Sony的PlayStation Network(PSN)和Qriocity服務遇駭,用戶個資外洩,受害者超過一億人,Sony也因此而蒙受重大損失。
Sony表示,在遭受入侵之後,已延請資訊保全專門公司協助,導入高度的保全技術、追加監視系統入侵與漏洞的軟體、強化加密方式、增設防火牆等強化資訊保全系統的安全管理措施。除此之外,還導入能對疑似惡意行為的行動模式提供早期預警、檢測出網路非法入侵動作的系統等,對用戶個人資訊進行高度保護的對策。
為了強化PSN和Qriocity 的資訊保全管理,Sony任命新設的資訊保全長(CISO)一職,負責進一步強化網路基礎建設所有資訊保全,並對總裁和資訊長(CIO)直接負責。See
more…, See more…, See more…。
接下來,為了補救上述被駭事件、協助用戶重新設定密碼,Sony為此設了一個網站,卻被發現,該網站有安全漏洞,可讓先前竊取個資的駭客,利用得手的資料進入這個網站。Sony表示,該網站只要有電子信箱和生日,就可能進入帳戶,而為了回應這個問題,暫時關閉PSN和Qriocity的密碼重設網頁;目前問題已經解決,網頁會在短時間內開放。See more…。
網站被駭不是新聞,但被駭了一個月還無法恢復,那就是新聞了。Sony被駭這個事件真是令人大開眼界,一家這麼大的公司,對這麼重要的網路服務,在資訊安全管理上,竟然這麼輕忽。
表面上,這似乎是技術方面的問題,而Sony也針對這方面進行改善,導入高度的保全技術。但骨子裡,這是管理上的問題,要不然也不會同時進行這麼多的資訊安全技術方面的改善。Sony也意識到這個問題,因此新設了資訊保全長(CISO)一職,打算從管理上,全面整頓其資訊安全機制。
可是,Sony可以砸大錢立刻買到資訊安全技術,卻沒有辦法砸大錢立刻買到資訊安全管理(就算它設立了CISO職位),所以又犯了一個不該犯的錯誤:讓駭客可以利用得手的資料(電子信箱和生日)進入網頁,重設PSN和Qriocity的密碼。
這個案例告訴我們,在資訊安全方面,技術是必要的,但是單憑技術,沒有辦法保證資訊安全。只有建立完善的資訊安全管理系統,才能保證資訊安全。
從資通訊科技基礎建設管理系統(ICTIMS)的觀點來看,資訊安全〔機密性(Confidentiality)、完整性(Integrity)和可利用性(Availability)〕的管理,與ICTIMS的所有流程皆相關。也就是說,為了保證資訊安全,必須以資訊安全為核心來建立ICTIMS,特別是下列的流程:
l
服務要求管理,
l
意外事件管理,
l
問題管理,
l
異動管理,
l
ICT服務連續性管理,
l
可利用性管理,
l
應用軟體管理,
l
ICT基礎設施管理,
l
資訊安全管理。
《《《《《《《《《《《《《《《《》》》》》》》》》》》》》》》》》
龍山顧問是ICT管理專業服務公司,服務項目包含ICT管理的出版、訓練、診斷和輔導,詳情請參考龍山顧問公司網站:http://www.longshine.tw/。
沒有留言:
張貼留言