索尼遭駭客攻擊：對其他公司只是“什麼時候的問題”

對至今在資訊安全方面依然馬馬虎虎的公司來說，索尼影視娛樂有限公司（Sony Pictures）遭受網路攻擊的事件可謂是一記警鐘，這起攻擊是一個描述刺殺朝鮮領導人金正恩情節的影片引發的反應。

“這起事件給那些看著‘列車殘骸’，並因為遭受攻擊的不是自己而長出一口氣的公司帶來了一個重要啟發。”普林斯頓大學（Princeton University）法律教授安德里亞·麥特維辛（Andrea Matwyshyn）談到。對索尼公司而言，這起駭客攻擊是“一場公共關係的噩夢”，沃頓商學院市場行銷教授皮納·伊爾迪裡姆（Pinar Yildirim）補充談到，因為內部溝通資訊的洩漏，破壞了該公司與其他機構的合作關係，而且讓好萊塢的重要“玩家”受到牽連。

兩位元專家在SiriusXM111頻道的沃頓商業廣播播出的沃頓知識線上節目中討論了這起事件造成的餘波。

索尼最近的麻煩源自他們籌備的聖誕檔期影片《刺殺金正恩》（The Interview）（也譯為《採訪》），這是一部有關試圖刺殺朝鮮領導者的諷刺喜劇片。深感憤怒的朝鮮希望索尼封存該片，該國國家通訊社甚至威脅稱，如果該片上映，他們將把“美帝國主義的所有要塞”當作攻擊目標。最近幾周，駭客侵入了索尼的系統，並曝光了該公司的大量檔和電子郵件。駭客威脅稱，將發動9/11式的襲擊，這一威脅導致美國各大連鎖院線和有線電視公司拒絕上映該片。

束手無策的索尼公司最後于上周取消了《刺殺金正恩》一片的聖誕上映計畫。美國聯邦調查局（The Federal Bureau of Investigation，簡稱FBI）指責朝鮮要為本次攻擊負責，但該國政府堅決否認，甚至提議與美國對此展開聯合調查。美國總統奧巴馬表示，美國“將以我們選擇的時間、地點和方式對這一事件做出回應。”，緊張局面就此升級，朝鮮方面則警告稱，如果美國要那麼做，就將產生“嚴重後果”。

對索尼來說，此事的餘波絕不僅僅是因為它屈服於駭客的要求，而遭到言論自由激進人士的如潮批評。在這起事件中，駭客盜取並在文件分享網站散佈了3,800萬份檔，其中包括五部即將上映的影片的腳本、一部詹姆斯·邦德（James Bond）新片的劇本，以及索尼高管的電子郵件、工資資料和其他個人資訊。“（此事的後果）可能遠遠超過電影本身……（索尼）可能因為未能保護員工的資訊而遭到訴訟。”伊爾迪裡姆談到。“所以，這對索尼來說將是一場更加糟糕的噩夢。”

多層面的威脅

“這是一場對整個公司發起的採用多重技術的攻擊。”麥特維辛在談到本次攻擊事件時表示。“我希望（各個公司）都跟自己的首席安全官談一談，看看怎麼才能確保這種事情不會發生在自己身上。”她還補充談到，企業必須創造一套可持續保持警惕、確保安全的流程，而且不但要做好應對這類網路攻擊的準備，還要控制發生這類事件後所產生的危害。“要主動採取措施，不僅要（公司中的）IT人員參與進來，而且還要得到高層的重視，唯有如此，這一目標才能實現。”

麥特維辛認為，所有娛樂企業現在都必須“快馬加鞭，以確保自己的流程整裝齊備，而且是最新版本。”伊爾迪裡姆也同意這一觀點，“很多影視公司都必須思考如何保護自己的問題。”

從更寬泛的範疇來看，麥特維辛認為，企業必須有一個專門負責強化IT安全系統的董事。“尤其是對較為傳統的公司來說，這是一場真正的挑戰——一場必不可少的文化變革。”她談到。“這無法在一夜之間完成，有時也難免經歷痛苦。但數字時代的現實是，無形資產的重要性已經達到了全新的高度。”

麥特維辛告誡說，娛樂行業的很多企業可能都已經進入駭客的視野。“你有可能已經被很多不同的人盯上，他們可能已經在你的網路中安裝了惡意軟體，只是在什麼地方等待合適的時機發動攻擊。”她談到。“如果你沒有部署（安保措施），就會成為待宰羔羊。唯一的問題是他們何時發動攻擊以及攻擊嚴重程度如何。”

如果企業的安全系統很薄弱，那麼，公司面臨的另一個損失就是外界的信任。伊爾迪裡姆談到了索尼影視聯席董事長艾米·巴斯卡（Amy Pascal）在有關詹姆斯·邦德這一角色的候選人和其他敏感資訊的電子郵件洩漏後所採取的損失控制行動。“那些行為會對巴斯卡的聲譽產生長期影響。”伊爾迪裡姆談到。“這個事件給整個電影行業傳達出的資訊是，不要發表（如此具有爭議）的評論，尤其是在網上。”

麥特維辛表示，如果洩漏的資訊涉及一家公司的敏感研發資料，這樣的攻擊就有可能產生“毀滅性的”影響，所以，應該呼籲大家行動起來。“如果公司自上而下都沒有對安全問題給予應有的注意，那麼，你就很難對股東、董事會和公眾做出損失為什麼如此巨大的解釋。”她談到。與索尼事件類似的駭客攻擊事件還有可能對未來的商業合作造成阻礙，“因為合作對象可能認為你的企業管理鬆鬆垮垮，可能不願與你展開業務合作，也不相信你能保護好敏感資訊。”她補充談到。

並非老到的攻擊

麥特維辛談到，索尼遭到的攻擊“實際上並不是非常老到的攻擊，因為很多惡意軟體和攻擊系統的方式都是資訊安全行業所熟知的。”她懷疑，此次攻擊的幕後黑手可能是某些“IT犯罪公司”或者一群“因為被解雇而心生怨念的IT管理員，發起攻擊的目的是為了破壞該公司的聲譽和財務狀況”。

從公司的角度來看，索尼被黑事件帶來的唯一好處就是引發了公眾對《刺殺金正恩》一片的興趣。“研究顯示，如果某部影片在上映前夕被盜版，而且被放到檔分享網站上，就有可能提升人們對該片的需求。”伊爾迪裡姆談到。她預計，索尼過段時間可能會上映該片或該片的部分內容，也許《刺殺金正恩》的盜版版本也會浮出水面。