Dansk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_da/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdage 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Lærer om krisehåndtering og advokaters rolle fra informationslækagen ved Keio Universitet

Lærer om krisehåndtering og advokaters rolle fra informationslækagen ved Keio Universitet

General Corporate

Lærer om krisehåndtering og advokaters rolle fra informationslækagen ved Keio Universitet

Informationslækager som følge af uautoriseret adgang sker ikke kun i virksomheder, men også i uddannelsesinstitutioner, selvom håndteringen synes at være lidt anderledes end i virksomheder.

Især når det kommer til personlige oplysninger, som hovedsageligt involverer studerende og undervisningspersonale, er offentliggørelsen af information begrænset til et bestemt omfang, når en informationslækage hændelse opstår.

Men når det kommer til beskyttelse af personlige oplysninger, er der ingen forskel mellem virksomheder og skoler, og grundlæggende krisehåndtering i tilfælde af informationslækage er den samme.

Derfor vil vi i denne artikel forklare nøglepunkterne i krisehåndteringssystemet baseret på Keio University Shonan Fujisawa Campus’ (herefter, Keio SFC) håndtering af en informationslækage hændelse forårsaget af uautoriseret adgang til personlige oplysninger.

Oversigt over datalækagen ved Keio SFC

De vigtigste detaljer om datalækagen ved Keio SFC, forårsaget af uautoriseret adgang, er som følger:

  • Datalækagens opdagelse: Den 29. september 2020 blev det opdaget, at der var mulighed for datalækage på grund af uautoriseret adgang til undervisningsstøttesystemet (SFC-SFS).
    ※ SFC-SFS er et system med funktioner som massemails til studerende, download af studerendes navnelister, registrering af rapporter og opgaver, modtagelse af indsendelser, registrering af karakterer (kommentarer), indtastning og visning af kommentarer til undervisningsundersøgelser.
  • Årsagen til lækagen: 19 brugeres ID’er og adgangskoder blev stjålet, og en tredjepart misbrugte disse til at trænge ind i systemet. SFC-SFS’s sårbarhed anses for at være den primære årsag.
  • Omfanget af lækagen: Personlige oplysninger om studerende og ansatte, som blev administreret af Shonan Fujisawa Campus.
  • Indholdet af lækagen: Udover “navn”, “adresse”, “brugernavn” og “e-mailadresse”, inkluderede lækagen for studerende “ansigtsfoto”, “studienummer”, “information om optjente kreditter”, “dato for indskrivning” osv., og for ansatte “ansatnummer”, “stilling”, “profil”, “personlig e-maildata” osv.
  • Antallet af lækager: Der er mulighed for datalækage i omkring 33.000 tilfælde.

Opdagelse af uautoriseret adgang og indledende respons

Omkring kl. 17:45 den 15. september blev der observeret spor af sporadiske sårbarhedssøgninger på SFC-SFS-systemet i IT-afdelingen ved Keio SFC.

Yderligere, om aftenen den 28. september, blev der opdaget mistænkelig adgang til SFC-SFS-systemet, og efter undersøgelse blev det klart i de tidlige timer den 29. september, at der var en mulighed for informationslækage på grund af uautoriseret adgang.

Keio SFC har iværksat følgende indledende respons fra dagen efter bekræftelsen af sårbarhedssøgningen, som er et forvarsel om uautoriseret adgang:

  • Anmodning om ændring af alle brugeres adgangskoder (16. september, 30. september)
  • Kontinuerlig overvågning af alle godkendelsessteder og godkendelseslogfiler (fortsat fra 16. september)
  • Begrænsning af login til fælles servere fra uden for skolen til kun offentlig nøglegodkendelse (16. september)
  • Stop af webtjenester, hvor sårbarheder er bekræftet, og reparation af sårbarhedssteder [i gang] (efter 16. september, SFC-SFS den 29. september)
  • Stop af SFC-SFS-systemet (29. september)

Om Keio SFC’s indledende respons

Når uautoriseret adgang opdages, er det grundlæggende at etablere en beredskabsenhed og håndtere den indledende respons, men i dette tilfælde synes IT-afdelingen, ledet af Mr. Kuniryō, den permanente direktør for Keio Gijuku og Chief Information Officer og Chief Information Security Officer, at have fungeret som beredskabsenhed.

Det vigtige ved den indledende respons er at forhindre spredning af skader og forekomst af sekundære skader ved at “isolere information”, “afbryde netværket” og “stoppe tjenester”, men i Keio SFC’s tilfælde er brugerne af systemet ikke et ubestemt antal, men begrænset til studerende og ansatte, så ændring af adgangskoder og begrænsning af loginmetoder er prioriteret.

Imidlertid kan det siges, at det var en passende krisehåndtering, at de straks begyndte at handle, da de bekræftede forvarselet om uautoriseret adgang, og yderligere stoppede SFC-SFS-systemet den 29. september, da muligheden for informationslækage blev klar.

