ملخص
- يُعتبر الهجوم الإلكتروني التدميري الذي استهدف شركة Sony Pictures Entertainment في عام 2014 مهمًا لأن البرامج الضارة لم تقتصر على سرقة البيانات. لقد عطلت محطات العمل و الخوادم والبريد الإلكتروني والاتصالات الداخلية وسجلات الموظفين والمراسلات التنفيذية وتخطيط إصدار الأفلام والعمليات التجارية العادية.
- سؤال المساءلة هو من كانت له السيطرة العملية على تعزيز نقاط النهاية، والوصول المميز، واحتواء البرامج الضارة التدميرية، وسلطة النسخ الاحتياطي وإعادة البناء، وإخطار الموظفين، وقرارات استمرارية الأعمال، والدليل على أن التعافي قلل من التعرض المتكرر.
- أرجعت السجلات الحكومية الأمريكية العملية فيما بعد إلى نشاط مرتبط بدولة كوريا الشمالية، وأصبحت العقوبات والتهم الجنائية الحدث جزءًا من سجل الأمن القومي العام وكذلك حادثًا مؤسسيًا.
- أقوى درس ليس أن أي شركة يمكنها منع كل اختراق تدميري. الدرس هو أن الشركة التي لديها بيانات حساسة للموظفين، وملكية فكرية غير مطروحة، واعتماد على الشركاء يجب أن تكون قادرة على إعادة البناء من مصادر موثوقة وشرح ما يدعم تلك الثقة.
- تستخدم هذه المقالة تقارير مكتب التحقيقات الفيدرالي ووزارة العدل والخزانة ووكالة الأمن السيبراني وأمن البنية التحتية وهيئة الأوراق المالية والبورصات وتقارير الشركة Sony والسجلات القضائية وتقارير الاستجابة للحوادث ومراجع التعافي من الأمن السيبراني. لا تدعي الوصول إلى الصور الجنائية الخاصة لـSony Pictures، أو تذاكر إعادة البناء الداخلية، أو أدلة إنفاذ القانون غير الموجودة في السجل العام، أو ملفات الضرر لكل موظف.
لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة
تنتمي Sony Pictures إلى ملف المخاطر والمساءلة لأن هجوم 2014 جعل التعافي السيبراني ماديًا بطريقة لا تستطيع لغة خرق البيانات العادية وصفها. وصل الموظفون إلى أجهزة كمبيوتر معطلة، ورسائل تهديد، وبريد إلكتروني معطل، وسجلات داخلية مكشوفة، ومراسلات مسربة، وبيئة أعمال حيث كان على الشركة أن تقرر ما إذا كانت أنظمتها يمكن الوثوق بها بما يكفي لمواصلة العمل. الاختراق التدميري لا ينتظر مذكرة قانونية لتقرر ما يعتبر ضررًا. إنه يضر بمحطة العمل، والخادم، والمجلد المشترك، والتقويم التجاري، وملف الموارد البشرية، وخطة الإصدار، وعلاقة الشريك، وشعور الموظف بأن صاحب العمل يمكنه حماية السجلات الخاصة.
التحديث العام لمكتب التحقيقات الفيدرالي حول تحقيق Sony علىhttps://www.fbi.gov/news/press-releases/update-on-sony-investigationقال إن المكتب لديه معلومات كافية لاستنتاج أن الحكومة الكورية الشمالية كانت مسؤولة عن الهجوم الإلكتروني ضد Sony Pictures Entertainment. وزارة العدل الأمريكية وصفت لاحقًا هجوم Sony في إعلان اتهامها لعام 2018 لمبرمج مدعوم من نظام كوريا الشمالية علىhttps://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-andوربطت النشاط بمؤامرة أوسع شملت برامج ضارة تدميرية وسرقة بيانات وابتزاز وعمليات إلكترونية أخرى. إعلان عقوبات وزارة الخزانة علىhttps://home.treasury.gov/news/press-releases/sm473وضع هجوم Sony في السجل العام للنشاط الإلكتروني الخبيث لكوريا الشمالية.
تلك السجلات الحكومية مهمة، لكنها لا تستنفد مشكلة المساءلة. الإسناد يجيب على سؤال واحد: من هاجم؟ العملاء والموظفون والشركاء وشركات التأمين والجهات التنظيمية يحتاجون إجابة أخرى: من داخل المؤسسة كانت له السيطرة العملية على الظروف التي جعلت التعافي ممكنًا أو مستحيلاً؟ الهجوم كان خارجيًا. سطح التعافي كان داخليًا. سيطرت Sony Pictures على تصميم نقاط النهاية، وإدارة الوصول المميز، والتجزئة، والنسخ الاحتياطية، واستمرارية البريد الإلكتروني، وإخطار الموظفين، وأولويات إعادة البناء، وأدلة الإصلاح. يمكن لإنفاذ القانون أن ينسب. كان على الشركة أن تتعافى.
الحدث يناسب الموضوعات المعلنة لأتمتة برمجيات المؤسسات، واستمرارية خدمات المؤسسات الصغيرة والمتوسطة، وأتمتة الأمان لأن استوديو الأفلام هو أيضًا مكتب يعتمد على البرمجيات، ومركز شركاء، ومعالج رواتب، وسير عمل إعلامي، ومنسق توزيع. قد يكون شركة ترفيهية كبيرة، لكن العديد من تبعياتها تتصرف مثل تبعيات استمرارية المؤسسات الصغيرة والمتوسطة: عقود البائعين، وشركات الإنتاج، والمكاتب المحلية، وشركاء التسويق، وفرق التوزيع، والموظفون، والمقاولون، والوكالات، وسلاسل توريد السينما جميعها تحتاج إلى اتصالات وسجلات موثوقة. عندما تُمسح محطات العمل والخوادم، تشعر تلك الفرق التابعة بالانقطاع حتى لو لم تر البرامج الضارة.
