Krisenmanagement und die Rolle des Anwalts im Lichte des Informationslecks bei Capcom
Der Informationsleck bei Capcom, das im November 2020 (Reiwa 2) aufgetreten ist, wurde durch eine maßgeschneiderte Ransomware verursacht und es besteht die Möglichkeit, dass bis zu 390.000 persönliche Daten durchgesickert sind.
Natürlich ist es besser, wenn solche Vorfälle nicht auftreten, und es ist zunächst wichtig, ein System zu etablieren, das solche Vorfälle verhindert. Aber egal welches System man einrichtet, es ist unmöglich, die Wahrscheinlichkeit ihres Auftretens vollständig auf Null zu reduzieren.
Was sollte man tun und wann und wie sollte man es ankündigen, wenn ein solcher Vorfall trotzdem eintritt?
In diesem Artikel werden wir den Informationsleck bei Capcom aus der Perspektive des Krisenmanagements bei einem Vorfall von “Durchsickern persönlicher Informationen durch Malware” zeitlich geordnet erklären, um aus der Reaktion des Unternehmens das richtige Krisenmanagement zu lernen.
※Ein Anwalt hat eine hohe Vertraulichkeitspflicht nach dem japanischen Anwaltsgesetz für Fälle, in die er tatsächlich als Anwalt involviert ist. Dieser Artikel äußert die Ansicht eines Anwalts auf der Grundlage von allgemein veröffentlichten Informationen über vergangene Fälle, in die unsere Kanzlei nicht involviert war.
Entdeckung und erste Reaktion auf den Vorfall
Der Vorfall wurde am 2. November 2020 bestätigt.
Zu diesem Zeitpunkt wurde eine Verbindungsstörung zum internen System festgestellt und Maßnahmen zur Unterbrechung des Systems und zur Erfassung des Schadensausmaßes wurden eingeleitet.
Noch am selben Tag wurde festgestellt, dass die Ursache der Störung eine Verschlüsselung von Dateien auf Netzwerkgeräten durch einen Ransomware-Angriff war.
Auf den betroffenen Endgeräten wurde eine Drohbotschaft einer Gruppe entdeckt, die sich als “Ragnar Locker” ausgab.
Zu diesem Zeitpunkt hat Capcom die Polizei in der Präfektur Osaka informiert und externe Unternehmen um Unterstützung bei der Wiederherstellung gebeten.
Es ist natürlich notwendig, das System so schnell wie möglich nach einem Vorfall wiederherzustellen, um den Geschäftsbetrieb des Unternehmens aufrechtzuerhalten. Wenn jedoch ein Ransomware-Angriff bestätigt wird, ist es sehr wahrscheinlich, dass es sich um einen sogenannten illegalen Zugriff handelt, der durch das japanische Gesetz zur Verhinderung illegaler Zugriffe verboten ist.
Es ist wichtig, die Polizei so schnell wie möglich zu informieren, bevor der Weg des Eindringens identifiziert wird und bevor bestätigt wird, dass vertrauliche Informationen, einschließlich persönlicher Daten, durchgesickert sind.
Krisenkommunikation vor der Entdeckung von Informationslecks
Am Tag nach dem Vorfall, dem 4. November, veröffentlichte Capcom seine erste Pressemitteilung mit dem Titel “Ankündigung über Systemausfall durch unbefugten Zugriff”.
Wir haben bestätigt, dass dieser Ausfall durch einen unbefugten Zugriff von Dritten verursacht wurde, und haben daher den Betrieb unseres internen Netzwerks teilweise eingestellt. Wir entschuldigen uns zutiefst für die erheblichen Unannehmlichkeiten, die dies für alle Beteiligten verursacht. Zum jetzigen Zeitpunkt wurde kein Informationsleck, wie z.B. Kundendaten, festgestellt.
Ankündigung über Systemausfall durch unbefugten Zugriff[ja]
Zu diesem Zeitpunkt handelte es sich lediglich um einen “Systemausfall” durch “unbefugten Zugriff”, und es gab noch keine Anzeichen für ein Informationsleck.
Pressemitteilung nach Aufdeckung eines Informationslecks
Anzahl der möglicherweise betroffenen persönlichen Informationen usw.
Das Informationsleck wurde am 12. November entdeckt.
Es wurde festgestellt, dass persönliche Informationen von 9 Personen und einige Unternehmensinformationen durchgesickert sind.
