MONOLITH LAW OFFICE+81-3-6262-3248Všední dny 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Co se můžeme naučit z role krizového managementu a právníků v případě úniku 650 000 informací z firmy Tōken Corp

General Corporate

Co se můžeme naučit z role krizového managementu a právníků v případě úniku 650 000 informací z firmy Tōken Corp

Dne 1. dubna 2005 (v roce 2005 podle gregoriánského kalendáře) byl plně zaveden Japonský zákon o ochraně osobních údajů, a podnikatelé, kteří zacházejí s osobními údaji, jsou povinni přijmout opatření pro jejich bezpečné řízení. Přesto však nedochází k zastavení incidentů týkajících se úniku osobních údajů.

V případě incidentu s únikem informací je zvláště důležitý postup a rychlost reakce. Zejména u malých a středních podniků, které nemají specializovaný personál pro informační bezpečnost, může být obtížné rychle rozhodnout, jak reagovat.

V tomto článku vysvětlíme systém krizového řízení v případě úniku informací na základě reakce společnosti Tōken Corporation na incident s únikem informací.

Přehled o úniku informací

Hlavní obsah neoprávněného přístupu a následného úniku informací, ke kterému došlo ve společnosti Tōken Corporation, je následující:

  • Došlo k tomu: během 24 dnů od 20. srpna do 12. září 2020
  • Odhaleno: 20. října 2020
  • Příčina: Příčinou byl neoprávněný přístup třetí strany k serveru, který uchovával informace různých uživatelů ze stránky skupiny
  • Cíl: Osoby, které se obrátily na stránky skupinových společností, členové, uchazeči o různé kampaně
  • Informace: “E-mailová adresa”, “jméno”, “adresa”, “telefonní číslo”, “heslo”, “pohlaví”, “datum narození” atd.
  • Počet případů: Existuje možnost úniku informací v 657 096 případech osobních údajů

Odhalení neoprávněného přístupu a prvotní reakce

Dne 20. října 2020 (Gregoriánský kalendář) společnost Touken Corporation při pravidelné kontrole své webové stránky objevila neoprávněný přístup na svůj provozovaný web ‘Nasuraku Kitchen’ a podnikla následující prvotní kroky.

  • Jako naléhavou bezpečnostní opatření uzavřela ‘Nasuraku Kitchen’ a zastavila veškeré služby poskytované z tohoto webu.
  • Zřídila ‘Informační bezpečnostní štáb’ a konzultovala se s externí třetí stranou.
  • Do 11. listopadu provedla průzkum celého webového místa skupiny, provedla dočasné opravy zranitelností a určila maximální počet a položky úniků.

Klíčové body prvotní reakce

Pokud je potvrzeno riziko úniku informací v důsledku neoprávněného přístupu, je třeba okamžitě provést následující opatření, aby se zabránilo rozšíření škody, vzniku sekundární škody a opakování.

  • Ověření skutečností (příčiny neoprávněného přístupu, cesty atd.)
  • Zastavení zařízení nebo webu, které bylo napadeno
  • Odpojení napadeného zařízení nebo webu od sítě

Je třeba dbát na to, aby se při tomto procesu neprováděly neopatrné operace a aby se neodstraňovaly důkazy na systému, ale aby se přijaly opatření k zachování důkazů.

Tisková zpráva po odhalení úniku informací

První oznámení bylo učiněno 17. listopadu 2020 na webových stránkách společnosti Tōken Corporation.

Oznámení obsahovalo podrobné informace, které byly požadovány ve formě “Otázky a odpovědi týkající se incidentu s únikem informací způsobeným neoprávněným přístupem”, kromě obecného přehledu neoprávněného přístupu a budoucích opatření.

Společnost Tōken Corporation a naše skupina společností (dále jen “naše skupina”) potvrdila 20. října 2020, že do naší sítě skupiny došlo k neoprávněnému přístupu ze strany třetích stran a že osobní údaje, jako jsou dotazy na HomeMate, který provozuje naše skupina, informace o členech skupinových společností a informace o uchazečích o různé kampaně, mohly uniknout ven.

O úniku osobních údajů způsobeném neoprávněným přístupem[ja]

Na výše uvedené webové stránce je odkaz na “Otázky a odpovědi týkající se incidentu s únikem informací způsobeným neoprávněným přístupem”[ja], který obsahuje následující informace.