يظهر السجل العام أيضًا لماذا البرامج الضارة التدميرية هي فئة مختلفة من اختبار المساءلة. تنبيه وكالة الأمن السيبراني وأمن البنية التحتية لعام 2014 حول البرامج الضارة التدميرية المستهدفة علىhttps://www.cisa.gov/news-events/alerts/2014/12/19/ta14-353a-targeted-destructive-malwareحذر من أن البرامج الضارة التدميرية يمكن أن تجعل الأنظمة غير قابلة للتشغيل، وتستبدل سجلات الإقلاع الرئيسية، وتدمر الملفات، وتسبب اضطرابًا تشغيليًا. لم يكن ذلك التقرير تقريرًا خاصًا لـSony، لكنه وصف فئة التحكم التي كشفها الهجوم. الشركة التي تواجه برامج ضارة تدميرية تحتاج أكثر من حظر محيطي. تحتاج إلى مصادر نسخ احتياطي موثوقة، وصور إعادة بناء، واحتواء الوصول المميز، وتعافي مجزأ، وخطة لتقرير ما يمكن أن يعود إلى الإنتاج.
المحفز المرئي كان الاضطراب، لكن القضية الأعمق كانت الثقة في إعادة البناء
وصفت التقارير العامة من تلك الفترة شركة اضطرت إلى حلول بديلة يدوية. نيويورك تايمز علىhttps://www.nytimes.com/2014/12/03/business/media/sony-is-again-target-of-hackers.htmlأبلغت عن الاضطراب والبيانات الداخلية المسربة. إعادة بناء Wired علىhttps://www.wired.com/2014/12/sony-hack-what-we-know/لخصت البرامج الضارة والتسريبات العامة والتهديدات وعدم اليقين. تغطية Reuters علىhttps://www.reuters.com/article/us-sony-cybersecurity-idUSKBN0JR20T20141213وصفت الضغوط التجارية والدبلوماسية حول الحدث. لا ينبغي التعامل مع هذه المصادر الثانوية كأدلة تقنية كاملة. إنها مفيدة لأنها تظهر كيف أصبح هجوم على محطة العمل بسرعة أزمة استمرارية مؤسسية وثقة عامة.
المحفز كان وصولًا تدميريًا إلى الأنظمة المؤسسية. القضية الأعمق كانت الثقة. بعد أن تمسح البرامج الضارة الآلات، وتكشف البيانات، وتظهر الوصول إلى السجلات الداخلية، لا يمكن للمؤسسة ببساطة شراء أجهزة جديدة وإعلان انتهاء الحادث. يجب أن تعرف ما إذا كانت الصور المستخدمة لإعادة البناء نظيفة، وما إذا كانت بيانات اعتماد المسؤول قد تم تدويرها، وما إذا كانت وحدات تحكم المجال وأنظمة الهوية جديرة بالثقة، وما إذا كانت النسخ الاحتياطية تسبق الاختراق، وما إذا كانت الأسرار المشتركة قد كشفت، وما إذا كان الحراك الجانبي محتوى، وما إذا كانت الأنظمة المستعادة ستتصل بالبنية التحتية المعادية.
لهذا السبب يؤطر الملف القضية حول إعادة بناء محطات العمل. إعادة البناء ليست مهمة كتابية. إنها ادعاء أدلة. تقول إن المؤسسة يمكنها تحديد مصدر نظيف، وإعادة التثبيت أو الاستعادة بأمان، وإعادة توصيل الجهاز بشبكة تم فحصها، وإعادة إصدار بيانات الاعتماد، والسماح للمستخدم بالعمل دون إعادة تقديم المهاجم. بالنسبة لاختراق تدميري، جودة إعادة البناء هي جودة الاستمرارية.
دليل المعهد الوطني للمعايير والتقنية للتعافي من أحداث الأمن السيبراني، SP 800-184، علىhttps://csrc.nist.gov/pubs/sp/800/184/finalيعطي مفردات التحكم. يؤكد على تخطيط التعافي، وأولويات الاستعادة، والاتصالات، وتحليل السبب الجذري، والتحسين بعد الحدث. إطار عمل الأمن السيبراني للمعهد علىhttps://www.nist.gov/cyberframeworkيؤطر نفس الحلقة من خلال التحديد والحماية والكشف والاستجابة والتعافي. لا تقول تلك الوثائق ما فعلته Sony Pictures داخليًا في أي يوم معين. إنها تصف المعيار الذي يجب أن يحكم به برنامج التعافي: يجب أن يكون التعافي مخططًا له ومختبرًا وذو أولوية ومُبلغًا عنه ومُحسنًا، وليس مرتجلًا بالكامل أثناء الأزمة.
مشكلة الأدلة البشرية لا تقل أهمية. يحتاج الموظفون إلى إشعار حول البيانات الشخصية المكشوفة ودعم عملي لمخاطر الهوية. يحتاج الشركاء إلى ثقة بأن الاتصالات وخطط التوزيع يمكن أن تستأنف. يحتاج المسؤولون التنفيذيون إلى قناة اتصال قانونية وآمنة. تحتاج فرق تقنية المعلومات إلى سلطة لفصل وإعادة بناء وإعادة إصدار الوصول. كان كائن المساءلة هو نظام الثقة بأكمله، وليس الآلات فقط.
بيانات الموظفين جعلت الهجوم قضية مساءلة صاحب العمل
غالبًا ما يُذكر هجوم Sony Pictures بسبب رسائل البريد الإلكتروني المسربة والجدل حول فيلم "المقابلة". يمكن أن تحجب تلك الذاكرة الثقافية قضية مساءلة صاحب العمل. كشف الحادث معلومات حساسة للموظفين والموظفين السابقين، بما في ذلك سجلات شخصية لم يختر الأشخاص المتأثرون جعلها عامة. الهجوم التدميري الذي يكشف أيضًا سجلات الموظفين يخلق التزامين متوازيين: استعادة الأعمال وحماية الأشخاص الذين وضعت بياناتهم في خطر.
سجل الدعوى الجماعية هو جزء من ملف المساءلة العام. موقع التسوية علىhttps://www.speemployeedatasecuritysettlement.comومواد المحكمة في قضية Corona ضد Sony Pictures Entertainment جعلت عواقب بيانات الموظفين مرئية قانونيًا. لم تثبت التسوية كل ادعاء متنازع عليه كحقيقة، لكنها عكست الواقع العملي بأن الموظفين والموظفين السابقين ادعوا ضررًا من كشف المعلومات الشخصية. تغطية Bloomberg Law علىhttps://news.bloomberglaw.com/privacy-and-data-security/sony-pictures-reaches-settlement-in-data-breach-suitوغيرها من التقارير القانونية وصفت مسار التسوية. بالنسبة لتحليل المساءلة، النقطة ليست المبلغ المالي الدقيق وحده. النقطة هي أن هجومًا مؤسسيًا تدميريًا أصبح قضية خصوصية وحماية للموظفين.
