Sony ni pričal pred Kongresom, uradno mnenje IP
Matej Huš
5. maj 2011 ob 10:44:33
Minila sta dva tedna, odkar je Sony opazil vdor v svojo storitev PlayStation Network (PSN). Prvikrat so v torek, 19. aprila, opazili, da se je nekaj strežnikov ponovno zagnalo, česar niso načrtovali. Dan pozneje so v preiskavi dnevniških datotek našli indice, da je bil omrežje napadeno in uporabniški osebni podatki odtujeni. Dokaze o tem so pridobili šele 25. aprila in dan pozneje so uporabnike obvestili o vdoru. Zgodba s tem še zdaleč ni končana. Sony je obljubil, da bo prenovljena in bolje zavarovana verzija PSN še ta teden spet dosegljiva, in do sredine tedna se to še ni zgodilo. So pa napovedali izid novega popravka za strojno programsko opremo (firmware) na konzolah na verzijo 3.61, ki bo uporabnike tudi prisilila v zamenjavo gesla.
Sonyjevi inženirji medtem delajo nadure. BBC je objavil, da je Sony najel tudi zunanje izvedence iz več podjetij, ki bodo pomagali v preiskavi in gradnji varnejšega omrežja. Da bi razjasnili podrobnosti o napadu, so na zaslišanje predstavnike Sonyja povabili pred ameriški Kongres. Sony se zaslišanja ni udeležil, so pa poslali pisne odgovore na vprašanja, ki so jih bili prejeli, in javno objavili pismo predsedniku odbora.
Sony je pojasnil, da so se že pred vdorom borili z vrsto koordiniranih napadov DoS, ki so popolnoma zaposlili vse inženirje v podjetju. Po drugi strani so hekerji izkoristili poznano ranljivost v sistemu, za katero Sony ni vedel, zaradi česar so jih odkrili šele tako pozno. Hkrati priznavajo, da niso bili najbolj pazljivi zaradi obilice dela z napadi DoS. Če bi jih ne bi bilo, bi bili vdor verjetno odkrili prej. Za vdor in napad DoS Sony obtožuje skupino Anonymous (poznamo jo po napadih v podporo Wikileaksu), ker so na strežnikih našli datoteke z njihovim imenom in sloganom.
Na vdor (in tudi Applove probleme z zbiranjem podatkov) pa se je uradno odzval tudi slovenski informacijski pooblaščenec. Nataša Pirc-Musar je pojasnila, da "[d]elovna skupina iz člena 29, svetovalno telo Evropske komisije na področju varstva osebnih podatkov, v kateri sodeluje tudi Informacijski pooblaščenec, trenutno preiskuje [...] podrobnosti incidenta vdora v bazo uporabnikov Sony Play Station Network." Delovna skupina pripravlja enoten odgovor članic EU na omenjena incidenta in morebitne prihodnje ukrepe, končne odločitve pa še niso sprejeli. Pirc-Musarjeva je tudi opozorila, "da morajo podjetja od samega začetka zagotavljati, da so osebni podatki njihovih uporabnikov in potrošnikov dobro varovani. Spoštovanje koncepta vgrajene zasebnosti (»privacy by design« ter »privacy by default«) je za to ključno. Koncept vgrajene zasebnost temelji na proaktivnem delovanju, na izogibanju težavam, ne pa reaktivnemu odpravljanju posledic. Potencialne težave z vidika varstva osebnih podatkov in zasebnosti naj bi podjetja predvidela vnaprej in dizajn sistema prilagodila na način, ki zmanjšuje tveganja za zlorabe, namesto da bi čakala, da se ta tveganja uresničijo. Skrb za zasebnost naj bi bila tako vgrajena v sam dizajn in arhitekturo informacijskih rešitev in storitev, ne pa naknadno – zgolj v primerih incidentov – dodana".
Informacijska pooblaščenka še poudarja, da je: "poleg tega bistveno, da podjetja svojim uporabnikom in potrošnikom jasno razkrijejo, katere njihove podatke zbirajo in shranjujejo ter za kakšen namen. Čeprav podjetje morda zbira podatke popolnoma zakonito, mora posamezniku vseeno ponuditi možnost, da zavrne obdelavo njegovih osebnih podatkov."