Obsah uniklých informací

Q Jaké informace tentokrát unikly?
A Domníváme se, že na všech stránkách, včetně těch, které provozuje naše skupinová společnost, došlo k úniku ‘jména’, ‘adresy’, ‘telefonního čísla’, ‘e-mailové adresy’ a ‘hesla’.

Q Došlo k úniku informací o kreditních kartách?
A Na stránkách, které provozujeme, včetně naší skupinové společnosti, neuchováváme žádné informace, jako jsou čísla kreditních karet nebo osobní identifikační čísla, takže nehrozí únik.

Při vysvětlování uniklých informací je možné zabránit zbytečnému strachu a zmatku tím, že konkrétně uvedeme ① informace, které mohou uniknout, a ② informace, které nehrozí únikem.

Opatření pro budoucnost

Q Je bezpečné pokračovat v používání webů společnosti Tōken a jejích dceřiných společností?
A Zabezpečení všech webů, které provozuje naše společnost včetně dceřiných společností, proti podobným neoprávněným přístupům je nyní zesíleno a dokončeno.

Q Jaký druh správy informací plánujete v budoucnosti?
A V budoucnosti budeme podle potřeby podstupovat kontroly třetími stranami a v případě, že by byla na našem webu nalezena jakákoli zranitelnost, okamžitě ji napravíme a budeme se snažit o ještě přísnější správu informací.

V budoucích opatřeních je důležité pečlivě vysvětlit uživatelům zabezpečení webů, které používali, zda je možné je znovu použít, a jaký bude systém správy informací v budoucnosti.

Otázky a odpovědi týkající se náhrady škody

Q: Budou lidem, kteří utrpěli škodu v důsledku úniku informací, vyplaceny omluvné peníze nebo náhrada za nepříjemnosti?
A: Na základě informací, které unikly v důsledku tohoto neoprávněného přístupu, neplánujeme vyplácet omluvné peníze nebo náhradu za nepříjemnosti. Pokud však v důsledku tohoto úniku informací došlo k finanční škodě na straně zákazníka a jsou k dispozici konkrétní důkazy, obraťte se prosím na naše “Poradenské centrum pro osobní údaje”.

Q: Došlo k výběru peněz, o kterém nevím. Mohu dostat náhradu?
A: Pokud došlo k výběru peněz z účtu, který vlastníte, a nevíte o tom, požádáme vás, abyste se přímo obrátili na společnost, která provedla výběr. Pokud se ukáže, že neznámý výběr byl způsoben tímto únikem informací, omlouváme se za nepříjemnosti a požádáme vás, abyste nás informovali prostřednictvím našeho “Poradenského centra pro osobní údaje”.

Naše politika je jasná: neplatíme omluvné peníze ani náhradu za nepříjemnosti, ale pokud dojde k finanční škodě v důsledku úniku informací, jsme připraveni jednat o náhradě škody individuálně.

Načasování první tiskové zprávy zanechává otázky

Jako součást krizového řízení společnosti je třeba především zvážit “rozšíření škod”, “vznik sekundárních škod” a “prevenci opakování”.

Proto je důležité, aby v případě odhalení úniku informací byla provedena prvotní reakce a co nejdříve byli informováni všichni zúčastnění.

Q&A společnosti Tōken Corporation pečlivě odpovídá na širokou škálu předpokládaných otázek, což naznačuje, že bylo pečlivě připraveno v předstihu s odborníky, jako jsou právníci. Nicméně, zveřejnění neoprávněného přístupu téměř měsíc po jeho odhalení zanechává otázky.

Samozřejmě, společnosti by chtěly provést vyšetření a opatření před zveřejněním, ale neměly by následující čtyři body zveřejnit dříve jako první zprávu?

  • Odhalení úniku informací a předpokládaní dotčení jedinci
  • Obsah uniklých osobních údajů
  • Žádná možnost úniku kreditních informací, jako jsou čísla karet
  • Budoucí struktura a plán
  • Kontaktní místo pro dotazy

Klíčové body oznámení, hlášení a zveřejnění

Při úniku informací je třeba zvážit oznámení uživatelům a obchodním partnerům, podání zpráv dozorovým orgánům a policii, a zveřejnění na webových stránkách nebo v médiích, v závislosti na příčině a obsahu informací.

