Dansk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_da/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdage 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Lærer om krisehåndtering og advokatens rolle fra Capcoms informationslækage

Lærer om krisehåndtering og advokatens rolle fra Capcoms informationslækage

General Corporate

Lærer om krisehåndtering og advokatens rolle fra Capcoms informationslækage

Den informationslækage, der skete hos Capcom i november 2020 (Gregoriansk kalenderår), var forårsaget af en skræddersyet type ransomware, og der var en mulighed for, at op til 390.000 personlige oplysninger blev lækket.

Det er selvfølgelig bedst, hvis hændelser ikke opstår, og det er først og fremmest vigtigt at etablere et system, der forhindrer dem i at opstå. Men uanset hvilket system der er på plads, er det umuligt at reducere sandsynligheden for en hændelse til nul.

Hvis en sådan hændelse skulle opstå, hvad slags foranstaltninger og undersøgelser skal man så gennemføre umiddelbart efter, og hvornår og hvordan skal man annoncere det?

I denne artikel vil vi forklare Capcoms informationslækagehændelse i en tidslinje for at lære om den passende krisehåndteringsstruktur fra virksomhedens respons, set fra perspektivet af krisehåndtering i forbindelse med en hændelse med “personlige informationslækager forårsaget af malware”.

※Advokater har en høj grad af fortrolighedspligt i henhold til den japanske advokatlov i forhold til sager, de faktisk er involveret i som advokater. Denne artikel er baseret på offentligt tilgængelige oplysninger om tidligere sager, som vores firma ikke har været involveret i, og udtrykker advokatens synspunkter.

Opdagelse af hændelsen og indledende respons

Hændelsen blev bekræftet den 2. november 2020.

På dette tidspunkt blev der konstateret forbindelsesproblemer til virksomhedens interne system, og der blev iværksat afbrydelse af systemet og vurdering af skadesomfanget.

Samme dag blev det fastslået, at årsagen til fejlen var kryptering af filer på netværksudstyr som følge af et ransomware-angreb.

På de berørte terminaler blev der fundet trusselsbeskeder fra en gruppe, der kaldte sig “Ragnar Locker”.

På dette tidspunkt har Capcom rapporteret til Osaka Prefecture Police og anmodet om genoprettelsesstøtte fra eksterne virksomheder.

Når en hændelse opstår, er det selvfølgelig nødvendigt for virksomhedens forretningskontinuitet at skynde sig at genoprette systemet. Men hvis et ransomware-angreb er bekræftet, er det meget sandsynligt, at det er en såkaldt ulovlig adgang, en handling, der er forbudt i henhold til den japanske lov om forbud mod ulovlig adgang.

Det er vigtigt at rapportere hurtigt til politiet, før lækagen af fortrolige oplysninger, herunder personlige oplysninger, bekræftes, og før indtrængningsruten identificeres.

Krisestyring af offentliggørelse før opdagelsen af informationslækage

Og dagen efter hændelsen, den 4. november, offentliggør Capcom sin første pressemeddelelse, “Meddelelse om systemnedbrud forårsaget af uautoriseret adgang”.

Vi har bekræftet, at der er sket uautoriseret adgang fra en tredjepart i forbindelse med denne fejl, og vi har delvist suspenderet driften af vores interne netværk fra samme dag. Vi undskylder dybt for den store ulejlighed, dette vil forårsage for alle involverede. Desuden er der på nuværende tidspunkt ikke bekræftet nogen lækage af kundeinformation osv.

Meddelelse om systemnedbrud forårsaget af uautoriseret adgang [ja]

På dette tidspunkt er det stadig kun et “systemnedbrud” forårsaget af “uautoriseret adgang”, og informationslækagen er endnu ikke blevet opdaget.

Pressemeddelelse efter afsløring af datalæk

Antallet af potentielt lækkede personlige oplysninger osv.

Datalækket blev opdaget den 12. november.

Der blev bekræftet lækage af personlige oplysninger fra 9 personer samt nogle virksomhedsoplysninger.

Dagen efter henvendte Capcom sig til et stort sikkerhedsfirma for at undersøge årsagen, og den 16. november offentliggjorde de en pressemeddelelse, der bekræftede lækagen af oplysninger.

