如果要避免“被索尼”,至少要做: 1、从公司战略层面注重信息安全(有高层直接主管,而不是光让法务部门起诉忙); 2、注重与安全/黑客社区之间的互动(以最大的善意对待善意的漏洞发现者,当然,对“越界”的“盗窃者”也不必客气,把握好度); 3、技术上的建设,包括数据管理和安全保护、应急响应预案; 如果已经“被索尼”了,美国众议院商业,制造业及贸易小组委员会(U.S. House Commerce, Manufacturing and Trade Subcommittee)有关索尼数据泄漏的所有13个问题,对思考“下一步该怎么做”非常有参考价值,这13个问题如下: 1.你们什么时候意识到有未经许可/违规地访问的? 2.你们是如何确认这次泄漏事件的? 3.什么时候上报相关的组织机构的? 4.被盗的数据和所有用户有关还是一部分用户?多少用户受到这次事件影响?你们是如何确认受影响用户数目的? 5.你们为什么不及时通知用户这次泄漏事件? 6.你们确认了泄漏是如何发生的吗? 7.有确认这次事件的个人责任吗? 8.是什么个人数据被泄漏?你们如何确认的? 9.多少用户向Sony Network提供信用卡信息? 10.你们声称没有迹象证明信用卡信息泄露,但也不能排除可能性。请解释为什么你们认为信用卡数据没有泄露,和如何得出没有被盗的结论的? 11.采取和计划了什么样的步骤去防止将来此类事件发生? 12.现在有无数据安全和保留期限的企业政策和规定?如果没有,为什么?准备怎么修改相关政策和规定? 13.采取、计划了什么样的步骤去减小这次的损失?是否有计划提供信用监视和其他服务来保护事件涉及的用户? 笔者在网上搜索了一下,索尼在信息安全方面的“纪录”,网上能找到的还有: 1、2004年索尼中国网站被黑; 2、索尼采用ROOTKIT技术进行音乐版权保护掀起轩然大波; 3、索尼对PS游戏机破解者法律诉讼; 如果您的企业遇到类似的安全事件,如果您是首席安全官,您会怎么做?欢迎参与话题讨论:http://bbs.unnoo.com/forum.php?mod=viewthread&tid=59&fromuid=1 参考资料: Hotz的Wikipedia简介:http://en.wikipedia.org/wiki/George_Hotz Sony PlayStation Network网络服务被攻击:http://bbs.unnoo.com/forum.php?mod=viewthread&tid=24&fromuid=1 黑客大战索尼通俗演义:http://www.guokr.com/article/20493/ 索尼rootkit事件追踪:http://bbs.unnoo.com/forum.php?mod=viewthread&tid=25&fromuid=1 |
