早在2011年，索尼的在线游戏服务平台PlayStation Network就遭到过黑客攻击。为何公司没有吸取教训来避免这次索尼影业被黑呢？专家表示，主要原因在于该公司孤岛式的组织结构。

    2011年5月，索尼电脑娱乐公司首席执行官平井一夫在记者招待会上。如今他已升任索尼集团的首席执行官。  

    索尼影业今年11月宣布，公司遭受了自称为“和平卫士”黑客组织的攻击。而在很早以前，索尼的另一个部门就遭遇过网络攻击。

    在2011年4月至5月期间，索尼电脑娱乐公司的在线游戏服务平台PlayStation Network、流媒体服务Qriocity，以及索尼内部的游戏开发和发行部门索尼在线娱乐公司，相继遭到黑客团体匿名者的分支组织LulzSec的攻击。

    当年4月20日至5月15日，索尼关闭了上述在线服务，试图修复漏洞，以切实保护超过1亿用户的敏感个人信息。时任索尼（美国）电脑娱乐公司首席执行官平井一夫在PlayStation的博客上写道：

    “我们采取了许多措施来阻止未来产生漏洞，包括提高数据保护和加密级别，增强发现软件入侵、越权存取和异常活动的能力，加设防火墙，在秘密地点建立安全级别更高的全新数据中心，任命新的首席信息安全官（CISO）。”

    如今，平井一夫已是索尼集团的首席执行官。

    在被黑不久后的2011年9月，菲利普•雷丁格被任命为索尼（美国）公司首席信息安全官。而在今年9月，菲利普离开索尼，创立了自己的安全咨询公司VisionSpear。约翰•希莫内接替了他的工作。

    索尼在全球拥有超过14万名员工和100多家子公司。网络安全公司SnoopWall的首席执行官加里•S•米里夫斯基表示：“尽管雷丁格忙得焦头烂额，但有些人认为，他的团队无力管理公司网络的所有‘接触点’。所以说，索尼并没有集中管理安全事件信息。”米里夫斯基补充道，雷丁格今年的离职也造成了索尼安全部门领导层的空缺，而当时恰恰是索尼最需要这个岗位发挥作用的时候。

    索尼电脑娱乐公司和索尼影视娱乐公司拒绝发表评论。

    市场研究公司IDC的游戏研究总监路易斯•沃德表示，索尼从2011年的风波中得到了许多惨痛的教训。该公司宣布黑客攻击造成的直接损失达到1.71亿美元，但沃德估算说，截止2012年底，被黑事件造成的损失要超过2.5亿美元，因为该公司还要收拾残局、加强防卫。沃德称：“在游戏界，类似索尼PlayStation Network被黑的事件之前没有过，之后也没再发生过。这是游戏界空间绝后的一例。”

    自2011年以来，索尼和微软的在线游戏网络相继遭遇一些小规模的攻击。比如，2011年10月，PlayStation Network再次遭袭，就在本月早些时候，PlayStation Store也遭到黑客攻击。但无论是就规模，还是就范围而言，2011年4月发生的那次被黑事件都是独一无二的。

    米里夫斯基表示，这是因为PlayStation Network那次遭受了多种类型的攻击。其中之一是经典的数据泄露——原本安全的数据被黑客公布。第二种是分布式拒绝服务攻击，这种攻击会让玩家无法访问网络。从那以后，索尼就强化了应对这两种攻击的防护措施。比如，索尼如今携手统治级的云计算产品亚马逊网络服务系统，提高了防御分布式拒绝服务攻击的成功率。此外，在出任索尼集团掌门人之后，平井一夫着手改善了公司各个部门的合作方式。

    然而，有一个重要因素使得索尼在2014年没能更好地利用2011年得到的惨痛教训，那就是该公司的组织结构。韦德布什证券公司电子游戏分析师迈克尔•帕切特表示，索尼多年来以孤岛式的运营闻名，而索尼影视娱乐公司则是那个最孤立的岛屿。帕切特说：“从不与其他任何人说话的，就是（索尼）那些搞电影的家伙。他们没有从PlayStation Network被攻击中吸取教训。我不了解那些搞电影的员工，但索尼游戏部门的员工一直很友好很开放，应该会愿意同电影部门的员工合作才是。”