سيطرة صاحب العمل تختلف عن سيطرة العميل. لا يمكن للموظف اختيار نظام الموارد البشرية للشركة، أو خادم ملفات الرواتب، أو أرشيف البريد الإلكتروني، أو صورة محطة العمل. يختار صاحب العمل الاحتفاظ والتجزئة والوصول والتسجيل والتشفير والتواصل بشأن الحوادث. عندما تتسرب سجلات الموظفين، يصبح سؤال المساءلة هو ما إذا كان صاحب العمل قد قلل من حجم البيانات الحساسة المتاحة للمهاجمين، وحماها بشكل متناسب، واكتشف الوصول غير المصرح به بسرعة، ودعم الأشخاص المتأثرين بعد الكشف. قد يجذب الخزي العام للمسؤولين التنفيذيين العناوين الرئيسية، لكن بيانات الموظفين المكشوفة يمكن أن تلحق بالعمال لفترة طويلة بعد انتهاء دورة الأخبار.
سجلات تكافؤ فرص العمل والضرائب والرواتب والمزايا والهجرة وموظفي الإنتاج التي قد يحتفظ بها الاستوديو ليست قابلة للتبديل مع المواد التسويقية. يمكن أن تشمل أرقام الضمان الاجتماعي والرواتب والعقود والمعلومات الطبية أو المتعلقة بالمزايا وجوازات السفر وتفاصيل الخلفية والنزاعات الداخلية والمعلومات العائلية. لا تتطلب الأدلة العامة الادعاء بكل فئة لكل شخص. إنها تدعم نقطة أضيق ولكنها لا تزال خطيرة: الشركة التي تحتفظ ببيانات حساسة للموظفين لديها التزام بهيكلة الوصول بحيث لا يصبح اختراق الشبكة المؤسسية بسهولة كشفًا لسجلات الموظفين.
يجب أن يكون إخطار الموظفين تشغيليًا أيضًا. يحتاج الأشخاص المتأثرون إلى معرفة ما تم كشفه، وما الحماية المقدمة، وأي الوكالات أو الخدمات الاتصال بها، ومدة المراقبة، وما إذا كان صاحب العمل سيساعد إذا ظهر سوء الاستخدام لاحقًا. قد تفي إشعارات الاختراق العامة بالحد الأدنى القانوني، لكنها لا تجيب على سؤال المساءلة الكامل. يحتاج الموظفون إلى عملية دعم دائمة لأن المهاجم يختار توقيت سوء الاستخدام، وليس الشركة.
الإسناد العام لم يلغ الحاجة إلى الإصلاح الداخلي
إسناد الحكومة الأمريكية إلى كوريا الشمالية هو جزء كبير من سجل Sony. تحديث مكتب التحقيقات الفيدرالي علىhttps://www.fbi.gov/news/press-releases/update-on-sony-investigationاستشهد بالتحليل الفني وتداخل البنية التحتية والروابط إلى أنشطة أخرى. شكوى وزارة العدل والوثائق ذات الصلة في 2018 وسعت السجل بادعاءات حول Park Jin Hyok والمتورطين معه. عقوبات الخزانة والتحذيرات اللاحقة للحكومة الأمريكية حول النشاط الإلكتروني الخبيث لكوريا الشمالية، بما في ذلك مادة Hidden Cobra لوكالة الأمن السيبراني وأمن البنية التحتية علىhttps://www.cisa.gov/news-events/alerts/2017/06/13/alert-ta17-164a-hidden-cobra-north-korean-malicious-cyber-activity، ساعدت في تحويل الهجوم إلى مرجع سياسي دائم.
كان ذلك الإسناد مهمًا للردع والعقوبات والدبلوماسية وإنفاذ القانون. كما خلق خطر إزاحة السرد. بمجرد تسمية مهاجم مرتبط بدولة، يمكن أن تبدو المنظمة الضحية متفوقة عليها بشكل فريد. في بعض الأحيان يكون ذلك صحيحًا. لكن وجود مهاجم قادر لا يمحو الأسئلة حول ضوابط المؤسسة. لا يزال يتعين تشغيل البرامج الضارة التدميرية على نقاط النهاية أو الخوادم. لا تزال بيانات الاعتماد المميزة مهمة. لا يزال التجزئة مهمًا. لا تزال النسخ الاحتياطية مهمة. لا يزال التسجيل مهمًا. لا تزال اتصالات التعافي مهمة. يمكن أن تكون العملية المرتبطة بدولة عدوانًا خارجيًا واختبارًا للمرونة الداخلية.
إعلان وزارة العدل لعام 2018 علىhttps://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-andوصف هجوم Sony كجزء من مؤامرة تضمنت التصيد الاحتيالي والبرامج الضارة وسرقة البيانات والنشاط التدميري. سجل الشكوى الجنائية علىhttps://www.justice.gov/opa/press-release/file/1092091/downloadيوفر مزيدًا من التفاصيل حول الادعاءات. تساعد تلك المصادر في شرح طريقة المهاجم، لكنها تظهر أيضًا لماذا مرونة التصيد الاحتيالي، ونظافة بيانات الاعتماد، والتجزئة الإدارية، ومراقبة نقاط النهاية هي جزء من المساءلة المؤسسية. إذا كان المسار الأولي خداعًا أو إساءة استخدام بيانات الاعتماد، فإن التزام التعافي يشمل تقليل القيمة المستقبلية لنفس المسار.
إصدار عقوبات الخزانة علىhttps://home.treasury.gov/news/press-releases/sm473وتحذيرات الأمن السيبراني اللاحقة لكوريا الشمالية علىhttps://www.cisa.gov/news-events/cybersecurity-advisories/aa20-106aيضيف درسًا آخر. يمكن أن يستمر الإسناد العام لسنوات. التعافي المؤسسي، مع ذلك، يجب أن يحدث فورًا. يحتاج الموظفون إلى أنظمة عاملة قبل أن تختتم الدبلوماسية. يحتاج الشركاء إلى قرارات إنتاج قبل رفع لائحة الاتهام. فجوة التوقيت تلك تعني أن قادة المؤسسات لا يمكنهم الاستعانة بمصادر خارجية للاستمرارية لإسناد الحكومة. إنهم بحاجة إلى أدلة التعافي الخاصة بهم بينما تتكشف عمليات الحكومة.
