索尼被Hack 下個受害可能就是你

深思索尼影業(Sony Pictures)被Hack事件時,盡量不要把注意力集中在製片人魯丁(Scott Rudin)對安祖蓮娜祖莉(Angelina Jolie)的不屑態度,或者董事長帕斯卡(Amy Pascal)以種族主義口吻,戲謔她所想像奧巴馬總統的電影品味那一幕。相反,重點應是關注佐治古尼(George Clooney)的先見之明,一語成讖。2014年9月5日,在一封寫給帕斯卡的電郵主旨,這位荷李活巨星鍵入這樣一句話:「要意識到這封電郵正在被駭客攻擊。」

佐治古尼以粗俗的語言表示,他有意執導一部以梅鐸(Rupert Murdoch)旗下《世界新聞報》(News of the World)2011年電話竊聽醜聞為主題的電影。談論這項計劃時,他提到數位領域的不安全狀態。他對這一問題的認識,不由得使人想起IT部門用來自嘲的黑色幽默:世界上有兩類企業,一種是已被駭客入侵的公司,一種是還不知道自己已經被Hack 的公司。

僅在過去一年中,受害者名單就包括零售商塔吉特(Target)和家得寶(Home Depot),醫院營運商社區衛生系統公司(Community Health Systems)和美國最大銀行摩根大通(JPMorgan Chase)。在政府方面,從2014年10月份以來,白宮、國務院、郵政管理局和國家海洋和大氣管理局(National Oceanic and Atmospheric Administration)相繼遭到駭客入侵。回溯到2013年,一位名叫斯諾登(Edward Snowden),身材修長的年輕人,讓通常具有較強防範意識的國家安全局深受其害。

索尼影業被駭客瓦解,是否足以警示美國企業徹底思考電腦安全問題?可悲的是,荷李活太容易成為人們幸災樂禍的對象。你有沒有看到他們是如何羞辱桑德勒(Adam Sandler)的,你知不知道他們支付給小珍妮佛(Jennifer Lawrence)的片酬遠低於與她合作的男影星?索尼自身正在悔改和頑抗之間來回擺動。儘管如此,依然可以在這場蓄意破壞事件中找尋到一些持久的意義。

廣告

2014年11月底,一夥自稱「和平衛士」(Guardians of Peace)的歹徒侵入加州卡爾弗城的索尼影業伺服器。入侵者要求索尼影業取消電影《刺殺金正恩》(The Interview)的聖誕節上映計劃。這部喜劇電影講述了由羅根(Seth Rogen)和弗蘭科(James Franco)飾演的電視脫口秀節目主持人,被美國中央情報局(CIA)派往朝鮮刺殺該國獨裁統治者金正恩的故事。肇事者還通過網站Pastebin.com警告電影觀眾「遠離」《刺殺金正恩》、「小心911事件重演」。索尼影業於12月17日發表聲明說,不會放映這部電影。

朝鮮為這次網絡攻擊行動叫好,同時否認參與此事。調查人員已經確定,駭客使用的韓語惡意軟件與朝鮮去年針對韓國銀行和電視台發動的數字攻擊,存在相似之處。《紐約時報》(The New York Times)和NBC新聞報道稱,美國官員表示,朝鮮是這次攻擊行動的幕後黑手。

「和平衛士」將數萬百萬位元組的資訊揭露在網絡上,包括電影明星的電子郵件、仍處於保密狀態的交易、片酬資訊、已上映和未上映的電影、員工醫療記錄、社保帳號,甚至還有演員入住酒店時使用的別名。

這次事件給予的教訓,遠不止湯漢斯(Tom Hanks)的別名「馬德里」(Johnny Madrid)被洩露這麼簡單,估計他已經不再使用這個名稱。儘管紅色報警信號不斷閃爍,一些公司,包括索尼在內,似乎依然向駭客們發出盛情邀請。幾年來,駭客不斷破壞索尼公司備受歡迎的PlayStation遊戲平台。有報道稱,就在去年12月初,一個名為蜥蜴隊(Lizard Squad)的俄羅斯駭客組織宣佈為PlayStation被Hack負責。

三溪諮詢公司(Third Creek Advisors,位於加州丹維爾)企業顧問愛波斯坦(Adam Epstein)分析,「你在索尼和其他大大小小公司看到的弱點是,無法因為多安裝一道防火牆或者某個新型防毒軟體所能解決的。所謂道高一尺,魔高一丈。」

去年12月10日出席參議院銀行委員會聽證會時,聯邦調查局(FBI)網絡防禦部副主任德馬雷斯特(Joseph Demarest)表示,用來對付索尼影業的惡意軟件「可以突破九成私營企業目前設置的網路防線。」一旦被駭客入侵,索尼影業就會變得尤為脆弱。網站Fusion報道,這些名人的別名和其他私人資料被存儲在一個題為「宣傳聖經」的資料夾之中。他們還為存放電腦密碼的檔案,取名「密碼」。彭博社報道,早在2013年年底,就有一些不明身份的駭客闖進該公司的網絡,定期獲取資訊,並遮掩他們足跡。

