Co se můžeme naučit o krizovém řízení a roli právníka z úniku informací na Univerzitě Keio
Úniky informací způsobené neoprávněným přístupem se vyskytují nejen v podnicích, ale také v oblasti vzdělávání, avšak zdá se, že reakce na ně se v těchto dvou prostředích mírně liší.
Obzvláště v případě osobních údajů, které se týkají především studentů a pedagogických pracovníků, se zdá, že pokud dojde k incidentu s únikem informací, zveřejnění informací je omezeno na určitý rozsah.
Avšak ochrana osobních údajů je stejně důležitá jak pro podniky, tak pro školy a základní principy krizového řízení v případě úniku informací jsou stejné.
V tomto článku se proto zaměříme na krizové řízení v případě incidentů s únikem osobních údajů způsobených neoprávněným přístupem, a to na základě reakce na incident s únikem informací na Keio University Shonan Fujisawa Campus (dále jen “Keio SFC”).
Přehled události úniku informací na Keio SFC
Hlavní body týkající se úniku informací způsobeného neoprávněným přístupem, který se stal na Keio SFC, jsou následující:
- Odhalení úniku: 29. září 2020 (2020) v brzkých ranních hodinách byla zjištěna možnost úniku informací způsobeného neoprávněným přístupem do systému pro podporu výuky (SFC-SFS).
※ SFC-SFS je systém s funkcemi jako hromadný e-mail pro studenty, stahování seznamu studentů, registrace úkolů a zpráv, přijímání odevzdání, registrace výsledků (komentářů), zadávání a prohlížení komentářů k výuce. - Příčina úniku: Byly ukradeny ID a hesla 19 uživatelů systému, které byly zneužity třetími stranami k neoprávněnému přístupu do systému. Hlavní příčinou se zdá být zranitelnost SFC-SFS.
- Rozsah úniku: Osobní informace studentů a zaměstnanců spravované Shonan Fujisawa Campus.
- Obsah úniku: Kromě “jména”, “adresy”, “uživatelského jména”, “e-mailové adresy” zahrnuje v případě studentů také “fotografii obličeje”, “číslo studenta”, “informace o získání kreditů”, “datum nástupu do školy” atd., v případě zaměstnanců “číslo zaměstnance”, “pozice”, “profil”, “osobní e-mailová data” atd.
- Počet úniků: Možný únik informací se týká přibližně 33 000 případů.
Odhalení neoprávněného přístupu a prvotní reakce
Dne 15. září kolem 17:45 byly v IT oddělení Keio SFC zjištěny stopy po sporadickém hledání zranitelností v systému SFC-SFS.
Následně, v noci 28. září, byl detekován podezřelý přístup k systému SFC-SFS a po vyšetření byla v brzkých ranních hodinách 29. září odhalena možnost úniku informací v důsledku neoprávněného přístupu.
Keio SFC zahájila následující prvotní reakce den po zjištění hledání zranitelností, což je předzvěst neoprávněného přístupu:
- Žádost o změnu hesla všech uživatelů (16. září, 30. září)
- Neustálé sledování všech míst ověření a ověřovacích záznamů (od 16. září)
- Omezení přihlášení na sdílený výpočetní server z vnějších zdrojů pouze na ověření veřejným klíčem (16. září)
- Zastavení webových služeb, u kterých byla zjištěna zranitelnost, a oprava zranitelných míst [probíhá] (postupně od 16. září, SFC-SFS 29. září)
- Zastavení systému SFC-SFS (29. září)
O prvotní reakci Keio SFC
Při odhalení neoprávněného přístupu je základem zřízení krizového štábu a provedení prvotní reakce, ale v tomto případě se zdá, že IT oddělení pod vedením pana Kuniya, stálého ředitele Keio a hlavního informačního a bezpečnostního důstojníka, fungovalo jako krizový štáb.
