28/06/2011 09:02

Bài học cay đắng cho Sony

"Vụ" PSN (PlayStation Network) vừa qua khiến cho Sony chao đảo. Dù đã kiểm soát được tình thế, nhưng có lẽ đây sẽ là bài học xương máu không chỉ dành riêng cho Sony, mà còn cho cả những doanh nghiệp khác đang hướng lên "đám mây" hoặc đang kinh doanh trên mây.

Lãnh đạo Sony cúi đầu xin lỗi người dùng vào ngày 1/5 vừa qua tại Nhật.

25 ngày là số ngày mà hệ thống PSN của Sony bị sập do hàng loạt cuộc công kích của tin tặc. Và theo tạp chí Edge, có 5 bài học mà Sony nhận được qua sự cố này.

1. Thực chất PSN chỉ là mớ lộn xộn

Cách nay 1 năm, Sony đã lập ra một bộ phận trực tuyến để quản lý, kết nối các sản phẩm, dịch vụ khác nhau của họ về 1 mối như dòng sản phẩm Bravia, dòng sản phẩm PlayStation... Do vậy, trên khía cạnh người dùng, chúng ta dễ nhìn thấy Sony có nhiều bộ phận tách biệt hoàn toàn với nhau cho dù có chung một thương hiệu.

Trong khi Microsoft phải mất nhiều năm để tạo dựng nên Xbox Live trong điều kiện họ có rất nhiều kinh nghiệm về các giải pháp mạng thì PSN của Sony chỉ là tấm gương phản chiếu của mỗi mình Sony. Mỗi tính năng có một thương hiệu riêng thì được dành cho một biểu tượng trên thanh giao diện XMB trên console của họ. Còn nói về việc cập nhật game qua PSN so với Xbox Live thì Microsoft chỉ là kẻ về nhì nhưng bất kỳ game thủ nào cũng nhận thấy rằng trải nghiệm khi chơi game qua PSN của Sony không thể bằng Xbox Live của Microsft.

Theo một chuyên gia, hệ thống nền của PSN chạy đến 50 chương trình khác nhau và điều này khiến cho hệ thống rất dễ gặp lỗ hổng bảo mật. Vì bất kỳ kỹ sư máy tính nào cũng có thể chỉ ra được đâu là một hệ thống bảo mật tốt và đâu là hệ thống dễ gặp rủi ro.

2. Sony phản ứng chậm

Đầu tiên, người ta "ghét" Sony vì cảnh báo người dùng rằng dữ liệu cá nhân của họ bị tiết lộ, và cách lý giải của Sony khá hợp lý, rằng họ đang tích cực làm việc để nhận diện tổn hại. Tuy nhiên, đó chỉ đơn giản là lời cảnh báo mà thôi. Khi George "GeoHot" Lotz công bố khoá root để bẻ khoá PS3 lên mạng hồi tháng 12 năm ngoái, Sony nói rằng họ sẽ sửa lỗi này bằng các bản cập nhật qua mạng.

Nhưng mọi bản cập nhật đó chỉ ngăn tin tặc không truy cập được vào PSN mà thôi. Ngay lập tức, tin tặc chú ý đến PSN, trong khi Sony vẫn không có động thái gì cải thiện bảo mật. Sony chẳng làm gì khi nhóm tin tặc xưng danh là Anonymous đưa PSN vào tầm ngắm và cũng chẳng làm gì khi một loạt cuộc tấn công từ chối dịch vụ (DDoS) đánh sập PSN hết cả 1 ngày.

Và có vẻ như nguồn lực dành cho mảng bảo mật trong chính nội bộ Sony chưa đủ sức. Khi cuộc tấn công đầu tiên bắt đầu vào ngày 12/4, bộ phận an toàn thông tin của Sony lại không sớm nhận biết được mà đến tận 19/4 họ mới biết nhờ... người dùng phản ánh. Sony phải mất 6 ngày cộng thêm hợp tác với 3 công ty bảo mật từ bên ngoài mới có thể xác định được dữ liệu người dùng bị lấy cắp.