استمرارية الأعمال تضمنت توزيع الأفلام وثقة الشركاء
الجدل حول فيلم "المقابلة" جعل استمرارية أعمال Sony Pictures مرئية للجمهور. الهجوم والتهديدات حول الفيلم أثرت على قرارات الإصدار، ومشاركة دور السينما، والتوزيع الرقمي، والنقاش العام. بيان وزارة الأمن الداخلي الذي أبلغت عنه الوزارة علىhttps://www.dhs.gov/news/2014/12/18/statement-secretary-jeh-c-johnson-security-movie-theatersأكد أنه لا توجد معلومات استخباراتية موثوقة عن مؤامرة نشطة ضد دور السينما في ذلك الوقت. الإصدار الرقمي والمحدود لـSony أظهر أن استمرارية الأعمال لم تكن مسألة تقنية معلومات فقط. كانت مشكلة تنسيق بين الاستوديو ودور السينما والمنصات الرقمية وإنفاذ القانون وشركات التأمين والموظفين والجماهير.
هذا مهم لأن قرارات التعافي السيبراني يمكن أن تصبح قرارات سياسة أعمال. إذا كان البريد الإلكتروني معطلاً، من يمكنه الموافقة على تغييرات التوزيع؟ إذا كانت الأنظمة الداخلية غير موثوقة، كيف تتم مراجعة العقود؟ إذا كانت رسائل التهديد تذكر أماكن مادية، كيف تنسق الشركة مع الحكومة والشركاء دون تضخيم الذعر؟ إذا تم تسريب مواد غير منشورة، كيف تحمي الشركة الملكية الفكرية مع مواصلة العمليات؟ يمكن للهجوم الإلكتروني التدميري أن يفرض قرارات تنفيذية قبل اليقين الجنائي.
التقارير المالية لشركة Sony Corporation أعطت المستثمرين نظرة على مستوى المؤسسة. مواد Sony السنوية والمستثمرية، بما في ذلك التقارير التي يمكن الوصول إليها عبرhttps://www.sony.com/en/SonyInfo/IR/library/ar/وإيداعات هيئة الأوراق المالية والبورصات التي يمكن الوصول إليها عبرhttps://www.sec.gov/edgar/browse/?CIK=313838، وضعت الحادث في سياق مخاطر الأعمال الأوسع. تلك السجلات ليست مذكرات استجابة للحوادث مفصلة. إنها مهمة لأن الشركات العامة يجب أن تترجم الاضطراب السيبراني إلى إفصاح عن المخاطر، والتكلفة، والسياق التشغيلي للمستثمرين.
توجيه الإفصاح عن الأمن السيبراني لهيئة الأوراق المالية والبورصات، الذي ينعكس الآن في صفحة قواعد الأمن السيبراني للهيئة علىhttps://www.sec.gov/intelligence team/speeches-statements/cybersecurity-risk-management-strategy-governance-and-incident-disclosure، يوفر إطارًا آخر للمساءلة. يمكن أن يكون الهجوم التدميري جوهريًا لأنه يؤثر على العمليات والتعرض القانوني وتكلفة المعالجة والسمعة والحوكمة. سبق حادث Sony وضع القواعد اللاحقة للإفصاح في الولايات المتحدة، لكن نفس أسئلة الحوكمة تنطبق: ماذا عرفت القيادة، وكيف أشرفت على التعافي، وما الأدلة التي دعمت البيانات العامة حول تأثير الأعمال؟
ثقة الشركاء تختلف أيضًا عن سمعة العلامة التجارية العادية. موزعو الأفلام وشركاء الإنتاج وممثلو المواهب والوكالات والبائعون وموردو التكنولوجيا يجب أن يشاركوا معلومات سرية مع الاستوديو. إذا اعتقد هؤلاء الشركاء أن الاتصالات الداخلية أو العقود أو خطط الإصدار قد تكون مكشوفة، فقد يغيرون كيفية تعاونهم. لذلك يشمل إصلاح المساءلة تغييرات في العملية التجارية، وليس فقط آلات معاد بناؤها.
النسخ الاحتياطية وصور إعادة البناء هي ضوابط الاستمرارية
البرامج الضارة التدميرية تحول الانتباه من السرية إلى القدرة على التعافي. يمكن لشركة أن تقضي سنوات في تحسين التحكم في الوصول وتفشل إذا لم تستطع إعادة البناء من مصادر موثوقة. صور محطات العمل، ونسخ الخوادم الاحتياطية، ونسخ مخازن الهوية الاحتياطية، وحزم نشر التطبيقات، ومفاتيح التشفير، ومفاتيح التوقيع، ورسومات الشبكة، وقوائم الاتصالات الطارئة، وجهات اتصال البائعين تصبح أصول البقاء. إذا كانت تلك الأصول في متناول نفس المهاجم، فإن النسخ الاحتياطي موجود فقط في المظهر.
تنبيه وكالة الأمن السيبراني وأمن البنية التحتية حول البرامج الضارة التدميرية المستهدفة علىhttps://www.cisa.gov/news-events/alerts/2014/12/19/ta14-353a-targeted-destructive-malwareأوصى بأفضل الممارسات مثل الحفاظ على النسخ الاحتياطية، والتحقق من سلامة النسخ الاحتياطية، واستخدام أقل امتياز، وتجزئة الشبكات، وممارسة خطط الاستجابة للحوادث. قيمة التنبيه هي أنه يصف الضوابط التي يجب أن تكون صحيحة قبل الهجوم. بعد تشغيل برامج المسح، يكون قد فات الأوان لاكتشاف أن النسخ الاحتياطية كانت متصلة بالإنترنت، أو غير مختبرة، أو مشفرة من قبل المهاجم، أو تعتمد على نفس بيانات اعتماد المجال التي تم اختراقها.
دليل المعهد الوطني للمعايير والتقنية SP 800-34 بشأن التخطيط للطوارئ علىhttps://csrc.nist.gov/pubs/sp/800/34/r1/finalو SP 800-184 علىhttps://csrc.nist.gov/pubs/sp/800/184/finalيساعدان في فصل حيازة النسخ الاحتياطي عن القدرة على التعافي. الأول يسأل عما إذا كانت المؤسسة قد خططت لمعالجة بديلة، واستعادة النظام، وإجراءات الاستمرارية. الثاني يركز على التعافي من الأحداث السيبرانية، حيث قد تكون البيئة المستعادة مشبوهة. بالنسبة لـSony Pictures، سيكون سؤال الأدلة هو ما إذا كانت محطات العمل والخوادم المعاد بناؤها جاءت من صور نظيفة، وما إذا كانت مجموعات النسخ الاحتياطي معزولة، وما إذا كانت بيانات الاعتماد قد تم تدويرها قبل إعادة الاتصال، وما إذا كانت الخدمات المستعادة مراقبة بحثًا عن التكرار.
