Efekty zewnętrzne na przykładzie Sony
23.12.2014 | aktual.: 23.12.2014 16:13
To pierwszy z dwóch planowanych artykułów na temat włamania do Sony Pictures.
Włamanie do Sony Pictures nie było szerzej komentowane na łamach portalu. Poza tekstem Adama - Włamanie do Sony Pictures to kara za jedną głupią komedię? - temat w zasadzie nie był na dobrych poruszany. A szkoda, bo to całkiem ciekawy przypadek.
Po ostatnich rewelacjach FBI wiodącym podejrzanym jest Korea Północna. Ale nie o tym "kto" ani "jak" się włamał chciałbym napisać tym razem. Szczególnie bowiem interesuje mnie jakie są tego włamania konsekwencje.
Kiedy mamy do czynienia z cyberatakiem na dużą korporację, zarówno w aktualnościach, jak i w przygodnych dyskusjach skupiamy się na tym co firma w związku z zaistniałą sytuacją straci. Dyskutujemy o tym, że akcje spadły o 1/3, o tym o ile trudniej musi się w firmie pracować bez komputerów (wszystkie wyłączono w celu zminimalizowania potencjalnych szkód), kto i jak to zrobił.
Ale to jest dokładnie taki sposób analizy sytuacji, jaki Sony chciałoby, żebyśmy uprawiali. Skupiamy się na firmie, naszych sympatiach i antypatiach, bijemy pianę o powierzchowne problemy. Zastanawiając się "ile Sony Pictures na tym włamaniu straciło" robimy takiego samego typu oszacowanie, jakie robili szefowie Sony Pictures decydując się na marne zabezpieczenia i niedoinwestowanie IT. Właśnie takie myślenie - ile coś kosztuje, ile można stracić - prowadzi do gigantycznych w skutkach włamań, jak to z końca listopada.
Sony Pictures wycenia bezpieczeństwo
Nie ma bezpieczeństwa absolutnego, to jasne. Nie kupią go nawet wszystkie pieniądze tego świata, szczególnie jeśli zabezpieczona ma być sieć komunikująca się z Internetem. Ale między trzymaniem wyłączonego komputera w piwnicznym sejfie (nazwijmy to ascezą), a wkładaniu w maszynę z Windowsem 95 każdego napotkanego pendrive'a (niebezpieczny hedonizm) jest całkiem sporo odcieni pośrednich. Sony Pictures było gdzieś w okolicach "Windows ME z nieaktualnym antywirusem Kasperskyego chętnie pozna pendrive Hello Kitty". Takie ogłoszenie sprawia, że łatwo się naciąć.
Problemem nie jest w sumie to, że ktoś się do sieci korporacyjnej włamał. Takie jest ryzyko prowadzenia biznesu, po to istnieją firmy ubezpieczeniowe. Paskudne jest to, że kompletna indolencja Sony Pictures odbija się przede wszystkim na życiu setek szeregowych pracowników. Część z nich, jak na przykład Jason Spaltro, autentycznie zasługują na karę. To właśnie on w 2007 roku spytany przez magazyn CIO powiedział, że nie zainwestuje 10 milionów by uniknąć milionowej straty.
I will not invest $10 million to avoid a possible $1 million loss
Ten karykaturalny artykuł zatytułowany "Your Guide To Good-Enough Compliance" najwyraźniej minął się dosyć mocno z celem. "The Interview" kosztowało 44 miliony i wciąż nie wiadomo, czy ujrzy światło dzienne. Za taką niekompetencję powinno się płacić swoją karierą, bo miejsce Spaltro ewidentnie znajduje się nie w strukturach zarządzania, a przy frytkownicy. Tam, być może, zaszkodzi tylko sobie, a nie wszystkim dookoła.
Nie Sony Pictures ucierpiało
Bo problemem nie są maile o Angelinie Jolie czy haiku na temat czyichś kaprysów. Problemem jest prywatna korespondencja drobnych pracowników, którzy zwierzali się ze swoich życiowych problemów, pisali o wzlotach i upadkach, wstydliwych chorobach i nawykach. Łatwo jest powiedzieć: mogli tego nie pisać. Ale przenosimy w ten sposób jedynie odpowiedzialność z rąk IT Sony na ręce IT, dajmy na to, Google. Bo wszyscy wysyłaliśmy takie emaile.
W tym wszystkim to większość nieuprzywilejowanych pracowników Sony Pictures cierpi najbardziej. Dyrektorzy mają opcje, które mogą uratować ich własne skóry. Hakerzy domagają się zdjęcia "The Interview" z kin, w przeciwnym wypadku obnażą przywary prezesa? Prezes zdejmie film z kin. Hakerzy opublikują historię łapania chorób wenerycznych przez pracowników jednego z działów? Nikt palcem nie kiwnie.
