Lessen van de Sony-hack

Opdracht van de baas: start je pc niet op en log niet in op het wifinetwerk. Die mededeling zagen alle medewerkers van Sony Pictures afgelopen week toen hun bedrijf het slachtoffer werd van een ongelofelijke hack.

Alle computers van de filmmaatschappij waren bevroren, bestanden verdwenen van de harde schijf, privégegevens van duizenden medewerkers lagen op straat. Films die nog niet in de bioscoop te zien waren lekten naar ruilnetwerken. De remake van de film Annie had de Kersthit van 2014 had moeten worden en ligt nu te grabbel op PirateBay.

De Sony-pocalypse – zoals deze hack gedoopt is – klinkt even onwaarschijnlijk als het script van Fury, een andere Sony-film die uitlekte. Daarin houdt Brad Pitt in zijn manke tank een compleet peloton Duitse soldaten tegen. Zo voerde je oorlog in 1945, anno 2014 gaat het met computers.

De cyberaanval wordt toegeschreven aan Noord-Korea. Het land zou wraak willen nemen, omdat de Sony-comedy The Interview, met Seth Rogen en James Franco in de hoofdrol, de spot drijft met de Noord-Koreaanse dictator Kim Jong-un. Twee journalisten hebben een interview met de dictator en moeten Kim Jong-un vermoorden. „Take him out”, zegt de CIA-agente. Antwoord: „For drinks or to dinner?”

Noch Noord-Korea, noch de Geweldige Leider staat bekend om zijn gevoel voor humor. De hackers gebruikten dezelfde technieken als de aanval op Zuid-Koreaanse banken in 2013. Noord-Korea ontkent betrokkenheid en suggereert dat anderen verantwoordelijk zijn voor ‘deze rechtvaardige daad’. De hackmethode lijkt zo geavanceerd dat geen enkel bedrijf de aanval af had kunnen slaan. Hollywood kreeg dus zijn eigen Stuxnet – het complexe virus waarmee Amerikaanse en Israëlische veiligheidsdiensten nucleaire opwerkingscentrales in Iran saboteerden.

Was Sony kansloos? Daar valt, zo blijkt uit reacties van personeel en beveiligingsbedrijven,wel iets op af te dingen. Hier zijn hun dringende tips:

1) Denk na. Sony-personeel bewaarde lijsten met wachtwoorden in een directory met de naam ‘Passwords’. Veel makkelijker kun je het inbrekers niet maken.

2) Houd overzicht. Gevoelige informatie was op veel verschillende plekken in het Sony-netwerk te vinden. Zo stonden duizenden sofinummers in documenten waar ze niet nodig waren.

3) Houd je netwerk in de gaten. Er werd bij Sony Pictures 25 gigabyte aan data gestolen, latere berichten meldden dat er 100 terabyte aan data weglekte. Zoveel gegevens mogen niet ongezien het pand verlaten.

4) Wees streng met accounts. Sony houdt rekening met een inside job. Bedrijven springen vaak slordig om met accounts van gebruikers, zeker als het gaat om (boze) oud-medewerkers of inhuurkrachten.

5) Train personeel om geen links of usb-sticks aan te nemen van vreemde mannen.

6) Een wachtwoord is onvoldoende: laat medewerkers met dubbele authenticatie inloggen.

7) Investeer. Neem mensen aan die gespecialiseerd zijn in informatiebeveiliging. Dat is een ander vak dan de systeembeheerder die helpt je mailproblemen op te lossen. Huur betrouwbare hackers in om je systemen te testen.

8) Blijf up-to-date. Zo was Google in 2010 slachtoffer van Chinese hackers die een kwetsbaarheid vonden in een oude versie van Internet Explorer.

9) Leer van vorige hacks. Sony’s PlayStation netwerk werd in 2011 gekraakt, 77 miljoen creditcards lekten uit. De schade toen: 170 miljoen dollar. De schade nu: niet te overzien.

10) Maak nooit meer een komedie over Noord-Korea.