MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Aprendiendo de la gestión de crisis y el papel del abogado en la filtración de información de la Universidad Keio

General Corporate

Aprendiendo de la gestión de crisis y el papel del abogado en la filtración de información de la Universidad Keio

Las filtraciones de información debido a accesos no autorizados no solo ocurren en las empresas, sino también en el ámbito educativo, aunque la respuesta parece ser un poco diferente en este último.

En particular, en lo que respecta a la información personal, los estudiantes y el personal docente suelen ser los principales afectados, por lo que la divulgación de información en caso de un incidente de filtración de información tiende a realizarse dentro de un alcance limitado.

Sin embargo, tanto las empresas como las escuelas no difieren en cuanto a la protección de la información personal, y los principios básicos de la gestión de crisis en caso de filtraciones de información son los mismos.

Por lo tanto, en esta ocasión, desde el punto de vista de la gestión de crisis para incidentes de filtración de información personal debido a accesos no autorizados, explicaremos los puntos clave del sistema de gestión de crisis basándonos en la respuesta al incidente de filtración de información en el campus de Shonan Fujisawa de la Universidad Keio (en adelante, Keio SFC).

Resumen del incidente de fuga de información en Keio SFC

Los principales detalles relacionados con la fuga de información debido al acceso no autorizado que ocurrió en Keio SFC son los siguientes:

  • Descubrimiento de la fuga: Se descubrió la posibilidad de una fuga de información debido al acceso no autorizado al sistema de apoyo a la enseñanza (SFC-SFS)※ en la madrugada del 29 de septiembre de 2020.
    ※SFC-SFS es un sistema que tiene funciones como el envío de correos electrónicos masivos a los estudiantes inscritos, la descarga de la lista de estudiantes inscritos, el registro de informes y tareas, la recepción de entregas, el registro de calificaciones (comentarios), la entrada y visualización de comentarios en la encuesta de clases.
  • Causa de la fuga: Las ID y contraseñas de 19 usuarios del sistema fueron robadas, y un tercero las utilizó de manera no autorizada para ingresar al sistema. Se cree que la vulnerabilidad de SFC-SFS es la principal causa.
  • Alcance de la fuga: Información personal de estudiantes y personal que estaba siendo administrada por el campus de Shonan Fujisawa.
  • Contenido de la fuga: Incluye “nombre”, “dirección”, “nombre de cuenta”, “dirección de correo electrónico”, y en el caso de los estudiantes, “fotografía”, “número de estudiante”, “información de créditos obtenidos”, “fecha de ingreso”, etc., y en el caso del personal, “número de empleado”, “posición”, “perfil”, “datos de correo electrónico personal”, etc.
  • Número de casos de fuga: Hay aproximadamente 33,000 casos en los que es posible que se haya producido una fuga de información.

Detección de acceso no autorizado y respuesta inicial

El 15 de septiembre a las 17:45, se confirmaron indicios de exploración de vulnerabilidades esporádicas en el SFC-SFS por parte del departamento de IT de Keio SFC.

Además, la noche del 28 de septiembre, se detectó un acceso sospechoso al sistema SFC-SFS. Como resultado de la investigación, se descubrió la posibilidad de una fuga de información debido a un acceso no autorizado en la madrugada del 29 de septiembre.

Keio SFC ha iniciado las siguientes respuestas iniciales desde el día después de confirmar la exploración de vulnerabilidades, un presagio de acceso no autorizado:

  • Solicitud de cambio de contraseña a todos los usuarios (16 de septiembre, 30 de septiembre)
  • Monitoreo continuo de todos los puntos de autenticación y registros de autenticación (continuando desde el 16 de septiembre)
  • Limitar el inicio de sesión al servidor compartido desde fuera de la escuela solo a la autenticación de clave pública (16 de septiembre)
  • Suspensión del servicio web donde se confirmó la vulnerabilidad y reparación del punto vulnerable【En progreso】(Secuencialmente desde el 16 de septiembre, SFC-SFS el 29 de septiembre)
  • Suspensión del sistema SFC-SFS (29 de septiembre)

Sobre la respuesta inicial de Keio SFC

En caso de detección de acceso no autorizado, es fundamental establecer un equipo de respuesta y tomar medidas iniciales. En este caso, parece que el departamento de IT, liderado por el Sr. Kunio, el Director Permanente de Keio Gijuku y el Oficial de Información y Seguridad de la Información, funcionó como un equipo de respuesta.