Am nächsten Tag bat Capcom ein großes Sicherheitsunternehmen um eine Untersuchung zur Ursachenklärung und veröffentlichte am 16. November eine Pressemitteilung, in der bestätigt wurde, dass Informationen durchgesickert waren.
Zu diesem Zeitpunkt wurden
- bestätigte durchgesickerte Informationen
- Informationen, die möglicherweise durchgesickert sind
unterschieden und für jede Kategorie
- persönliche Informationen (Kunden, Geschäftspartner usw.)
- persönliche Informationen (Mitarbeiter und Beteiligte)
- Unternehmensinformationen (Umsatzinformationen, Geschäftspartnerinformationen, Verkaufsunterlagen, Entwicklungsunterlagen usw.)
wurden unterschieden und die ungefähre Anzahl der Fälle veröffentlicht.
Zu diesem Zeitpunkt wurde bekannt gegeben, dass “es eine Möglichkeit gibt, dass bis zu etwa 350.000 Kundendaten durchgesickert sind”.
Vorhandensein und Reaktion auf Kreditkarteninformationen
Außerdem wurde gleichzeitig
Wir weisen darauf hin, dass unser Unternehmen alle Zahlungen im Online-Verkauf usw. auslagert und daher keine Kreditkarteninformationen besitzt und keine Kreditkarteninformationen durchgesickert sind.
Mitteilung und Entschuldigung für den Informationsverlust durch unbefugten Zugriff[ja]
erwähnt, ob Kreditkarteninformationen durchgesickert sind und zusätzlich,
- Reaktion auf Personen, bei denen persönliche Informationen durchgesickert sind und bei denen dies möglich ist
- Verlauf der Entdeckung und Reaktion
- Zukünftige Maßnahmen
wurden solche Informationen veröffentlicht.
Anleitung und Beratung von externen Anwälten usw.
In der Pressemitteilung wurde auch
Wir haben die Situation einem großen Softwareunternehmen, einem großen Sicherheitsspezialisten und einem externen Anwalt mit tiefem Wissen über Cybersicherheit gemeldet und Anleitung und Beratung erhalten. Wir beginnen, die betroffenen Personen und Parteien zu kontaktieren und werden die Untersuchung zu Informationen, die möglicherweise gestohlen wurden, fortsetzen.
Mitteilung und Entschuldigung für den Informationsverlust durch unbefugten Zugriff[ja]
angekündigt.
Außerdem wurden “Kontaktstellen für persönliche Informationen” und “Capcom Informationsleck spezielle Kontaktstelle” als “Game User Kontaktstelle” und “Allgemeine Kontaktstelle” jeweils mit einer gebührenfreien Nummer bereitgestellt.
Und es hat vier Tage gedauert, von dem Zeitpunkt, an dem zumindest ein Teil des Informationslecks entdeckt wurde, bis zur Veröffentlichung der Pressemitteilung, dass ein Informationsleck aufgetreten ist.
Es wird angenommen, dass dies eine unvermeidliche Zeit war, um eine gewisse Überprüfung der Informationen und Entscheidungen über zukünftige Maßnahmen zu treffen.
Persönliche Datenlecks und Krisenmanagement
Im Gegensatz zu den ersten Berichten über “Systemausfälle” werden die zweiten Berichte, die besagen, dass “bis zu 350.000 Kundendaten möglicherweise durchgesickert sind”, von mehreren Medien aufgegriffen.
Capcom wurde Opfer eines maßgeschneiderten Ransomware-Angriffs von Dritten, bei dem persönliche Daten, die von der Unternehmensgruppe gehalten wurden, durchgesickert sind. Stand 16. November besteht die Möglichkeit, dass bis zu etwa 350.000 Datensätze, einschließlich Kunden und Geschäftspartner, durchgesickert sind. Es besteht auch die Möglichkeit, dass Geschäfts- und Entwicklungsunterlagen durchgesickert sind.
Capcom, bis zu 350.000 persönliche Daten durchgesickert durch unbefugten Zugriff “Keine Beeinträchtigung des Spiels” – BCN+R[ja]
Jedoch wurden zur Zeit der Pressemitteilung auch Informationen wie “Entdeckung und Reaktionsverlauf” und “zukünftige Maßnahmen” veröffentlicht, so dass der obige Artikel mit Sätzen wie “In der Zukunft wird das Unternehmen versuchen, eine Zusammenarbeit mit den Polizeibehörden aufzubauen und eine Beratungsorganisation für Systemsicherheit durch externe Experten einzurichten, um Wiederholungen zu verhindern. Es wird davon ausgegangen, dass es keine Ausweitung des Schadens auf Benutzer oder außerhalb des Unternehmens durch den Zugang zum Internet zum Spielen der Unternehmensspiele oder zum Zugang zur Unternehmenswebsite gibt. Darüber hinaus werden Benutzer, bei denen die Möglichkeit besteht, dass ihre persönlichen Daten durchgesickert sind, aufgefordert, vorsichtig zu sein, da sie möglicherweise Post erhalten, die sie nicht erwarten, oder verdächtige Kontakte haben.” abgeschlossen wird.