På dette tidspunkt blev følgende oplysninger skelnet:

  • Bekræftede lækager
  • Potentielle lækager

Og for hver af disse blev følgende oplysninger skelnet:

  • Personlige oplysninger (kunder, forretningspartnere osv.)
  • Personlige oplysninger (medarbejdere og interessenter)
  • Virksomhedsoplysninger (salgsoplysninger, forretningspartneroplysninger, salgsmateriale, udviklingsmateriale osv.)

Et groft antal blev offentliggjort.

På dette tidspunkt blev det offentliggjort, at “der er en mulighed for lækage af op til ca. 350.000 kunders personlige oplysninger”.

Lækage af kreditkortoplysninger og svar

Samtidig blev det også nævnt om lækage af kreditkortoplysninger, og yderligere,

Vi outsourcer alle betalinger i forbindelse med online salg, så vi har ikke kreditkortoplysninger, og der er ingen lækage af kreditkortoplysninger.

Meddelelse og undskyldning om lækage af oplysninger på grund af uautoriseret adgang[ja]

Og yderligere,

  • Respons til dem, hvor lækage af personlige oplysninger er bekræftet, og dem, hvor der er en mulighed
  • Historien om opdagelse og respons
  • Fremtidige svar

Disse oplysninger blev offentliggjort.

Rådgivning og vejledning fra eksterne advokater osv.

I pressemeddelelsen blev det også erklæret, at

Vi har rapporteret situationen til et stort softwarefirma, en stor sikkerhedsspecialistleverandør og en ekstern advokat med dyb viden om cybersikkerhed, og har fået rådgivning og vejledning. Vi vil begynde at kontakte dem, hvor lækage af oplysninger er bekræftet, og dem, der er involveret, og vil fortsætte med at undersøge oplysninger, der muligvis er blevet stjålet.

Meddelelse og undskyldning om lækage af oplysninger på grund af uautoriseret adgang[ja]

Det blev også erklæret.

Desuden blev der oprettet en “spørgsmål om personlige oplysninger” og en “Capcom informationslækage dedikeret forespørgselskontor” som “spilbruger forespørgselskontor” og “generel forespørgselskontor”, begge med gratis telefonnumre.

Og fra det tidspunkt, hvor lækagen af mindst nogle oplysninger blev opdaget, tog det 4 dage at offentliggøre en pressemeddelelse om lækagen.

Dette er en periode, der var nødvendig for at verificere en vis mængde detaljerede oplysninger og træffe beslutninger om fremtidige svar, som beskrevet ovenfor.

Persondata lækage og krisehåndtering

I modsætning til den første rapport om “systemfejl”, vil den anden rapport, der siger “op til 350.000 kunders personlige oplysninger kan være blevet lækket”, blive omtalt i flere medier.

Capcom har været udsat for et skræddersyet ransomware-angreb fra en tredjepart, hvilket har resulteret i lækage af personlige oplysninger, som virksomhedsgruppen besidder. Som det står den 16. november, kan de oplysninger, der potentielt kan være lækket, inkludere op til omkring 350.000 poster, inklusive kunder og forretningspartnere. Der er også en mulighed for, at forretnings- og udviklingsdokumenter kan være blevet lækket.

Capcom, op til 350.000 personlige oplysninger lækket på grund af uautoriseret adgang “Ingen problemer med gameplay” – BCN+R[ja]

Imidlertid, da informationer som “detaljer om opdagelsen og reaktionen” og “fremtidige reaktioner” også blev offentliggjort på tidspunktet for pressemeddelelsen, blev ovenstående artikel afsluttet med en sætning som “Fremover vil vi samarbejde med politimyndighederne og oprette en rådgivende organisation for systemets sikkerhed ved hjælp af eksterne eksperter for at forhindre gentagelse. Der vil ikke være nogen skade på brugere eller udenfor virksomheden gennem internetforbindelse for at spille vores spil eller adgang til vores hjemmeside. Desuden opfordrer vi brugere, der muligvis har haft deres personlige oplysninger lækket, til at være opmærksomme på muligheden for at modtage uventet post eller mistænkelige kontakter.”

