卡尔对奥巴马总统想象中的电影品味的种族歧视玩笑。相反，关注乔治·克鲁尼的预见性，他在2014年9月5日给帕斯卡尔发的邮件主题中写道：“知道这封电子邮件正在被黑客攻击。”果然，确实如此。

克鲁尼用咸涩的语言讨论他计划执导一部关于2011年鲁珀特·默多克-世界新闻电话黑客丑闻的电影时，提到了数字安全的状态。他对这个问题的意识让人想起IT部门的绞刑架幽默：有两种类型的公司：那些已经被黑客攻击的和那些还不知道自己被黑客攻击的。

仅在过去一年中，受害者名单包括零售商 塔吉特 和 家得宝、大型医院运营商 社区健康系统，以及 摩根大通，这是全国最大的银行。在政府方面，自十月以来，白宫、国务院、邮政局和国家海洋和大气管理局都遭到攻击。追溯到2013年，一名名叫爱德华·斯诺登的年轻瘦弱男子在通常注重安全的国家安全局造成了严重损害。

索尼的丑闻是否会给美国提供重新思考计算机安全的警钟？唉，好莱坞的幸灾乐祸——哦，你看到他们是如何嘲笑亚当·桑德勒并且给詹妮弗·劳伦斯的片酬低于她的男性合演者吗？——可能会让人分心。索尼本身在悔恨和顽固之间摇摆不定。不过，在这场混乱中仍然可以找到一些持久的意义。

“你在索尼和其他大大小小的公司看到的弱点，不能通过安装一个防火墙或一些新的杀毒软件来修复”

到11月底，自称为和平守护者的罪犯侵入了索尼公司位于加利福尼亚州卡尔弗城的电影部门的服务器。入侵者要求索尼取消圣诞节上映的*《采访》，这是一部由塞斯·罗根和詹姆斯·弗兰科主演的喜剧，讲述了被中央情报局派遣去刺杀朝鲜独裁者金正恩的八卦电视搞笑角色。肇事者还在网站Pastebin.com上警告观众“保持距离”《采访》*。“记住9月11日。”12月17日，索尼将该电影从影院撤回。

平壤对这次网络攻击表示赞赏，同时否认参与。调查人员发现此次黑客攻击中使用的韩语恶意软件与去年朝鲜对韩国银行和广播公司的数字攻击之间存在软件相似性。《纽约时报》和NBC新闻报道，美国官员表示，朝鲜是此次黑客攻击的幕后黑手。

和平守护者泄露了大量包含电影明星电子邮件、仍然保密的交易、工资信息、已发布和未发布的电影、员工医疗记录、社会安全号码，甚至演员在酒店登记时使用的别名的数据。

这些教训远远超出了汤姆·汉克斯的别名“约翰尼·马德里”，他显然已经退休。尽管有大量红色警告信号，一些公司，包括索尼，似乎在主动寻求数字滥用。多年来，黑客们不断干扰索尼的热门PlayStation游戏网络，一个自称为蜥蜴小队的俄罗斯组织最近在12月初对此表示负责。

“这表明IT人员告诉董事会和高层管理人员，他们已经控制了问题，大家又回到了正常的业务中，”加利福尼亚州丹维尔的第三溪顾问公司企业顾问亚当·埃普斯坦说。“你在索尼和其他大大小小的公司看到的弱点，无法通过安装一个防火墙或一些新的杀毒软件来修复。好人还没来得及反应，坏人已经开始行动了。”

联邦调查局网络部门助理主任约瑟夫·德马雷斯在12月10日对参议院银行委员会表示，用于攻击索尼影业的恶意软件“今天在私营行业中能够突破90%的网络防御”。然而，一旦入侵者进入，索尼特别脆弱。网站Fusion报道，这些名人的别名和其他个人数据存储在一个名为“宣传圣经”的文件夹中。计算机密码被汇总在一个诱人称为“密码”的文档中，等等。（彭博新闻报道，在2013年底，身份不明的黑客也入侵了公司的网络，定期获取信息并掩盖他们的踪迹。）

假设敌对的外部人员会越过护城河并渗透城墙，公司必须更好地隐藏其核心资产。这需要一些技术。当斯诺登揭露NSA可能在监视搜索引擎数据流时，谷歌和雅虎!增加了加密层，以保护内部流量不被窥探。同样重要的是那些不需要计算机科学博士学位的策略。