In einer Pressemitteilung nach der Entdeckung eines Datenlecks ist es wichtig, wie oben erwähnt, eine gewisse Menge an zusammenhängenden Informationen, einschließlich “Entdeckung und Reaktionsverlauf” und “zukünftige Maßnahmen”, zu veröffentlichen.
Und zum Zeitpunkt der Entdeckung eines Datenlecks ist es wichtig, ein Team von externen Experten wie
- Große Softwareunternehmen
- Große Sicherheitsspezialisten
- Externe Anwälte mit tiefem Wissen über Cybersicherheit
zu bilden und Maßnahmen wie die Kontaktaufnahme mit Kunden, bei denen ein Datenleck bestätigt wurde, und Krisenmanagement-PR parallel zu reinen IT-Maßnahmen wie der Ursachenforschung durchzuführen.
Außerdem ist es für börsennotierte Unternehmen notwendig, im Rahmen dieser Krisenmanagement-PR auch Erklärungen für Aktionäre und andere zu liefern.
Mögliche Datenleck von Bewerberinformationen
In der veröffentlichten Pressemitteilung “Mögliche Datenlecks” und “Persönliche Informationen (Kunden, Geschäftspartner usw.) von bis zu 350.000 Fällen” wurde die Frage aufgeworfen, ob es einen Zusammenhang mit der Tatsache gibt, dass Capcom auf seiner eigenen Rekrutierungsseite die Vernichtung von “Bewerberinformationen (etwa 125.000 Fälle)” angegeben hat.
Capcom hat auf seiner eigenen Rekrutierungsseite angegeben, dass “Bewerbungsunterlagen von Personen, die nicht eingestellt wurden oder die Einstellung abgelehnt haben, werden nach der Auswahl von unserem Unternehmen verantwortungsvoll vernichtet”. Es gibt Stimmen auf Twitter, die die Reaktion des Unternehmens in Frage stellen, da persönliche Informationen, die eigentlich vernichtet werden sollten, nicht vernichtet wurden. Capcom entschuldigte sich und erklärte, dass “wir die Lebensläufe der Bewerber digitalisiert und für eine bestimmte Zeit aufbewahrt haben. Es gab ein Missverständnis, weil wir nichts über die Digitalisierung gesagt haben und unsere Ausdrucksweise unzureichend war”. In Bezug auf den Grund für die Aufbewahrung erklärte das Unternehmen, dass “es Bewerber gibt, die mehrmals bewerben. Es war, um die Bewerbungshistorie reibungslos zu überprüfen”. Ob alle Bewerberdaten aufbewahrt wurden, ist “derzeit unklar”.
Capcom, Bewerbungsunterlagen von nicht eingestellten Bewerbern nicht vernichtet. Auf der Rekrutierungsseite steht “verantwortungsvoll vernichtet”, aber es besteht die Möglichkeit eines Datenlecks durch Cyber-Angriffe – ITmedia NEWS[ja]
Es ist unklar, ob Capcom diese Fragen vorhergesehen hat, aber wenn Informationen, die eigentlich nicht existieren sollten (und es ist bis zu einem gewissen Grad unvermeidlich, dass sie so wahrgenommen werden), im Unternehmen vorhanden sind und es eine Möglichkeit gibt, dass sie durchgesickert sind, wäre es besser gewesen, eine Pressemitteilung zu veröffentlichen, nachdem man diese Frage im Voraus untersucht hat.
Gründung des Sicherheitsüberwachungsausschusses, einschließlich Anwälten
Veröffentlichung der dritten Pressemitteilung
Capcom hat am 21. Dezember ein Vorbereitungstreffen für die Gründung des “Sicherheitsüberwachungsausschusses” als beratende Organisation für System-Sicherheit durch externe Experten abgehalten.