3. Thương mại điện tử (e-commerce) chưa an toàn như mong đợi

Sony làm đúng khi xử lý dữ liệu thẻ tín dụng của người dùng. Họ lưu dữ liệu được mã hoá, có mã bảo mật CVV không chứa trên máy chủ của họ và Sony khẳng định rằng họ không thấy một bằng chứng gì về việc trộm cắp. Dù vậy, điều này khiến chúng ta nghĩ lại về tính sẵn sàng của hệ thống khi chúng ta vứt mọi thông tin cá nhân lên mạng.

Sử dụng cùng một mật khẩu cho nhiều trang web khác nhau có thể là vấn đề trong trường hợp của Sony. Và Sony có thể tham khảo thêm cách làm của Microsoft là thêm phương thức thanh toán qua PayPal. Rõ ràng cách tiếp cận này cũng giúp Microsoft mở rộng thị trường của họ lên rất nhiều, nhất là với những khu vực hoặc người dùng không sử dụng thẻ tín dụng.

Các nhà làm luật ở Mỹ và Úc đang xem xét dự luật đảm bảo cho người dùng được thông báo chính xác khi dữ liệu của họ bị rò rỉ, và Sony cũng đang kêu gọi đưa ra các mức xử lý thích đáng hơn đối với tin tặc.

4. Sony mất nhiều thứ hơn là dữ liệu

Sony còn mất đi sự tín nhiệm của người dùng. Vào ngày 1/5 vừa qua, CIO của Sony, ông Shinji Hasejima thú nhận rằng lỗ hổng bảo mật mà Sony bị tấn công không phải là lỗ hổng mới nhưng Sony không nhận ra kẽ hở này. Ngoài ra còn một lỗ hổng khác cho phép kẻ cắp tải game PSN về, sử dụng thông tin thẻ tín dụng giả mạo và lỗi này cũng không phải mới. Tuy nhiên, do thái độ chủ quan khi cho rằng PS3 không thể bẻ khoá được nên Sony đã bị tấn công.

25 triệu thông tin người dùng bị đánh cắp, vậy còn bao nhiêu người dùng cảm thấy đủ tự tin để điền những thông tin tài chính của họ lên PSN khi hệ thống này đã được phục hồi? Bao nhiêu nhà phát triển sẽ tiếp tục viết game tải về trên PSN? Tái thiết PSN có thể chỉ mất vài tuần, nhưng tái thiết lòng tin người dùng có thể mất nhiều năm.

5. Có thể Sony sẽ không còn như xưa

Lúc này, có lẽ Sony đang lên kế hoạch đền bù cho người dùng, nhưng chắc chắn là không phải đền bù bằng tiền, mà có thể là vài tựa game PSN miễn phí nào đó. Điều mà người dùng quan tâm hơn lúc này có thể là các chính sách bảo mật ID của hàng triệu tài khoản PSN sẽ thay đổi thế nào.

Có thể chiếc ghế chủ tịch Sony của ông Howard Stringer sẽ có người thay thế, khi mà chính những người lãnh đạo khác của Sony đề nghị như thế, kể cả các cổ đông cũng cùng quan điểm ấy. Sớm hay muộn, ông Howard Stringer không còn lựa chọn nào khác hơn. Đương nhiên, trong danh sách sa thải của Sony còn có vài nhà lãnh đạo khác nữa. Có thể Sony cho rằng chính những nhân vật đó mang đến thảm hoạ về mối quan hệ với người dùng mà từ trước đến nay Sony luôn giữ được gam màu tươi sáng.

Dù vậy, không phải Sony mất đi tất cả. Để gầy dựng lại PSN từ đầu, nhiều người cho rằng Sony không chỉ tập trung vào việc bảo mật dịch vụ trực tuyến của họ mà còn thêm các tính năng mới để khích lệ người dùng quay lại trực tuyến. Quá khứ đau buồn chắc chắn sẽ được Sony giũ bỏ, và không nghi ngờ gì nữa về tầm quan trọng của các dịch vụ trực tuyến đang mọc lên như nấm hiện nay. Các bộ phận của Sony cần làm việc cùng nhau để sửa chữa, sơn phết lại thương hiệu đã bị tổn hại trầm trọng trong vài năm qua, mà đỉnh điểm là cuối tháng 4 vừa qua.

leduy