索尼最有价值的资产——与演员、导演和投资者的合同；未发布的电影和剧本等知识产权——应该与连接到互联网的中央数据存储系统隔离开来，这样就更难被找到，埃普斯坦说。这基本上需要非技术性的决策，投资人力和资金将城堡转变为更复杂的迷宫。

索尼高管似乎在抵制严酷的现实。帕斯卡尔对她的失误表示了多次歉意，但她仍然对责任表现出某种迟钝。“我认为没有人认为这是在这里工作的人造成的错误，我认为现在重要的是持续性、支持和向前发展，”她在12月12日说。

现实几乎正好相反：在索尼内部有很多错误，责任应该在最高层分享，而所需的不是持续性，而是剧变。解雇IT人员，虽然可能是不可避免的，但仅仅是第一步，媒体分析师劳拉·马丁说。塔吉特的首席执行官格雷格·斯坦哈费尔在塔吉特发生严重数据泄露后于5月辞职。

目前，索尼似乎正忙于进行损害控制。科技网站Re/code和Ars Technica报道，索尼正在分发被盗文件的假版本，以试图挫败潜在消费者对黑客赃物的兴趣。索尼还聘请了著名律师大卫·博伊斯，向包括彭博新闻在内的新闻机构发送严厉的信件，要求销毁被黑客获取的材料。在12月14日的信中，博伊斯警告说，如果媒体公司未能遵守并继续发布“被盗信息”，索尼“将别无选择，只能让你对任何损害或损失负责。”

“索尼是否有法律依据？可能没有，至少对于媒体机构想要发布的大多数信息来说，”加州大学洛杉矶分校法学院的第一修正案学者尤金·沃洛克在他的博客上写道。

责任可能会朝多个方向发展。原告律师们已经高兴地提醒索尼，它必须面对自己的错误。12月16日，两名前员工起诉该公司，声称它没有充分保护他们的个人信息。纽约的媒体律师斯图尔特·卡尔指出了几个潜在的法律风险。就在去年夏天，索尼就与一起与PlayStation泄露相关的消费者隐私集体诉讼达成和解。在电影制片厂事件中，黑客获取了一些索尼员工的详细和可识别的健康信息：姓名、诊断、保险争议等。卡尔表示，索尼的人力资源部门没有更好地掩盖这些数据“似乎令人担忧。”

律师们正在组织针对索尼管理层的潜在股东集体诉讼，他们获得了一批关于各种机密商业决策的文件：高管们对公司财务状况的了解以及他们何时知道这些信息。通常，原告律师需要在审前发现程序中争斗多年才能获得和平守护者所揭露的信息。

公司将证券欺诈诉讼视为合法的敲诈。一些观察人士担心索尼的黑客事件可能是保护敲诈的前奏。在其博客上，F-Secure，一家芬兰咨询公司，推测索尼公开“处决”的目的可能是“警告其他可能已经被黑客攻击的公司，敲诈者并不是在虚张声势。”

从这场灾难中最简单的教训与电子邮件的使用规范有关。“除了那些八卦的内容，这些在长远来看并不重要，很多被黑客攻击的敏感信息都是在电子邮件中或附加在电子邮件上的，”现任投资公司North Base Media的总法律顾问卡尔说。他表示，从首席执行官到普通员工，都必须进行彻底的再教育，以限制电子邮件内容，确保其不会在互联网上传播后造成损害。

显然，索尼知道自己在不明智地囤积内部通讯。根据网站Gizmodo的报道，工作室的总法律顾问莉亚·韦尔在一条信息中表示：“虽然无疑会有需要保留和/或以电子方式存储在其他系统中的电子邮件，但许多可以被删除，我从我们的IT同事那里得知，我们目前几乎所有事情都使用电子邮件系统并不是最佳做法。”

对麻木所导致的意识迟钝的危险组合远远超出了索尼影业。在2012年10月的一次演讲中，当时的国防部长莱昂·帕内塔预测，必须经历一次“网络珍珠港事件”——电网崩溃、污染的市政供水、生命的损失——才能让美国人意识到计算机的脆弱性。美国还没有达到那个程度，但索尼正在将其推向更近的未来。