假設不懷好意的外人跨越護城河,穿透城牆,企業就必須更要遮掩奇珍異寶。這的確需要一些技術能力。當斯諾登透露國家安全局可能一直在窺探搜尋引擎的資料流程之後,Google和雅虎隨即添加多道加密層,以保護內部資料。但同樣重要的是一些不需要電腦科學博士學位也能實施的策略。

愛波斯坦指出,作為索尼影業最重要的資料,與演員、導演和投資人簽訂的合約,以及未發行電影和劇本等智慧財產權,應該與連接互聯網的中央資料存儲系統隔離,難以被找到。這就需要做出一些本質上非技術性的決定,比如投入人力和資金,將城堡改造為一座迷宮。

索尼影業高層正在抵抗殘酷的現實。儘管帕斯卡為她的失禮多次道歉,但對於罪責,她仍然呈現出一定的遲鈍。「我並不認為有人覺得這是某位索尼員工犯下的過錯,連續性、支持和向前發展才是目前最要緊的事情,」她在去年12月12日表示。

但現實情況恰好相反:索尼影業內部存在大量過失,高層難辭其咎,目前需要的不是連續性,而是巨大變革。尼達姆公司(Needham)媒體分析師馬丁(Laura Martin)分析,解僱IT人員也許在所難免,但這僅是第一步。在塔吉特百貨的資料遭到毀滅性破壞之後,該公司行政總裁(CEO)施泰因哈費爾(Gregg Steinhafel)引咎辭職。

目前,索尼影業似乎正在全力控制這起事件造成的損害。科技網站Re/code和Ars Technica報道,這家電影公司正在散佈被盜檔案的虛假版本,以挫敗駭客戰利品的潛在消費者。索尼影業還聘任著名律師博伊斯(David Boies)向多家新聞媒體(包括彭博社)呈送措辭嚴厲的信函,要求後者立刻銷毀被Hack的材料。在這封於去年12月14日發出的信件中,博伊斯警告,如果媒體公司無視這項要求,繼續發佈「被竊取的資訊」,索尼影業「將別無選擇,只能要求你對由此造成的任何損害或損失負責。」

「索尼影業的這種要求是否有法可依?或許沒有,至少就媒體將要發佈的大多數資訊而言,該公司無權這樣做,」加州大學洛杉磯分校(UCLA)法學院的憲法第一修正案學者沃洛克(Eugene Volokh)在其網誌(Blog)中寫道。

法律責任有可能涉及多個方向。律師已經提醒索尼影業正視它的錯誤。去年12月16日,兩位前員工向索尼影業提起訴訟,聲稱索尼沒有充份保護自己的個人資訊。路透社(Reuters News)前營運總監(COO),紐約媒體律師卡爾勒(Stuart Karle)確認了幾個潛在的法律風險。就在前年夏天,索尼剛剛了結一起與PlayStation被Hack有關,涉及消費者隱私的集體訴訟案。在這次入侵事件中,駭客攫取了一些索尼員工詳細且可識別的健康資訊:姓名、診斷、保險糾紛等。索尼人力資源部門沒有保護好這些資料,「這似乎令人擔憂,」卡爾勒說。

索尼影業股東即將向公司管理層發起集體訴訟。負責此案的律師已經收到了大批涉及各類機密商業決策的寶貴文檔:高層們對公司財務狀況了解多少,他們何時知道的。通常情況下,律師不得不經歷多年時間,才能爭取到這些已經被「和平衛士」公開的資訊。

各大公司將這類證券詐欺訴訟視為披著合法外衣的勒索行為。一些觀察家擔心,索尼被Hack有可能成為一波詐欺浪潮的前奏。芬蘭諮詢公司F-Secure在網誌推測,索尼影業被公開「行刑」的要害之處或許在於,「警告其他可能已經被Hack 的公司,勒索者並不是在虛張聲勢。」

這宗駭客入侵事件帶給我們諸多教訓,最簡單的一個與電子郵件衛生有關。「除了一些不重要的八卦資訊,很多被駭客攻擊的敏感資訊,也被存放在電子郵件或附件,」現擔任投資公司North Base Media總顧問的卡爾勒說。他指出,從行政總裁往下,每位員工都必須接受徹底的思想改造,務必要將電郵內容,限制在一旦被洩露在互聯網上,並不會造成重大損害的範疇內。

索尼影業顯然知道,存儲內部溝通資訊的方式是不明智的。網站Gizmodo報道,索尼影業首席法律顧問韋爾(Leah Weil)在一份報告中寫道,「毫無疑問,郵件需要以電子形式,保留或存儲在一個不同於電子郵件的系統中,許多郵件可以刪掉。IT部門的同事告訴我,目前使用郵件系統存儲幾乎所有資訊的做法,並非最佳方式。」

這種危險的冷漠態度,絕非索尼影業所獨有。2012年10月份,時任國防部長帕內塔(Leon Panetta)發表演講時預測,似乎只有爆發一場「網絡珍珠港事件」,電網崩潰導致市政供水中毒,重大人員傷亡,才能使美國人意識到電腦系統的脆弱性。美國還沒有迎來那一刻, 但索尼影業讓我們朝著那個方向又向前邁進了一大步。