معيار المساءلة المهم ليس "تعافت الشركة في النهاية". إنه "يمكن للشركة شرح كيف قررت أن التعافي آمن". إعادة البناء المتسرعة يمكن أن تعيد تقديم حسابات مخترقة. الصورة الموثوقة جزئيًا يمكن أن تحمل استمرار المهاجم. الشبكة المعاد توصيلها قبل تغييرات التجزئة يمكن أن تستعيد الحراك الجانبي. تدوير كلمة المرور الذي يفقد حسابات الخدمة يمكن أن يترك مسارًا مخفيًا. التعافي الذي يركز على المسؤولين التنفيذيين أولاً قد يترك الموظفين العاديين دون دعم. لكل خيار سبب تجاري، ولكن لكل خيار أيضًا عواقب مخاطرة.
أتمتة الأمان تنتمي هنا لأن التعافي على نطاق واسع لا يمكن أن يعتمد فقط على البطولات اليدوية. كشف نقاط النهاية، وإدارة التكوين، وجرد الأصول، وإدارة الوصول المميز، وتدوير الشهادات والأسرار الآلي، والتحقق من صحة النسخ الاحتياطي، والتسجيل المركزي هي الأدوات التي تسمح للشركة بمعرفة ما تملكه وفي أي حالة هي. الأتمتة لا تزيل الحكم. إنها تخلق قاعدة الأدلة للحكم.
حدود الأدلة هي جزء من التحليل المسؤول
السجل العام كبير، لكنه ليس كاملاً. يشمل إسناد مكتب التحقيقات الفيدرالي، وادعاءات وزارة العدل، وعقوبات الخزانة، وتحذيرات وكالة الأمن السيبراني وأمن البنية التحتية، وتقارير هيئة الأوراق المالية والبورصات وSony المؤسسية، وسجلات التقاضي المدني، والصحافة المكثفة. لا يشمل الصور الجنائية الكاملة لـSony Pictures، أو الاتصالات القانونية المميزة، أو قوائم مهام إعادة البناء الداخلية، أو سجلات إخطار كل موظف، أو كل عقد بائع، أو بنية النسخ الاحتياطي الكاملة. أي تحليل جاد يجب أن يحترم تلك الحدود.
تلك الحدود لا تجعل سؤال المساءلة غير عادل. إنها تجعله دقيقًا. يمكن للأدلة العامة أن تدعم الاستنتاج بأن Sony Pictures واجهت هجومًا إلكترونيًا تدميريًا، وكشفت بيانات داخلية، واضطرت إلى إعادة بناء الأنظمة، وواجهت دعوى قضائية بشأن بيانات الموظفين، وأصبحت جزءًا من سجل إسناد الأمن القومي. لا يمكن للأدلة العامة أن تدعم الادعاء بأن كل ضابط داخلي فشل بطريقة محددة ما لم يذكر المصدر ذلك. الاستنتاج المسؤول يدور حول فئات التحكم التي وضعها الحادث تحت الاختبار.
التعليقات العامة لـMandiant على الهجمات التدميرية وسلوك المهاجم، بما في ذلك الموارد علىhttps://www.mandiant.com/resources/blogوتقارير الاستجابة للحوادث الأوسع من شركات مثل CrowdStrike علىhttps://www.crowdstrike.com/en-us/cybersecurity-101/malware/wiper-malware/، يمكن أن توفر سياقًا تقنيًا، لكن لا ينبغي قراءتها بشكل مفرط كتدقيق خاص لـSony. برامج المسح هي فئة معروفة من التهديدات التشغيلية. أصبح هجوم Sony مثالًا عامًا لأن الآثار التجارية والدبلوماسية والموظفية والإعلامية ظهرت جميعها في وقت واحد.
نفس الحذر ينطبق على الصحافة. Wired وReuters ونيويورك تايمز وغيرها من المنافذ وثقت القوس العام، لكنها لم تكن تدير بيئة التعافي لـSony. قيمتها هي إظهار كيف تم تجربة الحادث والإبلاغ عنه. يجب أن يستخدم تحليل المساءلة للتأثير العام والتسلسل الزمني، مع الاعتماد على السجلات الحكومية والقضائية للإسناد والعواقب القانونية حيثما أمكن.
ما الأدلة التي ستغلق القضية
الأدلة التي ستغلق القضية ستشمل سجل إعادة بناء نظيف لفئات محطات العمل والخوادم المتضررة، وجرد إعادة تعيين الوصول المميز، وسجل مراجعة الحسابات الإدارية وحسابات الخدمة، وتقييم عزل النسخ الاحتياطية، وتحليل وقت التعافي ونقطة التعافي، وخطة تحسين ما بعد الحادث مرتبطة بأسماء المالكين والمواعيد النهائية. ستشمل أدلة إخطار الموظفين، ومدة الدعم، وخدمات حماية الهوية، وسجلات كيفية التعامل مع الضرر المكتشف لاحقًا. ستشمل خطط اتصال الشركاء للإنتاج السري، وقرارات التوزيع، ووصول البائعين. ستشمل إشراف مجلس الإدارة على المعالجة وطريقة للتحقق من تقليل التعرض المتكرر.
بعض تلك الأدلة ربما كانت موجودة بشكل خاص. لا يمكن للقراء العامين افتراض أنها كانت أو لم تكن. نقطة المساءلة هي أن الهجمات التدميرية تتطلب هذه الأدلة لأن نموذج الضرر أوسع من سرقة البيانات. يمكن لبرنامج المسح تدمير الأنظمة. يمكن للتسريب إيذاء الأشخاص. يمكن للتهديدات إعادة تشكيل قرارات الأعمال. عدم اليقين في إعادة البناء يمكن أن يبطئ التعافي. يمكن أن يستغرق الإسناد شهورًا أو سنوات. يجب على الشركة العمل عبر كل تلك الطبقات.