I en pressemeddelelse efter opdagelsen af persondata lækage, kan det siges, at det er vigtigt at afsløre en vis mængde af samlet information, herunder “detaljer om opdagelsen og reaktionen” og “fremtidige reaktioner”.

Og på tidspunktet for opdagelsen af persondata lækage,

  • Stor softwarevirksomhed
  • Stor sikkerhedsspecialist leverandør
  • Ekstern advokat med dyb viden om cybersikkerhed

Det kan siges, at det er vigtigt at danne et team af eksterne eksperter som ovenstående, og parallelt med rene IT-foranstaltninger, såsom at finde årsagen, at gå videre med at kontakte kunder, hvor lækage er bekræftet, og krisehåndterings PR.

Desuden, i tilfælde af børsnoterede virksomheder, er det nødvendigt at forklare aktionærer og lignende som en del af denne krisehåndterings PR.

Mulighed for lækage af ansøgerinformation

Desuden har der været spørgsmål på sociale medier i forbindelse med, at Capcom havde angivet i sin pressemeddelelse, at der var en mulighed for lækage af “information” og “personlige oplysninger (kunder, forretningspartnere, etc.) op til omkring 350.000 sager”, herunder “ansøgerinformation (omkring 125.000 sager)”. Dette skyldes, at Capcom havde angivet på deres egen rekrutteringshjemmeside, at de ville destruere ansøgerinformation.

Capcom havde angivet på deres egen rekrutteringshjemmeside, at “ansøgningsdokumenter fra personer, der ikke blev ansat som følge af udvælgelsesprocessen, eller som afviste jobtilbuddet, vil blive destrueret med ansvar efter udvælgelsen”. Der har været spørgsmål på Twitter om, hvorfor personlige oplysninger, der skulle have været destrueret, ikke blev det. Capcom forklarede, at “vi digitaliserede ansøgernes CV’er og opbevarede dem i en vis periode”. De undskyldte og sagde, “Der var ingen omtale af digitalisering, og udtrykket var utilstrækkeligt, hvilket førte til misforståelser. Vi beklager”. Med hensyn til årsagen til opbevaring forklarede de, “Nogle ansøgere ansøger flere gange. Det var for at kunne kontrollere tidligere ansøgningshistorikker nemt”. De sagde, at det på nuværende tidspunkt er uklart, om de opbevarede alle ansøgeres data.

Capcom, destruerede ikke ansøgningsdokumenter fra afviste ansøgere. På rekrutteringssiden står der “destruerer med ansvar”, men der er mulighed for informationslækage på grund af cyberangreb – ITmedia NEWS[ja]

Det er uklart, om Capcom forudså disse spørgsmål, men hvis der er information i virksomheden, der ikke burde eksistere (og det er forståeligt, hvis folk tror det), og der er en mulighed for, at det er blevet lækket, ville det være bedre at overveje dette problem på forhånd og udsende en pressemeddelelse.

Opstart af sikkerhedstilsynskomité, herunder advokater

Offentliggørelse af den tredje pressemeddelelse

Desuden afholdt Capcom den 21. december et forberedende møde for opstarten af en “Sikkerhedstilsynskomité” som en rådgivende organisation for systemets sikkerhed ved eksterne eksperter.

Den følgende år, den 12. januar 2021, offentliggjorde de den tredje pressemeddelelse med titlen “Meddelelse og undskyldning om informationslækage på grund af uautoriseret adgang [Tredje rapport]”,

Det blev bekræftet, at yderligere 16.406 personer havde fået deres data lækket, hvilket bringer det samlede antal siden hændelsen startede til 16.415 personer. Desuden blev det afsløret, at det maksimale antal kunder og eksterne partnere, hvis personlige oplysninger muligvis er blevet lækket, er omkring 390.000 (en stigning på omkring 40.000 fra sidste gang).

Der er opdateret information i takt med undersøgelsens fremskridt. Desuden, udover at kreditkortoplysninger ikke er blevet lækket,

Internetforbindelsen og køb via download, der er nødvendige for at spille vores spil, har aldrig brugt det system, der blev angrebet denne gang, og vi har altid brugt eksterne tjenester eller separate eksterne servere, som vi gør nu. Derfor er der ingen forbindelse mellem internetforbindelsen og køb via download, der er nødvendige for at spille vores spil, og dette cyberangreb på vores system, og der vil ikke være nogen skade på vores kunder.

