Atacul cibernetic de amploare împotriva Sony, care a dus la publicarea a numeroase documente şi e-mail-uri care au pus compania şi unii manageri în situaţii penibile, arată cât de vulnerabile pot fi organizaţiile mari şi că publicarea corespondenţei private, a datelor proprietare sau a diferite documente interne poate avea un impact devastator, scrie expertul în securitate IT Bruce Schneier pentru arstehnica.com.
“Companiile nu trebuie să înveţe din acest atac doar că trebuie să-şi îmbunătăţească securitatea împotriva unor atacuri ci şi o altă lecţie la fel de importantă: că ar trebui să aibă o politică agresivă de ştergere a documentelor”, afirmă Schneier.
Digitalizarea a adus cu sine pierderea “efemerului”, ceea ce înseamnă că “lucruri care în trecut le-am fi spus unei persoane într-o discuţie faţă în faţă sau la telefon sunt trimise acum prin SMS, e-mail sau prin intermediul unor reţele de socializare. Rapoarte pe care altă dată le-am fi citit şi apoi le-am fi aruncat rămân acum în arhivele noastre digitale”. Acest comportament este stimulat şi de aplicaţiile de tip “big data” al căror scop este să extragă informaţii din cantităţi mari de informaţii. În aceste condiţii utilizatorii tind să păstreze toate documentele, mailurile, rapoartele, chat-urile în ideea că s-ar putea să îi ajute cândva, mai ales că stocarea s-a ieftinit.
Atacul împotriva Sony arată că această abordare este una greşită, în condiţiile în care mesaje e-mail vechi între managerii corporaţiei, care au fost publicate de hackeri, au pus firma într-o situaţie jenantă atât în relaţia cu persoane publice cât şi cu unii angajaţi, care au decis să iniţieze acţiuni în instanţă după ce le-au citit.
“Salvarea datelor, în special a e-mail-urilor şi a chat-urilor informale este o vulnerabilitate şi, de asemenea un risc. (…) Cea mai bună apărare este ca aceste date să nu existe. Dacă Sony ar fi avut o politică agresivă de ştergere a datelor, multe dintre datele care au fost furate nu ar fi existat şi nu ar fi ajuns în public”, susţine Schneier.
Expertul susţine că firmele ar trebui să aibă strategii de ştergere a datelor la nivelul întregii organizaţii, datele despre clienţi, chat-urile şi e-mail-urile fiind vizate în primul rând, cu excepţia informaţiilor care trebuie să fie păstrate ca urmare a cerinţelor legale.
Bruce Schneier este Chief Technology Officer pentru compania Co3 Systems, un furnizor de soluţii software pentru prevenirea şi reducerea impactului incidentelor de securitate.
