Fragen? Antworten! Siehe auch: Alternativlos
the auditor told Spaltro, the passwords Sony employees were using did not meet best practice standards that called for combinations of random letters, numbers and symbols.Summing up, the auditor told Spaltro, “If you were a bank, you’d be out of business.”
Daraufhin hat der Sony-Typ dem Auditor erklärt, dass die Mitarbeiter schwierige Passwörter bloß auf einen Zettel schreiben und an den Monitor kleben würden, und der Auditor hat dann die "die Passwörter sind scheiße"-Checkbox nicht angekreuzt.Hier ist, wie sie die Abwägung machen bei Sony:
Although Spaltro declines to talk about Sony’s security practices, he says that while Sony Online Entertainment is fully compliant, every company weighs the cost of protecting personal data with the cost of what it would take to notify customers if a breach occurred. Spaltro offers a hypothetical example of a company that relies on legacy systems to store and manage credit card transactions for its customers. The cost to harden the legacy database against a possible intrusion could come to $10 million, he says. The cost to notify customers in case of a breach might be $1 million. With those figures, says Spaltro, “it’s a valid business decision to accept the risk” of a security breach. “I will not invest $10 million to avoid a possible $1 million loss,” he suggests.
Andere Kosten als die Benachrichtigung fließen da nicht ein. Der Typ ist übrigens immer noch bei Sony, jetzt Senior Vice President of Information Security. Sein Gehalt: $300.000. Mit Bonus $400.000. Das wissen wir, weil bei dem Hack auch eine Gehaltsliste gefunden wurde. Neben den Background-Checks der Mitarbeiter, Dokumenten aus den Gehaltsverhandlungen, Krankschreibungen, den Sozialversicherungsnummern der Angestellten, und einem Haufen anderer Dokumente. Auf der Skala von 1 bis Brunsbüttel ist dieser Hack ein Fukushima.