أفضل أدلة التعافي ستفصل أيضًا الاحتواء الفوري عن الحوكمة الدائمة. يسأل الاحتواء الفوري عما إذا كان المهاجم لا يزال نشطًا، وما إذا كانت الأنظمة معزولة، وما إذا كان الموظفون يمكنهم العمل، وما إذا كان إنفاذ القانون قد شارك. تسأل الحوكمة الدائمة عما إذا كان تصميم الوصول قد تغير، وما إذا كانت النسخ الاحتياطية أكثر أمانًا، وما إذا كانت ضوابط نقاط النهاية قد تحسنت، وما إذا كانت قنوات الاتصالات مرنة، وما إذا كانت عمليات الدعم القانوني والموارد البشرية جاهزة، وما إذا كانت القيادة قد تدربت على اتخاذ القرار في ظل عدم اليقين. كلاهما مهم. فقط الثاني يقلل من التعرض المتكرر.
ملكية التحكم أهم من التعافي البطولي
غالبًا ما تُروى قضية Sony Pictures كقصة درامية لشركة تحت الهجوم. تلك القصة دقيقة بمعنى ما، لكنها يمكن أن تخفي قضية المساءلة الأكثر هدوءًا: من هم مالكو التحكم الذين كانت لديهم السلطة قبل الأزمة؟ تكشف الأحداث التدميرية عما إذا كانت مسؤولية الأمان موزعة كنظام يعمل أم مبعثرة عبر فرق لا يمكنها فرض الأولويات إلا بعد حدوث الضرر. قد تمتلك فرق نقاط النهاية صور محطات العمل. قد تمتلك فرق البنية التحتية الخوادم. قد تمتلك فرق الهوية خدمات الدليل. قد تمتلك الفرق القانونية الإخطار. قد تمتلك الموارد البشرية سجلات الموظفين. قد يمتلك المسؤولون التنفيذيون قرارات الإصدار. قد يمتلك الأمان الكشف والاستجابة.
إذا كانت خطوط الملكية تلك غير واضحة قبل الهجوم، فإن الأيام الأولى من التعافي تصبح بحثًا عن السلطة بقدر ما هي استجابة تقنية.
تقرر ملكية التحكم أيضًا ما إذا كانت المخاطر المعروفة تتلقى ميزانية. سيناريو البرامج الضارة التدميرية ليس غريبًا من حيث التحكم. إنه يطرح أسئلة عادية لكنها مكلفة.
هل النسخ الاحتياطية معزولة عن اختراق المجال؟ هل صور محطات العمل محفوظة ومختبرة؟ هل الحسابات الإدارية منفصلة عن حسابات المستخدمين العاديين؟ هل كلمات مرور حسابات الخدمة مدورة وقابلة للاكتشاف من قبل الأشخاص المناسبين؟ هل السجلات محفوظة خارج البيئة المتضررة؟ هل اتصالات الطوارئ متاحة عندما يكون البريد الإلكتروني معطلاً؟ هل مخازن بيانات الموظفين مشفرة ومجزأة عن مشاركات الملفات العامة؟ هل يُطلب من مالكي الأعمال تصنيف سجلات الإنتاج والموظفين شديدة الحساسية؟ لكل سؤال تكلفة قبل الحادث وتكلفة أعلى بكثير بعد الحادث.
لا يمكن للمؤسسة المسؤولة أن تعتمد على فكرة أن المستجيبين للحوادث سيرتجلون حول كل تحكم مفقود. سيرتجلون، لأن الاستجابة للحوادث تتطلب دائمًا الحكم، لكن الحكم ليس بديلاً عن ركيزة تعافي مُعدة. فريق إعادة بناء مع جرد أصول حالي يمكنه تحديد أولويات الأنظمة المتضررة. فريق إعادة بناء بدون جرد يجب أن يسأل الموظفين عما هو مفقود. فريق أمان مع سجلات مركزية يمكنه اختبار ما إذا كانت بيانات الاعتماد قد استخدمت بعد الاختراق. فريق بدون سجلات يجب أن يتواصل مع عدم اليقين. فريق موارد بشرية مع تقليل البيانات يمكنه تحديد نطاق تعرض الموظفين.
فريق احتفظ بسنوات من السجلات الحساسة في مخازن يمكن الوصول إليها على نطاق واسع يجب أن يخطر المزيد من الأشخاص ويدعم المزيد من المخاطر طويلة الأجل.
هذا هو المكان الذي تصبح فيه أتمتة برمجيات المؤسسات قضية حوكمة. يجب أن تجعل إدارة التكوين حالة محطة العمل قابلة للقراءة. يجب أن تظهر إدارة نقاط النهاية الأنظمة التي تم مسحها أو إعادة بنائها أو عزلها أو تنظيفها. يجب أن تسمح أتمتة الهوية بإبطال بيانات الاعتماد في حالات الطوارئ دون كسر كل عملية تجارية بشكل أعمى. يجب أن تبلغ أنظمة النسخ الاحتياطي عن نتائج اختبار الاستعادة، وليس فقط نجاح مهمة النسخ الاحتياطي. يجب أن تحافظ أنظمة التذاكر والتغيير على القرارات المتخذة تحت الضغط. الأتمتة ليست جذابة لأنها حديثة. إنها ضرورية لأن الهجمات التدميرية تخلق أجزاء متحركة أكثر مما يمكن للتتبع اليدوي البقاء موثوقًا به.
نموذج مالك التحكم مهم أيضًا لإشراف مجلس الإدارة. لا يحتاج مجلس الإدارة إلى معرفة كل مؤشر برامج ضارة، لكن يجب أن يعرف ما إذا كانت الشركة قد اختبرت التعافي من الأحداث التدميرية، وما إذا كان تعرض بيانات الموظفين قد تم تعيينه، وما إذا كانت النسخ الاحتياطية معزولة، وما إذا كانت أنظمة الهوية يمكن إعادة بنائها، وما إذا كانت الاتصالات العامة يمكن أن تستمر إذا فشلت القنوات العادية. بعد هجوم تدميري، لا ينبغي أن تقتصر أسئلة مجلس الإدارة على التعرض القانوني والعلاقات العامة. يجب أن تسأل ما الأدلة التي تظهر أن إعادة البناء التالية ستكون أسرع وأنظف وأقل اعتمادًا على الحظ.