Důležité prvotní reakce zahrnují “izolaci informací”, “odpojení sítě” a “zastavení služby” za účelem zabránění rozšíření škody a vzniku sekundární škody. V případě Keio SFC je však počet uživatelů systému omezen na studenty a zaměstnance, takže se prioritou stává změna hesla a omezení způsobu přihlášení.
Avšak skutečnost, že se Keio SFC ihned pohnula po zjištění předzvěsti neoprávněného přístupu, a to, že zastavila systém SFC-SFS 29. září, kdy byla odhalena možnost úniku informací, lze považovat za adekvátní krizové řízení.
Co se týče prvotní reakce Keio SFC, otázkou zůstává, zda po provedení opatření pro zachování důkazů proti neoprávněnému přístupu, který je trestným činem, podala zprávu dozorčím orgánům nebo policii. Tuto informaci však nelze ověřit, protože v tiskových zprávách a mediálních zprávách nejsou žádné zmínky.
O oznámení zainteresovaným stranám
Oznámení studentům a zaměstnancům Keio SFC bylo provedeno formou e-mailu s obchodními sděleními, jak je uvedeno níže, a první e-mail, který se týkal úniku osobních údajů, byl pravděpodobně odeslán 30. září.
29. září bylo oznámeno zaměstnancům Keio SFC, že došlo k “vážnému problému” a že systém SFC-SFS bude zastaven.
30. září bylo všem uživatelům SFC-SFS požadováno změnit heslo, protože “informace o účtu uživatele” mohly uniknout v důsledku tohoto problému.
Zaměstnancům bylo také oznámeno, že v důsledku zastavení SFC-SFS nebude možné provést výběr studentů a komunikaci se studenty podle plánu, a že budou muset přerušit výuku na určitou dobu.
Tuto informaci zachytila zpravodajská služba J-CAST News a ve stejný den publikovala článek s názvem “Vážný problém se systémem pro výuku na Keio SFC, začátek podzimního semestru se o týden zpozdil”, ve kterém se stalo veřejně známým, že “informace o účtu uživatele” unikly.
1. října bylo na webových stránkách Keio SFC oznámeno studentům, že systém SFC-SFS byl zastaven 29. září kvůli možnému neoprávněnému přístupu a že v důsledku tohoto dopadu budou od 1. do 7. října přednášky zrušeny. (Poznámka: Nebylo zmíněno o úniku osobních údajů)
Tisková zpráva po odhalení úniku informací
První veřejné oznámení o úniku osobních údajů způsobeném neoprávněným přístupem bylo učiněno 10. listopadu na webových stránkách.
Bylo zjištěno, že v informačním síťovém systému Shonan Fujisawa Campus (SFC-CNS) a v systému podpory výuky (SFC-SFS) byly ukradeny ID a hesla 19 uživatelů (učitelů a zaměstnanců) nějakým způsobem, a byl proveden neoprávněný přístup z vnějšku a útok využívající zranitelnosti systému podpory výuky (SFC-SFS), což mohlo vést k úniku osobních údajů uživatelů z tohoto systému. Omlouváme se za způsobené nepříjemnosti a obavy všem zúčastněným. K dnešnímu dni nebyly potvrzeny žádné sekundární škody.
Keio University “O úniku osobních údajů způsobeném neoprávněným přístupem do SFC-CNS a SFC-SFS”[ja]
Tato tisková zpráva také obsahovala podrobné informace o následujících tématech:
- Obsah osobních údajů, které mohly uniknout
- Okolnosti, za kterých byl únik odhalen
- Příčina úniku
- Reakce po odhalení
- Aktuální situace
- Opatření k zabránění opakování
Výše uvedené body téměř kompletně pokrývají položky, které jsou potřebné pro veřejné oznámení o úniku informací.
O tiskové zprávě Keio SFC
Časování tiskové zprávy
Keio SFC měla ve skutečnosti oznámit únik informací jako první, ale skutečnost, že to bylo oznámeno 41 dní po zprávě J-CAST News, nelze označit za nic jiného než zpoždění.
