De reactie op de Sony hack 'is ontzettend dom'

Het is een grote dag voor het nieuws omtrent de Sony hack.

Eerst maakten grote filmketens bekend dat ze The Interview niet zouden screenen na een niet-specifieke geweldsbedreiging van de Guardians of Peace, het hackerscollectief dat Sony aanviel. Vervolgens kondigde ​het bedrijf aan dat ze de film helemaal zouden schrappen. En nu​ meldt de Amerikaanse overheid dat het waarschijnlijk toch echt Noord-Koreais die achter de aanval zit.

Dus ja, grote dag.

Om de hele situatie wat beter te begrijpen, belde ik Peter W. Singer, een van de meest gerespecteerde expert op het gebied van cyberbeveiliging en cyberoorlog in Amerika, om naar zijn mening te vragen. Singer is de auteur van Cybersecurity and Cyberwar: What Everyone Needs to KnowenWired for Waren is een strategist voor de New America Foundation.

Motherboard: Laat ik met de deur in huis vallen— zijn deze hackers terroristen? Zijn ze cyberterroristen?

Peter W. Singer:  Er zitten nu twee kanten aan het verhaal. Je hebt de definitie van terrorisme en de reactie die daar op volgt, welke in dit geval een combinatie is geweest van zowel smakeloos als bemoedigend voor toekomstige daden.

Het eerste is wat we al wisten. Sony heeft de gebeurtenissen gelabeld als cyberterrorisme en​ verschillende media hebben het ook zo beschreven. De werkelijkheid is dat als je scripts online worden gepost, het niet perse een terroristische daad constitueert. De FBI beschrijft het als 'een daad die resulteert in geweld'. Het verliezen van het script van de volgende James Bond-film is niet hetzelfde als een daadwerkelijke geweldsdaad.

Wat er met Sony gebeurd is, omvat niet eens de definitie. Ze zeggen 'Dit is een oorlogsverklaring.' Maar we gaan over deze actie geen oorlog voeren met Noord-Korea alleen omdat Angelina Jolie nu toevallig boos is op een Sony directeur. Oorlogsdaden hebben een andere standaard.

Ongelofelijk dom dekt niet eens de lading van waar we hier mee te maken hebben.

En dan hebben we nog de daadwerkelijke geweldbedreigingen.

De groep dreigde gisteren inderdaad met ernstige incidenten bij elk film theater waar de film vertoond zou worden. Maar we moeten leren om bedreigingen en de bekwaamheid om de bedreigingen uit te voeren uit elkaar te halen - de mogelijkheid om wat roddel e-mails te jatten van een niet geweldig beschermd computer netwerk is op geen enkele manier te vergelijken met het uitvoeren van een fysieke, "9/11-achtige" aanval op 18,000 locaties tegelijkertijd. Ik kan niet geloven dat ik dit zeg. Ik kan niet geloven dat ik dit hoef te zeggen.

Deze groep heeft niet het vermogen laten zien om daartoe in staat te zijn. Sony betreurt nu elke link die het had met de film, maar dit is niet 9/11. Hebben filmketens überhaupt wel gekeken naar de realiteit van deze bedreiging? Of hebben de bioscopen direct ingegeven? Dit is voorbij de wildste dromen van deze aanvallers.

Ik sprak gisteren met Bruce Schneier, en hij zei dat Sony de slachtofferrol speelt. Heeft Sony een jammerlijke gebeurtenis genomen en het verandert in een internationaal incident?

Deze hele situatie is nu een voorbeeld van hoe je niet moet reageren op cyberbedreigingen en een voorbeeld van hoe je dus niet je netwerk moet verdedigen. We weten nu allemaal hoe je vooral niet moet reageren op terroristische dreigingen.

Want hiermee hebben we in feite aan iedere potentiële aanvaller verteld dat we alles doen wat ze willen.

Dat is echt verbijsterend voor mij, vooral als je het vergelijkt met alles dat er daadwerkelijk is gebeurd. Iemand vermoordde 12 mensen en schoot er nog eens 70 neer bij de openingsavond van Batman: The Dark Knight [Rises]. Die film bleef wel in de bioscopen. Maar als je een anonieme cyberbedreiging uit die je onmogelijk kan uitvoeren? Dan halen we meteen een film uit alle 18.000 bioscopen.