To naruszenie zaufania pracowników ma też namacalne i znacznie bardziej mierzalne konsekwencje, niż poniżenie w oczach współpracowników i znajomych, którzy wiedzą jak pobrać archiwa za pomocą BitTorrenta. Wśród opublikowanych informacji znalazły się numery opieki społecznej ponad 40tys pracowników i podwykonawców współpracujących z Sony Pictures. Czytelnik w Polsce może nie rozumieć znaczenia tego faktu, więc wyjaśnię o co chodzi.
Nie Sony Pictures zapłaci
Wyobraźmy sobie, że PESEL jest tajnym identyfikatorem każdego z nas. Mamy go strzec, bo jednoznacznie określa, że Ja to Ja, a Ty to Ty. PESEL jest ważniejszy od dowodu osobistego i prawa jazdy (które nie są obowiązkowe) i tylko na chwilę, czasem rozstajemy się z nim w celu weryfikacji, że jesteśmy sobą, kiedy podpisujemy umowę z pracodawcą, albo kiedy bierzemy kredyt. PESEL to człowiek.
Chyba wszyscy słyszeliśmy historie o telefonach i kredytach "na słupa". Ostatnio nawet wyszło na jaw, tak własny SKOK okradał Wołomiński prezes. Dla niezorientowanych: bierzemy bezdomnego, myjemy i ubieramy go i za niewielką opłatą przekonujemy, żeby wziął na siebie duży kredyt. W Stanach, jeśli się ładnie uśmiechnąć, można wziąć kredyt na cudzy numer opieki społecznej - SSN. Nie trzeba żadnego kartoniku ze zdjęciem, tylko numer napisany na serwetce. Przytrafiło się to kumplowi z zespołu i - niestety - nie jest to szczególnie rzadki przypadek.
Tymczasem dzięki niekompetencji IT Sony, wiele numerów SSN trafiło w ręce każdego potencjalnego zainteresowanego. Na szczęście można uzyskać nowy SSN - nie jest to szybki, ani bezbolesny proces, ale jest to możliwe (choć dzieje się na koszt podatnika). Niestety Sony zwlekało około tygodnia z poinformowaniem pracowników o tym, że ich tożsamość została skradziona. Jeśli były tego konkretne finansowe konsekwencje, to nie dowiemy się o tym, bo medialne są informacje o tym kogo obraziła Amy Pascal i co o Korei myśli Clooney. Pani Halinka z księgowości nie ma wystarczająco donośnego głosu, byśmy ją w Internecie usłyszeli.
Ci, którzy generują dochody
W organizacjach, zarówno państwowych jak i prywatnych, istnieje tendencja do inwestowania w działy, które w czytelny sposób generują dochody (np. dział sprzedaży). Inwestuje się także w stanowiska, które w powszechnym mniemaniu osób podejmujących decyzje generują wartość. Który prezes nie uważa, że gdyby nie on, to firma stałaby w miejscu? Który executive director of information security at Sony Pictures Entertainment nie uważa, że jest wart płaconych mu pieniędzy?
Istnieją też stanowiska stanowiące "utrzymanie ruchu". Problem polega na tym, że nie da się wprost wycenić pracy ludzi z IT. To znaczy: można policzyć ile kosztowały serwery, oprogramowanie do monitorowania ruchu w sieci, czy pracownicy. Ale jaką wartość wniosło to wszystko do organizacji? Zbyt często złudzenie jest takie, że niewystarczająco dużą, by warto było się przejmować ich pracą.
Konsekwencje ponoszą takie ślepe biznesy - wszyscy to widzimy i komentujemy. Ale efekty takiego zakłamywania rzeczywistości przenoszone są także na pracowników tego typu organizacji. A szeregowi pracownicy nie muszą rozumieć, że pracodawca gra w rosyjska ruletkę z bezpieczeństwem. Z zupełnie innych powodów ich zatrudniono - w przypadku Sony mogli się znać na dowolnej z setek funkcji niezbędnych przy produkcji i dystrybucji filmów, nie na ocenie zagrożenia atakiem hakerów.
Pracodawca ma moralny i powinien mieć prawny obowiązek traktować konsekwencje takich potencjalnych wycieków poważnie. Ma też obowiązek wziąć na własne barki koszt dochodzenia i nie przenosić swojego braku kompetencji na podatnika zaprzęgając do pracy FBI czy ABW. Patrzenie na metkę filmu - 44 miliony utopione w celu zaoszczędzenia kilku(nastu) milionów na zabezpieczeniach - nie oddaje pełnego obrazu sytuacji.
Przeniesienie części kosztów z działalności na podmioty trzecie bez odpowiedniej rekompensaty, to właśnie efekty zewnętrzne. Okazuje się, że przymykanie na nie oczu zanieczyszcza nie tylko naszą wodę i powietrze, ale i portfele oraz relacje z innymi ludźmi. Warto o tym pamiętać, kiedy nastąpi kolejny taki atak.