Sicurezza 7/7: La lezione del fiasco di Playstation Network per il mondo business

CyberwarMarketingSicurezza

Le società di analisi dicono alle aziende di prepararsi agli attacchi per evitare di sembrare impreparati, nella gestione successiva. G Data mette in guardia dalle falle di sicurezza di Java. Sophos chiede più sicurezza a Facebook

Mentre Sony viene travolta dal rischio di Class action per il furto dei dati ai danni di 77 milioni di utenti, le societ di analisi mettono in guardia le aziende: per contrastare le falle di sicurezza, bisogna mettere per tempo in sicurezza le proporie infrastrutture. I server di PlayStation Network e  Qriocity hanno avuto un black-out di 6 giorni prima che Sony ammettesse la violazione dei dati. Il mondo business ha molto da imparare dal “fiasco del Playstation Network”.

I consumatori, tramite cause legali ed eventuali class action, potrebbero chiedere un indennizzo per la compromissione dei datio personali e la violazione della privacy; inoltre gli sviluppatori partner, che pubblicano demo e contenuti direttamente sullo store online, potrebbero aspirare a qualche risarcimento. Sony per ora sta valutando di rimborsare soltanto gli abbonati alla versione Plus. Agli utenti sembra più grave non poter giocare ai propri videogiochi piuttosto che l’esposizione dei propri dati personali.

William Beer, direttore di OneSecurity presso PwC, spiega che tali problemi “vanno gestiti ai più alti livelli” perché possono avere un impatto in Borsa e sulla reputazione online di un’azienda. Le aziende dovrebbero simulare casi e sviluppare piani per affrontare i black-out, assignando responsabilità di rete fino a decidere chi deve parlare con i clienti via stampa. Tutte le aziende dovrebbero avere pronta una “notifica di data breach”, per non essere colti impreparati. Varie aziende di sicurezza hanno puntato il dito contro l’assenza di cifratura da parte di Sony sulle informazioni base degli utenti, ma neanche le tecnologie crittografiche non dovrebbero essere sovrastimate e a volte possono essere uno svantaggio, secondo Beer. “La crittografia può aiutare, ma può introdurre compiacimento,” spiega: “Per esempio lavoro con un laptop cifrato. Ma ciò non vuol dire che dovrei perderlo quando esco“.

Il cyber-crime sta prendendo di mira le imprese globali in cerca di informazioni. Secondo IronKey questa tipologia di attacchi diventerà più comune. “I recenti attacchi del cyber crime contro le infrastrutture interne IT – dopo i casi Epsilon, RSA e ora Sony – dovrebbero dare una svolta alle aziende per cambiare il loro approccio nel proteggere i dati dei clienti” commenta Colin Woodland, European vice presidente presso IronKey.

Finora i dipartimenti IT si sono focalizzare nel proteggere l’end point e i dispositivi che gli impiegati usano per accedere ai dati. Ma gli ultimi casi mostrano un nuovo scenario: “il cyber crime ha molte cartucce al suo arco per battere questi livelli di sicurezza IT per mettere le mani sulle informazioni che vogliono.

Charles Kolodgy, reasearch vice presidente dei prodotti sicurezza di IDC,aveva per primo messo in guardia dai rischi di hacking nei network di gaming come quello di Sony già nel 2009: l’attacco dovrebbe indurre le aziende a ripensare tutti i piani di sicurezza. I dati dovrebbero essere  segmentati in strati differenti, in base alla necessità delle aziende di accesso e al relativo valore di ogni attacco. Questo limita il fallout di ogni attacco.

Uno degli aspetti più preoccupanti dell’attacco a Sony è il fatto che abbia impiegato troppo ad ammettere quanto accaduto, il che suggerisce che Sony non avesse un forte software forensic già installato sul suo network.

Hanno impiegato troppo tempo, cosicché è possibile che non avessero i tool di forensic logging già settati, altrimenti li avrebbero seguiti” ha detto Kolodgy a V3.co.uk. “Probabilmente ora sono costretti a una revisione estensiva manual dei loro logs.

Black-out e violazione dati per Psn di Sony
Black-out e violazione dati per Psn di Sony
Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore