Naučte se z úniku informací společnosti Capcom: Krizový management a role právníka
Informační únik společnosti Capcom, který se stal v listopadu 2020 (v roce Reiwa 2), byl způsoben ransomwarem na zakázku a mohlo dojít k úniku až 390 000 osobních údajů.
Samozřejmě je lepší, když incidenty nenastanou, a je důležité vytvořit systém, který je zabrání. Nicméně, bez ohledu na to, jaký systém je zaveden, je nemožné úplně eliminovat pravděpodobnost jejich výskytu.
Pokud by se takový incident přeci jen stal, jaké opatření a vyšetřování by mělo být provedeno ihned po něm, kdy a jak by mělo být oznámeno?
V tomto článku se z hlediska krizového řízení při incidentech spojených s únikem osobních údajů způsobených malwarem podíváme na informační únik společnosti Capcom a vysvětlíme jej v chronologickém pořadí, abychom se poučili z jejich reakce a pochopili, jak by měl vypadat správný systém krizového řízení.
※Advokáti jsou povinni dodržovat vysokou úroveň důvěrnosti v případech, na kterých se skutečně podíleli jako advokáti. Tento článek je založen na informacích, které jsou veřejně dostupné o případech, do kterých naše kancelář nebyla zapojena, a vyjadřuje názor advokáta.
Odhalení incidentu a počáteční reakce
Incident byl potvrzen 2. listopadu 2020.
V této době byly zjištěny problémy s připojením k internímu systému, byla provedena izolace systému a začalo se s hodnocením škod.
Ještě tentýž den bylo zjištěno, že příčinou problému je šifrování souborů na zařízeních v síti způsobené útokem ransomwaru.
Na poškozených terminálech byla objevena výhružná zpráva od skupiny nazývající se “Ragnar Locker”.
Capcom v této době podal zprávu prefektuře Ósaka a požádal externí společnosti o pomoc s obnovou.
Při vzniku incidentu je samozřejmě nezbytné pro pokračování podnikání spěchat s obnovou systému. Nicméně, pokud je potvrzen útok ransomwarem, je velmi pravděpodobné, že se jedná o takzvaný nelegální přístup, který je zakázán zákonem o zákazu nelegálního přístupu (japonský zákon o zákazu neoprávněného přístupu).
Je důležité rychle podat zprávu policii, ještě předtím, než je potvrzen únik důvěrných informací včetně osobních údajů a než je identifikována cesta narušení.
Řízení krizové komunikace před odhalením úniku informací
A následující den po vzniku, 4. listopadu, Capcom vydal svou první tiskovou zprávu s názvem “Oznámení o výskytu systémové poruchy způsobené neoprávněným přístupem”.
Ohledně této poruchy potvrzujeme, že došlo k neoprávněnému přístupu ze strany třetí strany, a od tohoto dne jsme částečně pozastavili provoz naší interní sítě. Omlouváme se všem zúčastněným za značné nepříjemnosti, které to způsobilo. Kromě toho, v současné době nebyl potvrzen žádný únik informací zákazníků atd.
Oznámení o výskytu systémové poruchy způsobené neoprávněným přístupem [ja]
V tomto okamžiku se jedná pouze o “výskyt systémové poruchy” způsobený “neoprávněným přístupem”, a únik informací ještě nebyl odhalen.
Tisková zpráva po odhalení úniku informací
Počet případů možného úniku osobních údajů atd.
Únik informací byl odhalen 12. listopadu.
Bylo potvrzeno, že došlo k úniku devíti osobních údajů a některých firemních informací.
Následující den se Capcom obrátil na přední bezpečnostní firmu s žádostí o vyšetření příčin a 16. listopadu zveřejnil tiskovou zprávu potvrzující únik informací.
V tomto okamžiku byly rozlišeny:
- informace, u kterých byl potvrzen únik
- informace, u kterých může dojít k úniku
A pro každou z nich byly rozlišeny:
- osobní údaje (zákazníci, obchodní partneři atd.)
- osobní údaje (zaměstnanci a další zúčastněné strany)
- firemní informace (informace o tržbách, informace o obchodních partnerech, obchodní dokumenty, vývojové dokumenty atd.)
A byl uveden přibližný počet případů.
V tomto okamžiku bylo zveřejněno, že “existuje možnost úniku až 350 000 zákaznických osobních údajů”.
Přítomnost a reakce na únik informací o kreditních kartách
Zároveň bylo uvedeno:
Upozorňujeme, že veškeré platby v rámci našeho internetového prodeje jsou outsourcovány, takže neuchováváme informace o kreditních kartách a nedošlo k žádnému úniku informací o kreditních kartách.
Oznámení a omluva za únik informací způsobený neoprávněným přístupem[ja]
A dále byly zveřejněny informace o:
- reakci na osoby, u kterých byl potvrzen únik osobních údajů a osoby, u kterých k tomu může dojít
- průběhu odhalení a reakce
- budoucích krocích
.
Rady a pokyny od externích právníků atd.
V tiskové zprávě bylo také uvedeno:
Informovali jsme přední softwarovou společnost, přední bezpečnostní specialisty a externí právníky se znalostmi kybernetické bezpečnosti o situaci a získali jsme jejich rady a pokyny. Začali jsme kontaktovat osoby, u kterých byl potvrzen únik informací, a zúčastněné strany a budeme pokračovat v prošetřování informací, které mohly být odcizeny.
Oznámení a omluva za únik informací způsobený neoprávněným přístupem[ja]
.
Dále byly zřízeny kontaktní místa pro dotazy týkající se osobních údajů a “Kontaktní místo pro dotazy týkající se úniku informací Capcom”, a to “Kontaktní místo pro dotazy od hráčů her” a “Všeobecné kontaktní místo”, obě s bezplatným telefonním číslem.
A od okamžiku, kdy byl odhalen únik alespoň některých informací, trvalo čtyři dny, než byla zveřejněna tisková zpráva o úniku informací.
Je pravděpodobné, že tento čas byl nezbytný pro provedení určitého stupně podrobného ověření informací a rozhodování o budoucích krocích.
Únik osobních údajů a krizový management
Na rozdíl od první zprávy o “systémové poruše”, druhá zpráva, která uvádí, že “mohlo dojít k úniku až 350 000 záznamů o osobních údajích zákazníků”, je zmiňována v několika médiích.
Společnost Capcom byla napadena ransomwarem na zakázku od třetí strany, což vedlo k úniku osobních údajů, které vlastní skupina společností. K 16. listopadu mohlo dojít k úniku informací až o 350 000 zákaznících a obchodních partnerech. Mohlo také dojít k úniku obchodních a vývojových dokumentů.
Capcom, únik až 350 000 osobních údajů kvůli neoprávněnému přístupu. “Hraní her není ovlivněno” – BCN+R[ja]
V době tiskové zprávy byly však také zveřejněny informace o “průběhu odhalení a reakce” a “budoucích opatřeních”, takže výše uvedený článek končí větami jako: “V budoucnu budeme spolupracovat s policejními orgány a zřídíme novou poradní organizaci pro systémovou bezpečnost s externími odborníky, abychom zabránili opakování. Ujišťujeme, že škody na uživatelích a mimo společnost se nerozšíří prostřednictvím připojení k internetu pro hraní našich her nebo přístupu na naše webové stránky. Navíc vyzýváme uživatele, u kterých mohlo dojít k úniku osobních údajů, aby byli opatrní, protože mohou dostávat poštu, kterou neočekávají, nebo podezřelé hovory.”
V tiskové zprávě po odhalení úniku osobních údajů je důležité zveřejnit informace, které jsou do určité míry sestaveny, včetně “průběhu odhalení a reakce” a “budoucích opatření”.
A v době, kdy je odhalen únik osobních údajů,
- velké softwarové společnosti
- velké bezpečnostní specialisty
- externí právníci se znalostmi v oblasti kybernetické bezpečnosti
je důležité sestavit tým odborníků a paralelně s čistě IT opatřeními, jako je vyšetřování příčin, provádět také komunikaci s postiženými zákazníky a krizovou komunikaci.
Navíc, v případě veřejně obchodovaných společností je jako součást této krizové komunikace také nutné vysvětlení akcionářům.
Možnost úniku informací o uchazečích o zaměstnání
Ve veřejném tiskovém prohlášení „Možný únik informací“ a „Osobní údaje (zákazníci, obchodní partneři atd.) až 350 tisíc položek“ byla také položka „Informace o uchazečích o zaměstnání (přibližně 125 tisíc položek)“. V souvislosti s tím, že Capcom uvedl na svém vlastním webu pro nábor, že provede likvidaci, se na sociálních sítích objevily otázky.
Capcom uvedl na svém vlastním webu pro nábor, že „dokumenty uchazečů, kteří nebyli přijati nebo kteří odmítli nabídku, budou po výběrovém řízení zodpovědně zničeny“. Na Twitteru se objevily otázky týkající se toho, že osobní údaje, které měly být zničeny, nebyly zničeny. Capcom se omluvil a vysvětlil, že „digitalizovali životopisy uchazečů a uchovávali je po určitou dobu“. Omluvili se za to, že „nebylo zmíněno o digitalizaci a výraz byl nedostatečný, což vedlo k nedorozumění“. Co se týče důvodů pro uchovávání, vysvětlili, že „někteří uchazeči se ucházejí vícekrát. Bylo to pro hladké ověření minulých záznamů o přihláškách“. Na otázku, zda byla data všech uchazečů uchovávána, odpověděli, že „v současné době to není jasné“.
Capcom, nezničil dokumenty neúspěšných uchazečů. Na stránce pro nábor bylo uvedeno „zodpovědně zničíme“, ale možný únik informací v důsledku kybernetického útoku – ITmedia NEWS[ja]
Není jasné, zda Capcom předpověděl tyto otázky, ale pokud by informace, které by neměly existovat (a je do určité míry pochopitelné, že se tak domnívají), existovaly uvnitř společnosti a mohly by uniknout, bylo by lepší vydávat tisková prohlášení po předchozím zvážení tohoto problému.
Zahájení Bezpečnostního dozorčího výboru včetně právníků
Zveřejnění třetí tiskové zprávy
Capcom dále oznámil, že 21. prosince (2020) uspořádal přípravnou schůzku pro zahájení “Bezpečnostního dozorčího výboru” jako poradní organizace pro systémovou bezpečnost pod vedením externích odborníků.
Následujícího roku, 12. ledna 2021, byla zveřejněna třetí tisková zpráva s názvem “Oznámení a omluva za únik informací způsobený neoprávněným přístupem (třetí zpráva)”,
Bylo potvrzeno, že došlo k úniku dalších 16 406 osob, což zvyšuje celkový počet na 16 415 osob od vypuknutí této události. Dále bylo zjištěno, že maximální počet osobních informací zákazníků a obchodních partnerů mimo společnost, které mohly uniknout, je přibližně 390 000 (zvýšení o přibližně 40 000 od posledního oznámení).
Informace byly aktualizovány v souladu s průběhem vyšetřování. Kromě toho, že nebyly uniklé informace o kreditních kartách,
Internetové připojení a nákupy potřebné pro hraní našich her nevyužívají systém, který byl napaden tentokrát, ale využívají externí outsourcing nebo samostatný externí server, což platí i nyní. Proto neexistuje žádná souvislost mezi internetovým připojením a nákupy potřebnými pro hraní našich her a tímto kybernetickým útokem na náš systém, a zákazníci nebudou poškozeni.
Oznámení a omluva za únik informací způsobený neoprávněným přístupem (třetí zpráva) | Capcom Co., Ltd. [ja]
Toto bylo také uvedeno.
O možnosti úniku osobních údajů uchazečů o zaměstnání
Kromě toho byla v této době zveřejněna možnost úniku “informací, u kterých byla nově potvrzena možnost úniku”, konkrétně “jména, adresy, telefonní čísla, e-mailové adresy atd. jedné nebo více osob” z osobních údajů “přibližně 58 000 uchazečů o zaměstnání” uvedených výše.
Co se týče tohoto bodu,
V listopadu bylo zjištěno, že informace o uchazečích nebyly zničeny, ale byly uchovávány i po výběrovém řízení v souvislosti s kybernetickým útokem na společnost. Na stránce “Ochrana osobních údajů” na stránce pro zaměstnání bylo původně uvedeno, že “po výběrovém řízení budou informace zničeny pod naší odpovědností”. Poté byla v prosinci 2020 přidána formulace “Vzhledem k tomu, že přijímáme opakované žádosti, může se stát, že budeme uchovávat digitalizované verze papírových dokumentů, které jsme obdrželi, pro účely jako je hladké ověřování předchozích žádostí”. Podle společnosti “osobní údaje uchazečů jsou stále uchovávány v interním systému a provoz se od doby před neoprávněným přístupem téměř nezměnil.
Capcom potvrdil únik osobních údajů 16 000 lidí, nově odhalil možnost úniku dalších 58 000 osob v důsledku kybernetického útoku v listopadu 2020 – ITmedia NEWS[ja]
Toto bylo oznámeno.
Krizová komunikace na základě výsledků průzkumu
Publikace čtvrté tiskové zprávy
Poté Capcom uspořádal první schůzi Bezpečnostního dozorčího výboru dne 18. ledna, druhou schůzi dne 25. února a třetí schůzi dne 26. března, přičemž konal schůze Bezpečnostního dozorčího výboru jednou měsíčně. Dále dne 31. března přijal zprávu od přední společnosti specializující se na bezpečnost a zprávu od přední softwarové společnosti.
V reakci na tyto události Capcom dne 13. dubna zveřejnil čtvrtou tiskovou zprávu s názvem “Zpráva o výsledcích vyšetřování neoprávněného přístupu (čtvrtá zpráva)”.
V této zprávě podává podrobný technický popis, který se zdá být založen na výše uvedených zprávách, včetně “Podrobností o reakci”, “Příčin a rozsahu škody” a “Opatření pro posílení bezpečnosti k zabránění opakování”. Kromě toho uvádí, že mezi organizačními opatřeními založil Bezpečnostní dozorčí výbor, který zahrnuje jednoho právníka, odborníka na kybernetickou bezpečnost a japonské zákony o ochraně osobních údajů.
Zprávy a reakce na výkupné
Dne 1. března, v průběhu výše uvedeného období, bylo oznámeno, že kybernetická zločinecká skupina “Ragnar Locker” požadovala od společnosti Capcom výkupné ve výši přibližně 1,15 miliardy jenů.
Kybernetická zločinecká skupina “Ragnar Locker” zveřejnila na svých webových stránkách soubory, které tvrdí, že ukradla od společností, a požadovala 11 milionů dolarů (přibližně 1,15 miliardy jenů) jako výkupné. Capcom však v současné době odmítá platit.
Capcom odmítá zaplatit 1,15 miliardy jenů! Důvody, proč by se nemělo platit výkupné i při útocích ransomware | Zabezpečení v době práce z domova | Diamond Online[ja]
V reakci na to, ve čtvrté tiskové zprávě uvedli o výkupném:
O povědomí o výši výkupného
Zpráva o výsledcích vyšetřování neoprávněného přístupu【4. zpráva】 | Capcom Co., Ltd.[ja]
Na zařízeních infikovaných ransomwarem byly ponechány zprávy od útočníků a je pravda, že jsme byli požádáni o kontakt pro vyjednávání s útočníky. Avšak v těchto souborech nebyla uvedena žádná částka výkupného. Jak jsme již dříve oznámili, po konzultaci s policií jsme se rozhodli nevyjednávat s útočníky, a proto jsme vůbec nekontaktovali (viz tisková zpráva ze dne 16. listopadu 2020), a tak neznáme částku.
Vydali prohlášení. To je pravděpodobně reakce na skutečnost, že v důsledku výše uvedených zpráv byla uvedena konkrétní částka “1,15 miliardy jenů”.
Vydání na souvisejících webových stránkách atd.
Dále Capcom oznámil na svých webových stránkách, které nejsou jejich korporátními stránkami, jako je “CAPCOM: Shadaloo Fighter Research Institute” (web související se Street Fighter 5) a “CAPCOM ONLINE GAMES”,
【Pokračování zpráv】Oznámení o poruše skupinového systému
Podrobnosti oznámení | Capcom Online Games
Děkujeme vám za pravidelné využívání “Capcom Online Games (COG)”. Zveřejnili jsme nejnovější informace o poruše systému způsobené neoprávněným přístupem třetí strany do našeho skupinového systému od raných ranních hodin 2. listopadu 2020. Podrobnosti naleznete zde.
Stránky jako tyto byly zveřejněny.
Jak bylo zjištěno v rané fázi, tento únik informací byl způsoben “externím outsourcingem nebo samostatným využitím externího serveru”, a “není žádná souvislost mezi kybernetickým útokem na náš systém tentokrát a připojením k internetu nebo nákupem ke hraní hry, a nebude to mít žádný dopad na zákazníky”,
Je pravděpodobné, že výsledky vyšetřování byly oznámeny v tomto okamžiku, aby se uživatelům nezpůsobovaly obavy a podobně, a bylo znovu oznámeno na každé stránce.
Shrnutí
Jak jsme viděli, v případě rozsáhlého úniku osobních údajů je důležité:
- Okamžitě nahlásit incident policii
- Zřídit systém pro hlášení situace a získání pokynů a rad od externích právníků s hlubokými znalostmi v oblasti kybernetické bezpečnosti
- Řízení krizové komunikace týmem uvedeným výše
A jakmile je k dispozici určité množství informací, je důležité:
- Zřídit bezpečnostní dozorčí výbor včetně právníků
Můžeme tedy říci, že je důležité rychle a organizovaně provádět krizové řízení.