    这种公司结构并非索尼公司所独有，但它有助于解释索尼为何在2011年遭遇这样的挑战后，仍没有做好更充分的准备以避免在2014年重蹈覆辙。安全公司vArmour的首席执行官蒂姆•伊德斯表示：“大多数机构都是孤岛式的。他们需要更好地在各个部门和供应链之间分享安全问题的解决方案，并展开更有效的合作。如果索尼这么做了，它就会更加强大。”

    问题在哪？米里夫斯基表示，在2011年被黑客袭击后，索尼没有足够迅速地处理组织结构问题。他说：“从那时起，他们的首席信息官就应该在全公司推行防护措施，加强员工的信息安全培训，这些应当成为公司上下的标准化培训内容。就面向大众的PlayStation Network而言，索尼采用了完全被动的防护措施——‘我们在X点被Y攻击了，所以我们用各种工具来强化X点，避免让与Y类似的攻击再次得逞。’这完全是被动防御，而不是主动防御。”

    对于索尼这样的大公司而言，做好防御尤其困难。伊德斯表示：“索尼可以被攻击的面很广，需要大量投资和时间来部署防御，这的确令人遗憾。”

    米里夫斯基称，在最近的黑客攻击中泄露的电子邮件通讯，证明索尼影视娱乐公司没有采取足够措施来防范网络钓鱼攻击和远程访问木马，没有有效的密码管理策略，也没有恰当地进行加密、数据储存和备份操作。

    米里夫斯基表示：“最后，索尼影视娱乐公司等于是门户大开。他们很可能只是装了个防火墙和杀毒软件，然后告诉他们的首席信息安全官‘这里一切安全’——如果真的有这类对话的话。如果索尼影视娱乐公司有恰当的存储控制、漏洞评估和员工培训机制，首席信息安全官本可以知道得更多。”

    帕切特表示，拜平井一夫的领导和安德鲁•豪斯重新担任索尼电脑娱乐公司总裁和集团首席执行官所赐，索尼的内部协调已经得到了改善。比如，索尼影视电视公司目前就正在为PlayStation Network拍摄原创实景真人系列电视剧Powers。然而，市场调研公司Digital World Research的首席执行官P. J. 麦克尼利表示：仍处于萌芽期的部门合作尚不足以阻止近来针对索尼的网络攻击。

    2011年，索尼电脑娱乐公司做出了大量努力来赢回其游戏消费者的信赖。如今，索尼借PlayStation 4在游戏主机市场取得了对微软和任天堂的领先。麦克尼利说：“消费者在这方面很容易原谅，因为到头来这只是个娱乐产品。在（2011年5月）打好补丁，PS主机平台网络重新上线后，消费者回归的速度让我感到十分惊讶。消费者已经开始接受这样一个事实：我们所在的是一个全新的世界，黑客攻击总是难免的。”

    专家也承认，尽管由于最近的被黑事件，索尼蒙受了名誉损失，但它不是唯一一家由于这类问题而陷入危机的公司。

    麦克尼利问道：“如今真的有公司能保证自己不遭受黑客攻击吗？我们现在亲眼看到，黑客能攻破大型公司和零售商。每个人都是黑客的目标。黑客的行为已经有了真正的转变，他们不再像10年前那样通过在特定节日发送病毒邮件来博取头条，如今他们正试图窃取个人数据和信息。”

    联邦调查局网络安全部副主任约瑟夫•德马雷斯特于本月早些时候对国会表示，90%的公司都无法抵御索尼影视娱乐公司遭受的攻击。

    米里夫斯基说：“我同意这个比例。但真正的问题是如今的安全态势和员工培训。索尼影视娱乐公司最大的弱点在于员工。如果你不能加强员工培训，让他们改善自己的行为，那么除了等着被黑客再次成功入侵，你还能指望什么？”（财富中文网）

    译者：严匡正