Vanaf het begin hebben zowel Sony als de rest van de media deze hack, die wordt omschreven als een omvangrijke maar ook een redelijk standaard hack, gebruikt om iedereen verschrikkelijk bang te maken. Wat is hier volgens jou gebeurd?

De aanvallers begrepen de Amerikaanse psyche enorm goed. Dit was slechts een hack, maar noem het 'cyber' en 'terrrorisme' en Amerika wordt gek. Er is geen andere manier om het te omschrijven.

Schneier suggereerde dat Sony besloot het cyberterrorisme te noemen om het erger te laten lijken dan het is - waardoor het bedrijf weerloos leek. Doen de mensen in de top van Sony dit om hun baan te redden?

Ja. Je wilt niet in de categorie 'blame the victim' vallen maar Sony heeft al eerder hacks gehad. ​Het werd in 2005 ook al eens gehackt en iedereen mailt daar nog alsof het 1997 is.

Naast dat alles worden zelfs bedrijven met de beste cyberbeveiliging in de wereld wel eens gekraakt. JP Morgan, het Amerikaanse leger, het Witte Huis. De werkelijkheid is dat we de keuze hebben tussen of allemaal helemaal gek te worden, of een mentaliteit te kiezen die veel succesvoller is, en die focust op weerbaarheid.

Je moet nu eenmaal accepteren dat er slechte dingen kunnen gebeuren, maar dat je er doorheen komt. Het gaat om snel weer op je voeten staan als je neergeslagen bent, want dat haalt de drijfveer bij de aanvaller weg.

Je reactie kan zijn 'Oké, ik geef op', of 'Nee, we laten deze film gewoon zien.'

Wat denk je van het idee om de film gewoon nu direct online uit te brengen. Of is dat te makkelijk in jouw ogen?

Nee, ik denk het niet. Maar gezien ​Sony's standpunt is ten opzichte van piraterij, zou het Sony wel in een geweldig interessante positie brengen als het simpelweg zou zeggen: 'Dit is waar we al die jaren voor gevochten hebben, maar ach, hier is de film.'

Maar de film zou moeten uitkomen.

Het probleem is: als je de film niet vrijgeeft, dan kan verder niks. Dat is waar ze momenteel zitten. Ze denken misschien dat ze hiermee hun verliezen beperken door in te geven, maar ze zetten een verschrikkelijke traditie neer die elk ander bedrijf minder veilig zal maken in de toekomst.

Dus we weten niet zeker of het Noord-Korea was of niet. Maar wat denk jij? En maakt het überhaupt uit?

De slachtoffers willen altijd weten wie het heeft gedaan. Tot zover wijst de informatie naar Noord-Koreaanse proxy groepen, maar dat is vooral gebaseerd op context. Het zou niet genoeg zijn in de rechtszaal. De context combineert het feit dat ze pissig zijn op de film met het feit dat er bepaalde technieken in de hack zijn gebruikt die vergelijkbaar zijn met andere aanvallen die gelinkt worden aan Noord-Korea. Dit is al genoeg bewijs voor de meeste mensen.

Maar, maakt het uit? 

Het gaat op veel manieren voorbij aan het punt. Ook al zou Noord Korea naar voren stappen en trots zeggen, 'Wij hebben het gedaan,' wat gaat Sony dan doen? Noord-Korea aanklagen?

De overheid zou moeten helpen om dit bedrijf te beschermen en om hacks in de toekomst te voorkomen, maar als we het hebben over het straffen van Noord-Korea zijn er niet veel opties? Dit is geen oorlogsverklaring. Het is gewoon heel vervelend voor Sony.

We zijn geen oorlog met Noord-Korea begonnen toen ze in de jaren 70 Amerikaanse soldaten met bijlen vermoordden. We gingen niet op oorlogspad naar Noord-Korea toen ze​ raketten op onze bondgenoten afvuurden. Het werd geen oorlog met Noord Korea toen een van hun schepen ​beschoot een torpedo af te vuren op het schip van onze bondgenoten. Nu ga je mij vertellen dat er nu wel een oorlog komt omdat een Sony-directeur Angelina Jolie een diva noemde? Gaat niet gebeuren.