En bekymring vedrørende Keio SFC’s indledende respons er, om de har rapporteret til tilsynsmyndigheder og politiet efter at have truffet bevisbevarende foranstaltninger mod uautoriseret adgang, som er en forbrydelse, men det kan ikke bekræftes, da der ikke er nogen beskrivelse i pressemeddelelser eller medierapporter.

Om meddelelse til de involverede parter

Meddelelsen til Keio SFC’s studerende og ansatte blev foretaget i form af en forretningsmeddelelses-e-mail som følger, og det ser ud til, at den første e-mail, der nævnte lækage af personlige oplysninger, var den 30. september.

Den 29. september blev det meddelt til Keio SFC’s ansatte, at SFC-SFS blev stoppet på grund af en “alvorlig fejl”.

Den 30. september blev alle brugere af SFC-SFS anmodet om at ændre deres adgangskoder, da der var en mulighed for, at “brugerens kontoinformation” kunne være lækket på grund af denne fejl.

Desuden blev det meddelt til de ansatte, at de ikke ville være i stand til at gennemføre valget af studerende, der tager kurser, eller kontakte studerende som planlagt på grund af stoppet af SFC-SFS, og at de ville aflyse klasser i en vis periode.

J-CAST News, der hørte om denne information, interviewede og offentliggjorde en artikel med titlen “Alvorlig fejl i Keio SFC’s klasseværelsessystem, starten af efterårssemesteret er en uge forsinket” den samme dag, og “brugerens kontoinformation” blev offentlig kendt.

Den 1. oktober blev det meddelt på Keio SFC’s websted til studerende, at SFC-SFS blev stoppet den 29. september på grund af muligheden for uautoriseret adgang, og at klasser ville blive aflyst fra den 1. til den 7. oktober på grund af denne indvirkning. (※ Der er ingen omtale af lækage af personlige oplysninger)

Pressemeddelelse efter afsløring af datalæk

Den første offentliggørelse om persondatalæk som følge af uautoriseret adgang blev foretaget den 10. november på vores hjemmeside.

Denne gang har vi opdaget, at bruger-ID’er og adgangskoder til 19 brugere (lærere og personale) på vores Shonan Fujisawa Campus Information Network System (SFC-CNS) og vores undervisningsstøttesystem (SFC-SFS) er blevet stjålet på en eller anden måde. Disse oplysninger er blevet brugt til uautoriseret adgang udefra og et angreb, der udnyttede sårbarheder i undervisningsstøttesystemet (SFC-SFS), hvilket har ført til mulig lækage af personlige oplysninger fra systemet. Vi beklager dybt, at denne situation er opstået, og at det har forårsaget besvær og bekymring for alle involverede. På nuværende tidspunkt er der ikke bekræftet nogen sekundær skade.

Keio University “Om persondatalækage som følge af uautoriseret adgang til SFC-CNS og SFC-SFS”[ja]

Denne pressemeddelelse indeholdt også detaljerede oplysninger om følgende emner:

  • Indholdet af de personlige oplysninger, der muligvis er blevet lækket
  • Omstændighederne omkring opdagelsen af lækagen
  • Årsagen til lækagen
  • Reaktionen efter opdagelsen
  • Nuværende situation
  • Foranstaltninger til at forhindre gentagelse

Disse emner dækker stort set alle de nødvendige punkter i offentliggørelsesmateriale om datalækage.

Om Keio SFC’s pressemeddelelse

Tidspunktet for pressemeddelelsen

Normalt skulle Keio SFC have offentliggjort dette selv først, men det faktum, at det blev offentliggjort 41 dage efter rapporteringen fra J-CAST News, kan ikke undgå at blive betragtet som for sent.

Dette skyldes, at det er nødvendigt at skynde sig med at underrette de berørte personer om lækagen af deres personlige oplysninger for at forhindre sekundær skade.

Men hvis de på tidspunktet for anmodningen om ændring af adgangskoden den 30. september har informeret om det specifikke indhold af “brugerens kontoinformation”, er der ingen problemer.

Advarsel mod svindel og generende adfærd

I en pressemeddelelse efter afsløringen af datalækage er det nødvendigt at offentliggøre oplysninger om det opståede datalækage, informere og undskylde over for den berørte person, hvis personlige oplysninger er blevet lækket, og advare mod risikoen for at blive offer for svindel og generende adfærd.

Hvis informationer, der er indeholdt inden for en lukket campus, lækker ud til den ydre verden, er der risiko for misbrug, og i dette tilfælde er det nødvendigt at advare mod svindel og generende adfærd.