Am 12. Januar des folgenden Jahres 2021 veröffentlichte das Unternehmen die dritte Pressemitteilung mit dem Titel “Mitteilung und Entschuldigung bezüglich des Informationslecks durch unbefugten Zugriff【Dritter Bericht】”, in dem es heißt:
Es wurde bestätigt, dass weitere 16.406 Personen betroffen sind, was die Gesamtzahl der Betroffenen seit Beginn des Vorfalls auf 16.415 erhöht. Darüber hinaus wurde festgestellt, dass die maximale Anzahl von Kunden und Geschäftspartnern, deren persönliche Informationen möglicherweise durchgesickert sind, etwa 390.000 beträgt (eine Zunahme von etwa 40.000 gegenüber dem vorherigen Bericht).
Es enthält aktualisierte Informationen basierend auf dem Fortschritt der Untersuchung. Darüber hinaus wird bestätigt, dass keine Kreditkarteninformationen durchgesickert sind, und es wird festgestellt:
Die Systeme, die ursprünglich für den Internetzugang und den Kauf von Downloads zum Spielen unserer Spiele verwendet wurden, waren nicht diejenigen, die bei diesem Angriff betroffen waren, und wir haben weiterhin externe Dienstleister oder separate externe Server genutzt. Daher gibt es keinen Zusammenhang zwischen dem Cyber-Angriff auf unser System und dem Internetzugang oder dem Kauf von Downloads zum Spielen unserer Spiele, und es gibt keine Auswirkungen auf unsere Kunden.
Mitteilung und Entschuldigung bezüglich des Informationslecks durch unbefugten Zugriff【Dritter Bericht】 | Capcom Co., Ltd. [ja]
Diese Aussage wurde ebenfalls gemacht.
Über die Möglichkeit des Informationslecks von Bewerberdaten
Zudem wurde die Möglichkeit des Informationslecks von “etwa 58.000 Bewerbern”, konkret “mindestens eines der folgenden: Name, Adresse, Telefonnummer, E-Mail-Adresse usw.”, als “neu bestätigte mögliche Leckinformationen” veröffentlicht.
Zu diesem Punkt wurde berichtet:
Im Zusammenhang mit den Bewerberinformationen wurde im November bekannt, dass das Unternehmen die Informationen nach der Auswahl nicht vernichtet, sondern aufbewahrt hatte. Ursprünglich wurde in der “Behandlung von persönlichen Informationen” auf der Bewerbungsseite angegeben, dass “wir die Informationen nach der Auswahl verantwortungsvoll vernichten werden”. Im Dezember 2020 wurde jedoch der Satz “Aufgrund der Tatsache, dass wir erneute Bewerbungen akzeptieren, kann es vorkommen, dass wir die digitalisierten Bewerbungsunterlagen für eine bestimmte Zeit aufbewahren, um frühere Bewerbungen reibungslos zu überprüfen” hinzugefügt. Laut dem Unternehmen “sind die persönlichen Informationen der Bewerber immer noch in unserem internen System gespeichert, und die Operationen haben sich kaum von vor dem unbefugten Zugriff geändert.
Capcom bestätigt den Informationsverlust von 16.000 Personen und enthüllt die Möglichkeit des Informationsverlusts von weiteren 58.000 Personen durch den Cyber-Angriff im November 2020 – ITmedia NEWS[ja]
Dies wurde berichtet.
Krisenmanagement-Kommunikation basierend auf Untersuchungsergebnissen
Veröffentlichung der vierten Pressemitteilung
Im Anschluss veranstaltete Capcom am 18. Januar (2021) die erste Sicherheitsüberwachungskommission, am 25. Februar die zweite Sicherheitsüberwachungskommission und am 26. März die dritte Sicherheitsüberwachungskommission, wobei die Sicherheitsüberwachungskommission monatlich abgehalten wurde. Darüber hinaus erhielt Capcom am 31. März Untersuchungsberichte von großen Sicherheitsunternehmen und Berichte von großen Softwareunternehmen.
Basierend auf diesen Ergebnissen veröffentlichte Capcom am 13. April die vierte Pressemitteilung mit dem Titel “Bericht über die Untersuchungsergebnisse bezüglich des unbefugten Zugriffs [4. Bericht]”.
In dieser Mitteilung wurden detaillierte technische Erläuterungen zu “Verlauf der Reaktion”, “Ursache und Auswirkungsbereich des Schadens” und “Sicherheitsverbesserungsmaßnahmen zur Verhinderung von Wiederholungen” gegeben, die auf den oben genannten Berichten basieren. Darüber hinaus wurde die Einrichtung einer Sicherheitsüberwachungskommission, einschließlich eines Anwalts, der ein Experte für Cybersicherheit und den japanischen Datenschutzgesetz ist, als organisatorische Maßnahme angeführt.
