Újabb támadás a Sony ellen - "Botrányosan rossz a rendszer"

A magát Lulz Security-nak nevező csoport a SonyPictures.com oldalra hatolt be, de nem is ez volt az első Sony szolgáltatás, amelyet feltörtek, hiszen múlt héten a Sony Music japán weblapjába jutottak be, hackercsoport megint egy SQL injektálási hibát használt ki. A Sony közleményben reagált a hacker-támadásra: mint mondják tudomásul vették a Lulz felhívását és kivizsgálják az ügyet.

A csoport közleménye szerint azért adták közre a megszerzett adatokat, mivel a Sony rendszere botrányosan rossz volt. A jelszavakat például sima szövegként tárolta a szerver annak ellenére, hogy legalább tíz éve minden biztonsági szakértő ágál e lusta és rossz megoldás ellen.

A Sonynak legutóbb áprilisban kellett bocsánatot kérnie felhasználóitól, mert egy hacker több mint 77 millió felhasználó bizalmas adatát szerezte meg jogtalanul a gyártó PlayStation hálózatáról. A támadást az internet történetének legnagyobb adatlopásának minősítették, ám a gyártó sokáig hárította magáról a felelőséget. Napokba telt mire a vállalat vezetősége hajlandó volt kiállni, és bocsánatot kérni az eset miatt. A BBC szerint az adatlopás a Sony üzemi eredményében 170 millió dollár kárt okozott.

Jóri András, adatvédelmi biztos lapunknak küldött állásfoglalásában kifejtette: a modern társadalom egyre inkább függ a számítógépektől és az informatikai rendszerektől. A lehetséges veszélyforrások sokfélék, ezek közül az egyik az adatok megszerzésére irányuló informatikai támadás. Ezzel szemben az ellenszer csak a védekezés lehet, azaz a támadás felismerése és elhárítása, mert a megtámadott által indítandó "válaszcsapás" - még ha esetleg mód is lenne rá - nem megengedett. (Kivétel az úgynevezett kiber-hadviselés) Ebben a szituációban mindig a támadó van helyzeti előnyben, mert ő választja meg a támadás célpontját, módját és idejét - írja a biztos.

A lehetséges célpont bárhol lehet, hiszen az internet az egész világot behálózza. Az informatikai támadások ellen ezért nincs és nem is lehet abszolút védelem. A védekezés célja a sikeres támadás esélyének lehetőség szerint, a veszélyeztetettség mértékéhez képest elfogadható szintre csökkentése.

Egészen más informatikai veszélyekkel kell szembenéznie egy otthoni felhasználónak és egy nagyvállalatnak; ezek kockázati kitettség szempontjából sincsenek azonos helyzetben. Adatvédelmi oldalról elsősorban az adatkezelő kötelessége és felelőssége, hogy megteremtse az adatai biztonságát.

Ugyanakkor bizonyos informatikai rendszerek és szolgáltatások a társadalom számára fontosabbak annál, hogy megengedhető lenne ezek védelmét csak az adatkezelőre bízni. Például a közszolgáltatások, az erőművek, a hírközlés, a közlekedés-irányítás informatikai rendszerei működőképességének fenntartása, kibertámadások elleni védelme nemzetbiztonsági és honvédelmi szempontból is szükséges; ez állami beavatkozást igényel (mint például az grúz-orosz kiberháború, Stuxnet támadás).