Meddelelse og undskyldning om informationslækage på grund af uautoriseret adgang [Tredje rapport] | Capcom Co., Ltd. [ja]

Dette er også blevet bemærket.

Om muligheden for lækage af personlige oplysninger fra jobansøgere

Desuden blev det på dette tidspunkt offentliggjort, at der var en mulighed for lækage af “personlige oplysninger om omkring 58.000 jobansøgere”, specifikt “et eller flere af navn, adresse, telefonnummer, e-mailadresse osv.”, som “ny information, der kan være lækket”.

Om dette punkt,

Med hensyn til ansøgerinformation blev det i november afsløret, at virksomheden havde opbevaret informationen efter udvælgelsen i forbindelse med cyberangrebet på virksomheden. I “Håndtering af personlige oplysninger” på rekrutteringswebstedet blev det oprindeligt angivet, at “vi vil ansvarligt destruere det efter udvælgelsen”. Derefter blev sætningen “På grund af accept af genansøgning, kan vi opbevare digitaliserede papirbaserede ansøgningsmaterialer i en vis periode for at lette bekræftelsen af tidligere ansøgninger” tilføjet i december 2020. Ifølge virksomheden, “Ansøgerens personlige oplysninger opbevares stadig i vores interne system, og driften er næsten uændret fra før uautoriseret adgang.

Capcom bekræfter lækage af personlige oplysninger for 16.000 personer, og afslører også muligheden for yderligere lækage af 58.000 personer i cyberangrebet i november 2020 – ITmedia NEWS[ja]

Dette er blevet rapporteret.

Krisestyring baseret på undersøgelsesresultater

Offentliggørelse af den fjerde pressemeddelelse

Derefter afholdt Capcom det første sikkerhedstilsynsudvalg den 18. januar, det andet sikkerhedstilsynsudvalg den 25. februar, og det tredje sikkerhedstilsynsudvalg den 26. marts, med en månedlig frekvens. Desuden modtog de en undersøgelsesrapport fra et stort sikkerhedsfirma og en rapport fra et stort softwarefirma den 31. marts.

På baggrund af disse oplysninger offentliggjorde de den fjerde pressemeddelelse, “Rapport om resultaterne af undersøgelsen af uautoriseret adgang [Fjerde rapport]” den 13. april.

I denne pressemeddelelse gav de en detaljeret teknisk forklaring baseret på ovenstående rapporter om “forløbet af reaktionen”, “årsagen til og omfanget af skaden”, og “foranstaltninger til at styrke sikkerheden for at forhindre gentagelse”. De nævnte også, at de har etableret et sikkerhedstilsynsudvalg, der inkluderer en advokat, der er ekspert i cybersikkerhed og persondata beskyttelseslovgivning (Japanese ~).

Rapportering og reaktion på løsesum

Desuden blev der den 1. marts rapporteret, at den ovennævnte cyberkriminelle gruppe “Ragnar Locker” havde krævet en løsesum på omkring 1,15 milliarder yen fra Capcom.

Cyberkriminelle gruppe “Ragnar Locker” har offentliggjort filer, som de hævder at have stjålet fra virksomheder, på deres egen hjemmeside og har krævet 11 millioner dollars (omkring 1,15 milliarder yen) i Bitcoin som løsesum, men Capcom har indtil videre nægtet at betale.

Capcom nægter at betale 1,15 milliarder yen! Grunden til, at løsesum ikke bør betales, selv i tilfælde af ransomware-skade | Sikkerhedsforanstaltninger i tele-arbejdstiden | Diamond Online[ja]

I reaktion på dette, i den fjerde pressemeddelelse, om løsesummen,

Om anerkendelse af løsesummen
Der var en beskedfil fra angriberen efterladt på det inficerede udstyr, og det er sandt, at vi blev bedt om at kontakte for forhandlinger med angriberen, men der var ingen omtale af løsesummen i filen. Som tidligere rapporteret, har vi besluttet ikke at forhandle med angriberen efter at have konsulteret politiet, og vi har faktisk ikke haft nogen kontakt overhovedet (se pressemeddelelse offentliggjort den 16. november 2020), så vi er ikke klar over beløbet.