Berichterstattung und Reaktion auf Lösegeldforderungen
Zwischenzeitlich, am 1. März, wurde berichtet, dass die oben genannte Cyberkriminelle Gruppe “Ragnar Locker” von Capcom ein Lösegeld von etwa 1,15 Milliarden Yen forderte.
Die Cyberkriminelle Gruppe “Ragnar Locker” hat auf ihrer eigenen Website Dateien veröffentlicht, die sie behauptet, von Unternehmen gestohlen zu haben, und forderte 11 Millionen Dollar (etwa 1,15 Milliarden Yen) in Bitcoin als Lösegeld, aber Capcom hat bisher die Zahlung abgelehnt.
Capcom lehnt Zahlung von 1,15 Milliarden Yen ab! Warum man auch bei Ransomware-Schäden kein Lösegeld zahlen sollte | Sicherheitsmaßnahmen in der Ära des Telearbeits | Diamond Online[ja]
In Reaktion darauf wurde in der oben genannten vierten Pressemitteilung auch über das Lösegeld gesagt:
Erkenntnisse über den Lösegeldbetrag
Bericht über die Untersuchungsergebnisse bezüglich des unbefugten Zugriffs [4. Bericht] | Capcom Co., Ltd.[ja]
Auf den Geräten, die mit Ransomware infiziert waren, wurde eine Nachrichtendatei vom Angreifer hinterlassen, und es ist wahr, dass wir aufgefordert wurden, Kontakt für Verhandlungen mit dem Angreifer aufzunehmen, aber in der Datei gab es keine Angaben zum Lösegeldbetrag. Wie bereits berichtet, haben wir uns nach Rücksprache mit der Polizei entschieden, nicht mit dem Angreifer zu verhandeln, und tatsächlich haben wir überhaupt keinen Kontakt aufgenommen (siehe Pressemitteilung vom 16. November 2020), daher kennen wir den Betrag nicht.
Dies scheint eine Reaktion auf die Berichterstattung zu sein, in der ein spezifischer Betrag von “1,15 Milliarden Yen” genannt wurde.
Veröffentlichung auf verwandten Websites usw.
Darüber hinaus hat Capcom am selben Tag auf Websites außerhalb ihrer eigenen Unternehmenswebsite, wie “CAPCOM: Shadaloo Combat Research Institute” (Street Fighter 5-bezogene Website) und “CAPCOM ONLINE GAMES”, veröffentlicht:
[Fortsetzung] Ankündigung über Störungen im Gruppensystem
Vielen Dank für Ihre ständige Nutzung von “Capcom Online Games (COG)”. Wir haben die neuesten Informationen über die Systemstörungen veröffentlicht, die durch den unbefugten Zugriff von Dritten auf unser Gruppensystem seit den frühen Morgenstunden des 2. November 2020 verursacht wurden. Bitte überprüfen Sie hier für Details. Ankündigungsdetails | Capcom Online Games
Und hat solche Seiten veröffentlicht.
Wie bereits in einem frühen Stadium der Informationslecks festgestellt wurde, handelte es sich um “externe Aufträge oder die separate Nutzung externer Server”, und “es gibt keinen Zusammenhang zwischen dem Cyberangriff auf unser System und der Internetverbindung oder dem Download zum Spielen des Spiels, und es gibt keinen Schaden für die Kunden”, aber
Es wird angenommen, dass sie erneut eine solche Veröffentlichung auf jeder Website veröffentlicht haben, um den Benutzern keine Sorgen zu machen, wenn sie die Untersuchungsergebnisse melden.
Zusammenfassung
Wie wir gesehen haben, ist es in Fällen, in denen ein großer Datenleck von persönlichen Informationen aufgetreten ist, wichtig:
- Den Vorfall unverzüglich der Polizei zu melden
- Eine Struktur zu schaffen, in der man Berichte an “externen Anwälte mit tiefem Wissen in Cyber-Sicherheit” sendet und Anleitung und Ratschläge erhält
- Krisenmanagement und Öffentlichkeitsarbeit durch das oben genannte Team
Und wenn genügend Informationen gesammelt wurden, ist es wichtig:
- Die Bildung eines Sicherheitsüberwachungsausschusses, einschließlich Anwälten
Es kann also gesagt werden, dass es wichtig ist, Krisenmanagement schnell und organisiert durchzuführen.