Dataintrånget hos Sony borde skaka om ledningsgrupperna

Exakt hur dataintrånget på Sony Pictures gick till samt vad som hänt i detalj råder det delade meningar om.

Att flera terabyte känsligt data har stulits är känt. Oavsett vad syftet är och vilka som ligger bakom så är skadan stor för filmbolagets varumärke och anseende.

Att företag regelbundet gör säkerhetsrevisioner borde vara lika självklart som att man som privatperson besiktar bilen regelbundet eller går till tandläkaren för att se om det är något hål på gång. Pengarna som spenderas på säkerhetsrevisioner och utbildning av verksamhetens användare är en bättre investering enligt mig än att utan utredning lägga till ytterligare en teknisk feature i perimeterskyddet för dyra pengar.

Konsekvensen av ett intrång kan bli dödsstöten för en verksamhet beroende på vad intrånget har för syfte och mål. Ändå hamnar detta så långt ner på agendan i många verksamheter. Jag tror att två av de vanligaste orsakerna är: Att ledningen saknar kompetens i dessa frågor och har accepterat en risk som de inte förstår konsekvensen av eller att de med kompetens i dessa frågor inte hörs tillräckligt högt upp i organisationerna.

Kostnaden för Sony är svår att uppskatta men kommer att bli ordentlig när tusentals människors social security numbers (inklusive Sylvester Stallones…), löneuppgifter, hemadresser, känslig intern företagsinformation, användarkonton och lösenord samt ej lanserade manus och filmer exponeras för allmänheten. Nu säger visserligen FBI att attacken mot Sony var sofistikerad och sannolikt hade kommit förbi 90% av de stora bolagens säkerhetsskydd, oavsett riskbedömning och förberedelser.

Jag hoppas nu att ännu ett dataintrång som fått stor publicitet kanske kan skaka liv i lite ledningsgrupper även här i Sverige!

// Hans Graah-Hagelbäck

En av Sourcecoms tjänster är att göra en Riskanalys för företag för att kunna värdera riskerna företaget står inför.