Lo importante en la respuesta inicial es prevenir la expansión del daño y la aparición de daño secundario mediante la “aislamiento de la información”, “corte de la red” y “suspensión del servicio”. En el caso de Keio SFC, dado que los usuarios del sistema no son un número indeterminado de personas, sino que se limitan a estudiantes y personal, se da prioridad al cambio de contraseña y la limitación del método de inicio de sesión.

Sin embargo, el hecho de que se movieron inmediatamente después de confirmar el presagio de acceso no autorizado, y además, que suspendieron el sistema SFC-SFS el 29 de septiembre cuando se descubrió la posibilidad de fuga de información, puede considerarse una respuesta adecuada a la gestión de crisis.

Lo que preocupa acerca de la respuesta inicial de Keio SFC es si se tomaron medidas para preservar la evidencia contra el acceso no autorizado, que es un delito, y si se informó a las autoridades supervisoras y a la policía. Sin embargo, no se puede confirmar porque no hay descripción en los comunicados de prensa o en los medios de comunicación.

Sobre la notificación a las partes interesadas

La notificación a los estudiantes y personal de Keio SFC se realizó en forma de correo electrónico de comunicación empresarial, y se cree que el correo electrónico del 30 de septiembre fue el primero en mencionar la fuga de información personal.

El 29 de septiembre, se notificó al personal de Keio SFC que se había producido un “problema grave” y que se detendría el SFC-SFS.

El 30 de septiembre, se solicitó a todos los usuarios de SFC-SFS que cambiaran sus contraseñas, ya que había la posibilidad de que la “información de la cuenta del usuario” se hubiera filtrado debido a este problema.

Además, se notificó al personal que, debido a la suspensión de SFC-SFS, no podrían comunicarse con los estudiantes inscritos como estaba previsto y que se suspenderían las clases durante un cierto período.

Al escuchar esta información, J-CAST News realizó una entrevista y publicó un artículo titulado “Problema grave en el sistema de clases de Keio SFC, inicio del semestre de otoño retrasado una semana” el mismo día, haciendo pública la fuga de “información de la cuenta del usuario”.

El 1 de octubre, en el sitio web de Keio SFC, se notificó a los estudiantes que se había detenido el SFC-SFS el 29 de septiembre debido a la posibilidad de acceso no autorizado, y que las clases se suspenderían del 1 al 7 de octubre debido a este impacto. (※No se menciona la fuga de información personal)

Comunicado de prensa tras la detección de una filtración de información

El primer anuncio público sobre la filtración de información personal debido a un acceso no autorizado se realizó el 10 de noviembre en nuestro sitio web.

En esta ocasión, se ha descubierto que en el sistema de red de información del campus de Shonan Fujisawa (SFC-CNS) y el sistema de apoyo a la enseñanza (SFC-SFS), los ID y contraseñas de 19 usuarios (personal docente) del sistema fueron robados de alguna manera, y se utilizó este acceso no autorizado desde el exterior y un ataque que explotó la vulnerabilidad del sistema de apoyo a la enseñanza (SFC-SFS), lo que podría haber llevado a la filtración de información personal de los usuarios desde este sistema. Lamentamos profundamente haber causado molestias y preocupaciones a todas las partes involucradas debido a este incidente. Hasta ahora, no se ha confirmado ningún daño secundario.

Keio Gijuku “Sobre la filtración de información personal debido al acceso no autorizado a SFC-CNS y SFC-SFS”[ja]

Este comunicado de prensa también incluía información detallada sobre los siguientes puntos:

  • Contenido de la información personal que podría haberse filtrado
  • Cómo se descubrió la filtración
  • Causa de la filtración
  • Respuesta después del descubrimiento
  • Situación actual
  • Medidas para prevenir la recurrencia

Los puntos mencionados cubren casi todos los elementos necesarios para los documentos de divulgación sobre la filtración de información.