الأشخاص المكشوفة بياناتهم كانوا جزءًا من التعافي، وليس قضية جانبية
يجب معاملة حماية الموظفين والمقاولين كتيار عمل تعافي، وليس كفكرة لاحقة قانونية. في حادث مؤسسي تدميري، يمكن لاستعادة تقنية المعلومات أن تستهلك انتباه الإدارة لأن الشركة لا يمكنها العمل بدون أنظمة. لكن الأشخاص المكشوفة بياناتهم هم أيضًا جزء من سطح استمرارية الأعمال. إذا كان الموظفون قلقين بشأن سرقة الهوية، أو المعلومات الشخصية المسربة، أو المراسلات الخاصة، أو الضرر بالسمعة، فإن الشركة لم تتعافى بالكامل حتى عند تشغيل أجهزة الكمبيوتر المحمولة.
أظهر حادث Sony Pictures كيف يمكن للتسريبات العامة تحويل بيانات مكان العمل الخاصة إلى مشهد عام. يمكن أن يشوه ذلك المشهد العام المساءلة. قد يركز الغرباء على رسائل البريد الإلكتروني المحرجة، أو نزاعات المشاهير، أو الجدل السياسي، بينما يعاني الموظفون المتأثرون من مشكلة أكثر أساسية: صاحب عملهم احتفظ بمعلومات عنهم، وحصل المهاجمون على بعضها، وجعل التداول العام من الصعب احتواء الضرر. واجب صاحب العمل لا يقتصر على تقليل الانتباه الصحفي. يشمل إخطارًا واضحًا، ودعمًا يمكن الوصول إليه، وحماية للهوية حيثما كان ذلك مناسبًا، وتواصلًا داخليًا يتجنب اللوم، واستعدادًا لمساعدة الأشخاص في التعامل مع العواقب التي تظهر لاحقًا.
يجب أن يأخذ دعم الموظفين أيضًا في الاعتبار الموظفين السابقين والمقاولين. الهجمات التدميرية لا تحترم حدود الرواتب الحالية. إذا بقيت سجلات الموظفين المؤرشفة متاحة، فقد يشمل السكان المكشوفون أشخاصًا لم يعد لديهم بيانات اعتماد الشركة، ولم يعدوا يتلقون رسائل داخلية، وقد لا يثقون في تواصل صاحب العمل السابق. يجب أن تجدهم الاستجابة الناضجة، وتشرح الكشف، وتقدم الدعم دون افتراض الوصول إلى مكان العمل الحالي. هذا اختبار عملي لسياسة الاحتفاظ بالبيانات. أسهل سجل لإخطاره هو الموظف النشط في الدليل الحالي. السؤال الأصعب والأكثر أهمية هو لماذا بقي سجل حساس لموظف سابق في متناول اليد في البيئة المخترقة وكيف سيتم حمايته أو حذفه في المستقبل.
يجب على الشركة أيضًا حماية العمال الذين يساعدون في التعافي. غالبًا ما تتطلب الاستجابة للحوادث بعد البرامج الضارة التدميرية ساعات طويلة وضغطًا عاليًا ومعلومات غير مؤكدة. قد يتخذ المهندسون وموظفو مكتب المساعدة والموارد البشرية والمحامون وموظفو الاتصالات ومديرو الأعمال قرارات مصيرية بمعلومات غير كاملة. المساءلة لا تعني التظاهر بأن التعافي يمكن أن يكون هادئًا ومثاليًا. إنها تعني تصميم الإجراءات بحيث لا يُجبر الأشخاص المضغوطون على اختراع كل ضمانة في الوقت الفعلي. حقوق القرار الواضحة، وقنوات التصعيد، وأدوات الاتصال النظيفة، والافتراضات الموثقة تقلل من الضرر التقني والبشري على حد سواء.
تغير تلك النظرة التي تركز على الأشخاص كيفية قياس النجاح. إعادة البناء الناجحة ليست مجرد وحدة تحكم مجال مستعادة ومجموعة من أجهزة الكمبيوتر المحمولة المعاد تصويرها. إنها أيضًا قوة عاملة تعرف ما حدث، وما هو الدعم الموجود، وما هي الأنظمة الآمنة للاستخدام، وما البيانات التي قد تكون مكشوفة، وكيف يتم اتخاذ القرارات. يجب أن تشمل أدلة التعافي تلك القطع الأثرية الموجهة للإنسان. إذا لم تستطع الشركة شرح الحادث لموظفيها بدقة وتواضع، فمن غير المرجح أن تشرحه جيدًا للشركاء والجمهور.
الاختراقات التدميرية تضغط وقت الحوكمة
تفترض حوكمة المؤسسات العادية تسلسلًا: تقييم المخاطر، اقتراح الضوابط، تخصيص الميزانية، التنفيذ، الاختبار، المراجعة. الاختراق التدميري يضغط ذلك التسلسل إلى أيام. يجب على القادة أن يقرروا أي الأنظمة تعود أولاً، وماذا يقولون للموظفين، وما إذا كانوا يؤجلون الإصدارات، وما إذا كانوا يشركون إنفاذ القانون علنًا، وكيف يحافظون على الأدلة، وكيف يتواصلون مع الشركاء، وكيف يديرون التهديدات التي قد تكون تقنية جزئيًا ومادية جزئيًا. سرعة تلك القرارات لا تخفض معيار المساءلة. إنها ترفع قيمة الإعداد المسبق.
قضية Sony Pictures تظهر لماذا يجب أن تتضمن خطط استمرارية الأعمال سيناريوهات سيبرانية فوضوية وعامة وعدائية. يفترض تدريب الحريق أن المبنى غير متاح. يجب أن يفترض تمرين الحدث السيبراني التدميري أن البريد الإلكتروني غير متاح، وبعض النسخ الاحتياطية مشبوهة، وبيانات الاعتماد مخترقة، والرسائل الداخلية قد تتسرب، وقد تظهر تهديدات عامة، وتحتاج الفرق القانونية والموارد البشرية والأمن والإنتاج والتوزيع والتنفيذية إلى التصرف في وقت واحد.