Krisecenteret er kernen i håndteringen

Keio SFC beskriver i deres pressemeddelelse om “forebyggelse af gentagelse” krisecenteret som følger:

Keio University vil, i lyset af denne uautoriserede adgangssag, hurtigt tage fat på foranstaltninger for at forhindre gentagelse, såsom sikkerhedstjek og forbedring af webapplikationer og systemer på tværs af hele universitetet, og revision af håndteringen af personlige oplysninger for at beskytte dem. Desuden har vi oprettet et CSIRT (Computer Security Incident Response Team) på universitetet fra den 1. november 2020 (Reiwa 2), og vi vil arbejde på at opbygge en organisation, der kan håndtere cybersikkerhed på en omfattende måde, samtidig med at vi samarbejder med eksterne specialiserede institutioner for at styrke sikkerheden på tværs af hele universitetet.

Keio University “Om lækage af personlige oplysninger på grund af uautoriseret adgang til SFC-CNS og SFC-SFS”[ja]

Den oprindelige reaktion på denne sag ser ud til at være håndteret af Keio SFC’s interne organisation, som fungerede som krisecenteret, men det “CSIRT”, der blev oprettet den 1. november 2020, er en organisation, der svarer til krisecenteret, der vil være kernen i håndteringen af kriser, når der opstår hændelser i fremtiden.

Det er uklart, hvem der er medlemmer af CSIRT, men udover sikkerhedsforanstaltninger for systemet, er det nødvendigt at håndtere kontakt til de berørte brugere, rapportering til tilsynsmyndigheder og politi, mediehåndtering, og overvejelse af juridisk ansvar samtidigt. Generelt kræver dette deltagelse af følgende eksterne tredjepartsorganisationer og eksperter:

  • Store softwarevirksomheder
  • Store sikkerhedsspecialistfirmaer
  • Eksterne advokater med dyb viden om cybersikkerhed

Opsummering

Selv i tilfælde som dette, hvor der er opdaget en lækage af personlige oplysninger i uddannelsesmiljøet, er det vigtigt med en passende ‘første reaktion’ og ‘meddelelse, rapportering og offentliggørelse’ centreret omkring krisestyringsenheden, samt efterfølgende ‘sikkerhedsforanstaltninger’.

Det er ikke kun den første reaktion, der kræver hastighed, men også meddelelse og rapportering til politiet og relevante ministerier, meddelelse (undskyldning) til den pågældende person, og offentliggørelse på det rette tidspunkt.

Men hvis du begår fejl i proceduren eller i håndteringen, kan du blive holdt ansvarlig for erstatning, så det anbefales at du konsulterer en advokat med rig erfaring og viden om cybersikkerhed, i stedet for at træffe beslutninger på egen hånd.

Hvis du er interesseret i krisehåndtering i forbindelse med lækage af information forårsaget af Capcoms malware, kan du læse mere i artiklen nedenfor.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Introduktion til vores tiltag

Monolis Advokatfirma er et advokatfirma med høj ekspertise inden for IT, især internettet og lovgivning. Vi udfører juridiske kontroller for en bred vifte af sager, fra top-tier organisationer noteret på Tokyo Stock Exchange Prime til tidlige startups. Se venligst nedenstående artikel for reference.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Virksomheder, der udvider til Europa, må ikke gå glip af dette: En forklaring på de vigtigste punkter i EU's lovgivning og retssystem

Virksomheder, der udvider til Europa, må ikke gå glip af dette: En forklaring på de vigtigste pu.

General Corporate

Punkter at være opmærksom på ved annoncering af kosttilskud

Punkter at være opmærksom på ved annoncering af kosttilskud

General Corporate

Hvad er 'citatret' i henhold til den japanske ophavsretslov? En forklaring på de 4 krav for lovlig brug

Hvad er 'citatret' i henhold til den japanske ophavsretslov? En forklaring på de 4 krav for lovl.

General Corporate

Metoder til EXIT gennem IPO og M&A

Metoder til EXIT gennem IPO og M&A

General Corporate

Kinas Data Sikkerhedslov: Hvad er det, og hvilke foranstaltninger bør japanske virksomheder træffe?

Kinas Data Sikkerhedslov: Hvad er det, og hvilke foranstaltninger bør japanske virksomheder træf.

General Corporate

Anmodning om videoredigering til Cloud-arbejdere: Forklaring af de 6 punkter i en forretningsuddelegationskontrakt

Anmodning om videoredigering til Cloud-arbejdere: Forklaring af de 6 punkter i en forretningsudd.

General Corporate

En advokats letforståelige forklaring på nøglepunkterne i de japanske retningslinjer for medicinsk reklame

En advokats letforståelige forklaring på nøglepunkterne i de japanske retningslinjer for medicin.

General Corporate

Er der ophavsret på masseproducerede industriprodukter? Forklaring af forholdet til den japanske 'Design Law'

Er der ophavsret på masseproducerede industriprodukter? Forklaring af forholdet til den japanske.

General Corporate

Analyse af Toshibas regnskabsføringsskandale: Hvad er krisehåndtering for at forhindre skade på brandimage?

Analyse af Toshibas regnskabsføringsskandale: Hvad er krisehåndtering for at forhindre skade på .

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tilbage til toppen