Sobre el comunicado de prensa de Keio SFC

El momento del comunicado de prensa

En principio, Keio SFC debería haber sido la primera en hacer un anuncio público, pero no podemos evitar decir que fue tarde al hacerlo 41 días después de la noticia de J-CAST News.

Esto se debe a que, en caso de una filtración de información personal, es necesario notificar rápidamente a la persona cuya información se ha filtrado para prevenir daños secundarios.

Sin embargo, no hay problema si se informó el contenido específico de la “información de la cuenta del usuario” en el momento de la solicitud de cambio de contraseña el 30 de septiembre.

Advertencia contra el fraude y las molestias

En el comunicado de prensa después de la detección de la filtración de información, es necesario hacer un anuncio público sobre la filtración de información que ha ocurrido, informar y disculparse con la persona si su información personal se ha filtrado, y advertir para evitar ser víctima de fraude y molestias.

Si la información dentro de un campus cerrado se filtra al mundo exterior, existe la posibilidad de que se abuse, y en este caso también es necesario advertir contra el fraude y las molestias.

El cuartel general central para la gestión de crisis

Keio SFC describe el cuartel general en su comunicado de prensa sobre las “medidas para prevenir la recurrencia” de la siguiente manera:

En Keio Gijuku, a la luz de este incidente de acceso no autorizado, nos comprometemos a trabajar rápidamente en medidas para prevenir la recurrencia, como la revisión y mejora de la seguridad de las aplicaciones web y sistemas en toda la universidad, y la revisión del manejo de la información personal para protegerla. Además, hemos establecido un CSIRT (Equipo de Respuesta a Incidentes de Seguridad de la Información) en la universidad a partir del 1 de noviembre de 2020 (año 2020 del calendario gregoriano), y estamos trabajando para fortalecer la seguridad en toda la universidad, mientras construimos una organización que pueda responder de manera integral a la ciberseguridad y colaboramos con instituciones especializadas externas.

Keio Gijuku “Sobre la fuga de información personal debido al acceso no autorizado a SFC-CNS y SFC-SFS”[ja]

La respuesta inicial a este incidente parece haber sido manejada por la organización interna de Keio SFC, que asumió el papel del cuartel general. Sin embargo, el “CSIRT” establecido el 1 de noviembre de 2020 (año 2020 del calendario gregoriano) es una organización que equivale al cuartel general central para la gestión de crisis en caso de futuros incidentes y para el fortalecimiento de la seguridad.

La composición del CSIRT no está clara, pero además de las medidas de seguridad del sistema, es necesario llevar a cabo simultáneamente la comunicación con los usuarios afectados, los informes a las autoridades supervisoras y la policía, la gestión de los medios de comunicación, y la consideración de la responsabilidad legal. Por lo tanto, generalmente se requiere la participación de las siguientes organizaciones externas de terceros y expertos:

  • Grandes empresas de software
  • Grandes vendedores especializados en seguridad
  • Abogados externos con profundo conocimiento en ciberseguridad

Resumen

Incluso en casos como el presente, donde se ha descubierto una fuga de información personal en el ámbito educativo, es importante una respuesta inicial adecuada, la “notificación, informe y publicación” centrada en el cuartel general de medidas, y las “medidas de seguridad” posteriores.

Lo que se requiere con especial rapidez no es solo la respuesta inicial, sino también la notificación e informe a la policía y a las agencias gubernamentales pertinentes, la notificación (disculpas) a la persona afectada y la publicación en el momento adecuado.

Sin embargo, si se cometen errores en los procedimientos o en las medidas a tomar, existe la posibilidad de ser objeto de responsabilidad por daños y perjuicios. Por lo tanto, recomendamos que no tome decisiones por su cuenta, sino que consulte con un abogado con amplios conocimientos y experiencia en ciberseguridad.

Si está interesado en la gestión de crisis durante la fuga de información causada por el malware de Capcom, por favor vea el artículo donde se detalla más a fondo.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Presentación de las medidas propuestas por nuestro despacho

Monolith Law Office es un despacho de abogados con alta especialización en IT, especialmente en Internet y derecho. En nuestro despacho, realizamos revisiones legales para una variedad de casos, desde empresas cotizadas en la Bolsa de Valores de Tokio hasta startups. Por favor, consulte el artículo a continuación.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Volver arriba