يجب أن يشمل ذلك التمرين الأسئلة غير المريحة: من يمكنه الموافقة على خطة إصدار بديلة، ومن يمكنه التحدث إلى الموظفين، ومن يوافق على إعادة اتصال النظام، ومن يتحقق من الصور النظيفة، ومن يتصل بإنفاذ القانون، ومن يحمي تفاصيل التحقيق المميزة، ومن يتتبع القرارات للمراجعة لاحقًا؟
يجب أن يأخذ تخطيط الاستمرارية أيضًا في الاعتبار العلاقات التجارية التي ليست تحت القيادة المباشرة للشركة. يمكن للاستوديو إعادة بناء محطات العمل الخاصة به، لكن لا يمكنه استعادة الثقة بشكل أحادي بين دور السينما والمنصات الرقمية والمواهب والوكالات والبائعين وشركات التأمين والجماهير. يحتاج هؤلاء الشركاء إلى معلومات دقيقة وفي الوقت المناسب. الكثير من التفاصيل يمكن أن يخلق خطرًا أمنيًا. القليل جدًا من التفاصيل يمكن أن يخلق عدم ثقة. الموقف المسؤول هو التواصل بما هو معروف، وما هو غير مؤكد، وما هو الإجراء المطلوب، وما هي الأدلة التي ستتبع.
لهذا السبب فإن سجل التعافي مهم لفترة طويلة بعد عودة الأنظمة. سيطرح الشركاء وشركات التأمين والجهات التنظيمية والموظفون والمسؤولون التنفيذيون في المستقبل أسئلة حول ما إذا كانت المنظمة قد تعلمت. لن يكونوا راضين عن حقيقة أن الاستوديو نجا. البقاء هو الحد الأدنى. دليل التعلم هو بيئة تحكم متغيرة، وتعافي مختبر، واحتفاظ بالبيانات أكثر وضوحًا، وحوكمة هوية أقوى، ورؤية أفضل لنقاط النهاية، وتمارين قرار تعكس الضغط الفعلي للحدث التدميري.
يجب أن يحافظ سجل التعافي أيضًا على القرارات المرفوضة. أثناء الحادث التدميري، قد يقرر القادة عدم إعادة توصيل نظام، وعدم استخدام نسخة احتياطية، وعدم إرسال رسالة، وعدم إصدار فيلم من خلال قناة واحدة، أو عدم الكشف عن تفاصيل تقنية. من السهل فقدان تلك القرارات السلبية لأنها لا تخلق منتجات عمل مرئية. ومع ذلك فهي ضرورية للمساءلة. إنها تظهر ما هي المخاطر التي تم النظر فيها، وما هي الأدلة المتاحة، ولماذا تم اختيار مسار على آخر. لا يمكن للمراجعة المستقبلية أن تحكم بشكل عادل على الاستجابة إذا رأت فقط الإجراء النهائي ولا شيء من عدم اليقين الذي أحاط به.
ذلك الانضباط يحمي المنظمة وكذلك الأشخاص المتأثرين. يمكن لمسار القرار الموثق أن يظهر أن القيادة وازنت بين السلامة، وحفظ الأدلة، ودعم الموظفين، والتزامات الشركاء، واستمرارية الأعمال تحت ضغط حقيقي. يمكن أن يظهر أيضًا أين فشلت الافتراضات. الهجمات التدميرية نادرة بما يكفي لأن معظم الشركات لن يكون لديها خبرة عملية عميقة قبل أول حدث كبير. إنهم بحاجة إلى سجل حدث واحد لتحسين التمرين التالي، والعقد التالي، وبنية النسخ الاحتياطي التالية، وكتيب إخطار الموظف التالي.
يجب أن يشمل مسار القرار قرارات التبعية، وليس فقط الإجراءات الأمنية. قد يعتمد الاستوديو على مستشارين خارجيين، وشركات الطب الشرعي، والخدمات السحابية، وبائعي الرواتب، وبائعي الإنتاج، وشركاء التوزيع، وشركات التأمين، ومستشاري العلاقات العامة أثناء الحادث التدميري. كل تبعية يمكن أن تسرع التعافي أو تخلق فجوة أدلة أخرى. إذا كان البائع يحتفظ بسجلات الموظفين، أو يساعد في إعادة بناء الأنظمة، أو يستضيف أدوات التعاون، أو ينقل اتصالات الشركاء، تحتاج المنظمة إلى معرفة أي السجلات تحركت، وأي الامتيازات منحت، وكيف تم إلغاء تلك الامتيازات، وما السجلات التي تثبت أن عمل البائع كان محدودًا. لذلك تمتد مساءلة التعافي إلى المشتريات الطارئة والإشراف على البائعين.
أسوأ وقت لاكتشاف حقوق الأدلة التعاقدية المفقودة هو بعد تلف الأنظمة بالفعل.
حكم المساءلة
هجوم Sony Pictures الإلكتروني التدميري في 2014 هو قضية مساءلة لأن الهجوم أجبر الشركة على إثبات أنها تستطيع استعادة الثقة، وليس فقط استبدال الآلات. ربما كان المهاجم خارجيًا ومرتبطًا بدولة، لكن أدلة التعافي كانت مملوكة للمؤسسة. كان لدى Sony Pictures السيطرة العملية على تعزيز نقاط النهاية، والوصول المميز، وعزل النسخ الاحتياطية، وإعادة بناء محطات العمل والخوادم، وإخطار الموظفين، وقرارات استمرارية الأعمال، والتواصل مع الشركاء، والدليل على أن البيئة المعاد بناؤها كانت أكثر مرونة من تلك التي تضررت.
الدرس الأوسع غير مريح لكنه مفيد. الهجمات التدميرية تزيل المسافة بين الأمن السيبراني، والموارد البشرية، والعملية القانونية، والإفصاح للمستثمرين، وقرارات الأعمال المادية، والاتصالات العامة. الشركة التي تحتفظ بسجلات حساسة للموظفين وملكية فكرية قيمة لا يمكنها معالجة إعادة بناء نقاط النهاية كسباكة خلفية. إعادة البناء هي أدوات مساءلة. إنها تظهر ما إذا كانت المنظمة تعرف ما تملكه، وأي المصادر تثق بها، وأي بيانات الاعتماد أبطلتها، وأي الأشخاص يجب أن تحميهم، وما الأدلة التي تدعم العودة إلى العمليات العادية.
سجل الإسناد العام مهم. يخبر العالم شيئًا عن من هاجم. سجل التعافي مهم بنفس القدر. يخبر الموظفين والشركاء والعملاء والمستثمرين ما إذا كانت المنظمة قد تعلمت كيفية تحمل الاختراق التدميري التالي. ذلك هو اختبار المساءلة الذي جعلته Sony Pictures مرئيًا.