To proto, že v případě úniku osobních údajů je nutné rychle informovat dotčené osoby o úniku jejich údajů, aby se předešlo sekundárním škodám.
Avšak pokud byly konkrétní informace o “účtových informacích uživatelů” sděleny při žádosti o změnu hesla 30. září, nebylo by žádné problém.
Upozornění na podvody a obtěžování
V tiskové zprávě po odhalení úniku informací je nutné oznámit únik informací, informovat a omluvit se dotčeným osobám, pokud došlo k úniku jejich osobních údajů, a upozornit je, aby se vyhnuly podvodům a obtěžování.
Pokud se informace z uzavřeného kampusu dostanou do vnějšího světa, mohou být zneužity, a v tomto případě je také nutné upozornit na podvody a obtěžování.
Řídící tým jako středobod krizového řízení
Keio SFC popisuje svůj řídící tým v rámci “opatření k zabránění opakování” ve své tiskové zprávě následovně:
Keio University, v reakci na tento případ neoprávněného přístupu, se rychle zaměří na opatření k zabránění opakování, jako je kontrola a zlepšení bezpečnosti webových aplikací a systémů na celé škole, revize způsobu zacházení s osobními údaji atd. Kromě toho, od 1. listopadu 2020 (Gregoriánský kalendář) jsme na škole zřídili CSIRT (Tým pro řešení incidentů v oblasti informační bezpečnosti) a budeme se snažit posílit bezpečnost na celé škole, zatímco budeme budovat organizaci, která může reagovat komplexně na kybernetickou bezpečnost a spolupracovat s externími odbornými institucemi.
Keio University “O úniku osobních údajů v důsledku neoprávněného přístupu k SFC-CNS a SFC-SFS”[ja]
Zdá se, že vnitřní organizace Keio SFC převzala roli řídícího týmu v počáteční reakci na tento případ, ale “CSIRT”, který byl zřízen 1. listopadu 2020 (Gregoriánský kalendář), je organizace, která odpovídá řídícímu týmu, který se stane středobodem krizového řízení v případě posílení bezpečnosti a budoucích incidentů.
Složení členů CSIRT není známo, ale kromě opatření pro zabezpečení systému je třeba provádět současně také komunikaci s cílovými uživateli, hlášení dozorčím orgánům a policii, komunikaci s médii, posouzení právní odpovědnosti atd. Obecně je tedy potřeba účast následujících externích třetích stran a odborníků:
- Velké softwarové společnosti
- Velké specializované bezpečnostní firmy
- Externí právníci s hlubokými znalostmi v oblasti kybernetické bezpečnosti
Shrnutí
I v případě, jako je tento, kdy došlo k úniku osobních údajů v oblasti vzdělávání, je důležitá vhodná “prvotní reakce” a “oznámení, hlášení a zveřejnění” zaměřené na krizový štáb, stejně jako následná “bezpečnostní opatření”.
Obzvláště rychlost je vyžadována nejen při prvotní reakci, ale také při oznámení a hlášení policii a příslušným ministerstvům, oznámení (omlouvání se) dotčené osobě a zveřejnění v příhodném okamžiku.
Avšak pokud se pokazí postup nebo způsob řešení, může dojít k odpovědnosti za náhradu škody, takže doporučujeme konzultovat s právníkem s bohatými znalostmi a zkušenostmi v oblasti kybernetické bezpečnosti, místo abyste se rozhodovali sami.
Pokud máte zájem o krizový management při úniku informací způsobeném malwarem společnosti Capcom, podívejte se na náš článek, kde je to podrobně popsáno.
https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]
Představení opatření naší kanceláře
Právnická kancelář Monolis je právnická kancelář s vysokou odborností v oblasti IT, zejména internetu a práva. Naše kancelář provádí právní kontroly pro různé případy, od společností kótovaných na Tokyo Stock Exchange Prime až po startupy. Prosím, viz níže uvedený článek.