V případě trestné činnosti

Pokud existuje možnost trestné činnosti v souvislosti s neoprávněným přístupem, je nutné po provedení vyšetřování a opatření pro zachování důkazů co nejdříve podat zprávu policii.

V případě společnosti Tōken Corporation (Japonská stavební společnost Tōken Corporation) bylo oznámení o škodě podáno ministerstvu zemědělství, lesnictví a rybolovu a prefekturální policejní stanici Aichi den po dokončení vyšetřování webových stránek celé skupiny.

Pokud existuje možnost úniku osobních kreditních informací

Pokud existuje možnost úniku informací, jako je My Number (Japonský systém sociálního zabezpečení My Number), číslo kreditní karty, bankovní účet, ID a heslo, je nutné co nejdříve informovat dotyčnou osobu a vyzvat ji k zastavení těchto činností, aby se zabránilo sekundární škodě.

Pokud je rozsah nebo dopad velký, nebo pokud je obtížné individuálně informovat všechny zúčastněné strany

Informace budou zveřejněny na webových stránkách nebo prostřednictvím tiskových konferencí. Nicméně, pokud by zveřejnění mohlo vést k rozšíření škody, je třeba zvážit načasování a cílovou skupinu zveřejnění.

Při zveřejňování je také důležité zajistit transparentnost a co nejvíce zveřejnit skutečnosti, což přispívá k důvěře v podnik a také pomáhá předcházet rozšíření škody a podobným incidentům.

Druhé oznámení tiskové zprávy

Dne 9. února 2021, po začátku nového roku, společnost Tōken Corporation zveřejnila na své webové stránce druhou zprávu o úniku osobních údajů a provedla opravy v počtu a položkách úniku.

Výsledkem forenzního vyšetření provedeného třetí stranou a opětovného zkoumání položek úniku byly zjištěny některé rozdíly. Proto vás žádáme, abyste si je znovu prohlédli v příloze 1 “Položky pro každou stránku a službu”. (vynecháno) Počet úniků se také změnil od maximálně 657 096 na maximálně 655 488.

Obsah byl kromě výše uvedených oprav doplněn pouze o metody řešení nevyžádaných a podezřelých e-mailů, základní obsah zůstal téměř stejný jako v první tiskové zprávě a toto oznámení bylo poslední.

Řídící centrum pro krizovou situaci

Společnost Tōken Corporation zřídila po odhalení neoprávněného přístupu “Informační bezpečnostní ústředí” a v úsilí o zabránění opakování incidentu spolupracuje s externími třetími stranami a policií.

Sestava této organizace není jasná, ale kromě opatření pro zabezpečení systému je třeba současně provádět také komunikaci s cílovými uživateli, reagovat na média, komunikovat s akcionáři a zvažovat právní odpovědnost. Obecně je tedy nutná účast následujících externích třetích stran a odborníků:

  • Velké softwarové společnosti
  • Velké specializované bezpečnostní firmy
  • Externí právníci s hlubokými znalostmi v oblasti kybernetické bezpečnosti

Shrnutí

V případě, jako je tento, kdy došlo k úniku velkého množství osobních údajů přesahujících 650 000 záznamů, je důležitá “prvotní reakce” a “oznámení, hlášení a zveřejnění” zaměřené na krizový štáb, stejně jako “bezpečnostní opatření”.

Obzvláště rychlá reakce je vyžadována nejen v prvotní reakci, ale také v oznámení a hlášení policii a příslušným ministerstvům, stejně jako v zveřejnění (tiskové zprávy) pro zúčastněné strany.

Avšak, pokud se nesprávně vypořádáte s touto situací, můžete být konfrontováni s možností odpovědnosti za náhradu škody, proto doporučujeme konzultovat s právníkem s bohatými znalostmi a zkušenostmi v oblasti kybernetické bezpečnosti, místo abyste se rozhodovali sami.

Pokud máte zájem o krizové řízení při úniku informací způsobeném malwarem společnosti Capcom, podívejte se na náš článek, kde je toto téma podrobně popsáno.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Představení opatření naší kanceláře

Právní kancelář Monolis je právní kanceláří s vysokou odborností v oblasti IT, zejména internetu a práva. Naše kancelář se zabývá tvorbou a revizí smluv pro různé případy, od společností kótovaných na Tokyo Stock Exchange Prime až po startupy. Pokud máte nějaké potíže, prosím, podívejte se na následující článek.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zpět na začátek