Rapport om resultaterne af undersøgelsen af uautoriseret adgang [Fjerde rapport] | Capcom Co., Ltd.[ja]

De har offentliggjort en erklæring. Dette synes at være en reaktion på den specifikke sum på “1,15 milliarder yen” der blev nævnt i ovenstående rapporter og lignende.

Udgivelse på relaterede websteder osv.

Desuden har Capcom på samme dag, på andre websteder end deres eget firmawebsted, såsom “CAPCOM: Shadaloo Fighter Research Institute” (Street Fighter 5-relateret websted) og “CAPCOM ONLINE GAMES”,

[Opdatering] Meddelelse om systemfejl i gruppen
Tak for din fortsatte brug af “Capcom Online Games (COG)”. Vi har offentliggjort de seneste oplysninger om systemfejlen forårsaget af uautoriseret adgang til vores gruppesystem fra en tredjepart siden den 2. november 2020. Se venligst her for detaljer.

Meddelelsesdetaljer | Capcom Online Games[ja]

De har offentliggjort sider som denne.

Denne informationslækage blev tidligt opdaget som “noget der bruger ekstern outsourcing eller separat ekstern server”, og “der er ingen forbindelse mellem denne cyberangreb på vores system og internetforbindelsen eller køb via download for at spille spillet, og der er ingen skade på kunderne”, men

Det antages, at de offentliggjorde en sådan udgivelse på hver websted igen på tidspunktet for rapportering af undersøgelsesresultaterne for ikke at give brugerne nogen bekymring.

Opsummering

Som vi har set, i tilfælde af store personlige datalækager, er det vigtigt at:

  • Hurtigt rapportere hændelsen til politiet
  • Indberette situationen til eksterne advokater med dyb viden om cybersikkerhed og få deres vejledning og rådgivning
  • Have krisekommunikation håndteret af ovenstående team

Og når en vis mængde information er blevet samlet, er det vigtigt at:

  • Opstille et sikkerhedstilsynsudvalg, der inkluderer advokater

Det kan siges, at det er vigtigt at håndtere krisehåndtering hurtigt og organiseret.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Metoder til EXIT gennem IPO og M&A

Metoder til EXIT gennem IPO og M&A

General Corporate

Er det i strid med reglerne for hovedbeskæftigelse at have en deltids- eller dobbeltjob ved at udnytte deleøkonomien?

Er det i strid med reglerne for hovedbeskæftigelse at have en deltids- eller dobbeltjob ved at u.

General Corporate

Hvad er de juridiske problemer, man skal være opmærksom på ved udarbejdelse af en ICO-hvidbog?

Hvad er de juridiske problemer, man skal være opmærksom på ved udarbejdelse af en ICO-hvidbog?

General Corporate

Vigtige punkter at bemærke, når du sælger mad i en online butik - En forklaring på den japanske 'Lov om fødevarehygiejne'

Vigtige punkter at bemærke, når du sælger mad i en online butik - En forklaring på den japanske .

General Corporate

【Breaking News】Første anholdelse for overtrædelse af 'Japanese Personal Information Protection Law' i forbindelse med lækage af visitkortdata

【Breaking News】Første anholdelse for overtrædelse af 'Japanese Personal Information Protection L.

General Corporate

Hvad er proceduren og forbeholdene ved køb og salg af hjemmesider og hjemmeside M&A?

Hvad er proceduren og forbeholdene ved køb og salg af hjemmesider og hjemmeside M&A?

General Corporate

Er permanent makeup en medicinsk procedure? Den nye meddelelse fra det Japanske Ministerium for Sundhed, Arbejde og Velfærd, som skønhedsklinikker bør være opmærksomme på

Er permanent makeup en medicinsk procedure? Den nye meddelelse fra det Japanske Ministerium for .

General Corporate

Hvad er kriterierne for overtrædelse af patentrettigheder? En forklaring på retspraksis

Hvad er kriterierne for overtrædelse af patentrettigheder? En forklaring på retspraksis

General Corporate

Hvad er en term sheet, når du modtager investeringer gennem J-KISS

Hvad er en term sheet, når du modtager investeringer gennem J-KISS

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tilbage til toppen