Õppetunnid kriisihaldusest ja advokaadi rollist Keio Ülikooli infolekkide näitel

Infolekked ebaseadusliku juurdepääsu tõttu ei ole piiratud ainult ettevõtetega, vaid esinevad ka haridusasutustes, kuid nende lahendused erinevad veidi ettevõtetest.

Eriti isikuandmete puhul, kus peamiselt on seotud õpilased ja õpetajad, on infolekkide juhtumite korral teabe avalikustamine tavaliselt piiratud ulatusega.

Kuid isikuandmete kaitse osas ei muutu midagi, olgu selleks siis ettevõte või kool – infolekkide puhul on kriisijuhtimise põhitõed samad.

Seega, sel korral selgitame kriisijuhtimise põhipunkte, tuginedes Keio Ülikooli Shonan Fujisawa campus’e (edaspidi Keio SFC) infolekkide juhtumitele, mis tulenevad ebaseaduslikust juurdepääsust isikuandmetele.

Keio SFC infomatsioonilekke ülevaade

Keio SFC-s toimunud ebaseadusliku juurdepääsu tõttu toimunud infomatsioonilekke peamised punktid on järgmised:

• Leke avastati: 2020. aasta 29. septembri varahommikul selgus, et on võimalik, et õppetoe süsteemi (SFC-SFS) on ebaseaduslikult juurde pääsetud.
  ※ SFC-SFS on süsteem, millel on funktsioonid nagu masspostitused õppijatele, õppijate nimekirjade allalaadimine, aruannete / ülesannete registreerimine, esitamise vastuvõtmine, hinded (kommentaarid) registreerimine, loengute uuringute kommentaaride sisestamine / vaatamine jne.
• Leke põhjustas: 19 süsteemi kasutaja ID-d ja paroolid varastati ning kolmas isik kasutas neid ebaseaduslikult süsteemi sisenemiseks. SFC-SFS-i haavatavus on peamine põhjus.
• Leke ulatus: Shonan Fujisawa campus haldas õpilaste ja õppejõudude isiklikku teavet
• Leke sisu: Lisaks “nimele”, “aadressile”, “kontonimele” ja “e-posti aadressile” sisaldab see õpilaste puhul “fotot”, “õpilasnumbrit”, “krediidiinfo”, “sisselaske kuupäeva” jne ning õppejõudude puhul “õppejõu number”, “ametikoht”, “profiil”, “isiklik e-posti andmed” jne.
• Leke juhtumid: Infomatsioonilekke võimalus on umbes 33 000 juhtumit

Ebaõiglane juurdepääs ja esmane reageerimine

15. septembril kell 17:45 tuvastati Keio SFC IT-osakonnas hajutatud haavatavuse skaneerimise jälgi SFC-SFS-i suhtes.

Lisaks tuvastati 28. septembri õhtul SFC-SFS süsteemile suunatud kahtlase juurdepääsu uurimisel 29. septembri varahommikul ebaõiglase juurdepääsu tõttu teabe lekke võimalus.

Keio SFC alustas järgmise esmase reageerimisega päev pärast ebaõiglase juurdepääsu eelkäija, haavatavuse skaneerimise tuvastamist:

• Kõigi kasutajate paroolide muutmise taotlus (16. september, 30. september)
• Kõigi autentimiskohtade ja autentimislogide pidev jälgimine (jätkub alates 16. septembrist)
• Ühiskasutatava arvuti sisselogimise piiramine väljastpoolt ainult avaliku võtme autentimisele (16. september)
• Haavatavusega tuvastatud veebiteenuste peatamine ja haavatavate kohtade parandamine [käimas] (järjest alates 16. septembrist, SFC-SFS 29. september)
• SFC-SFS süsteemi peatamine (29. september)

Keio SFC esmane reageerimine

Kui ebaõiglane juurdepääs avastatakse, on tavapärane luua vastumeetmete peakorter ja tegeleda esmase reageerimisega, kuid selles küsimuses tundub, et IT-osakond, mille juhiks on Keio Gijuku püsiv direktor ja kõrgeim infoturbejuht, hr Kunio, toimis vastumeetmete peakorterina.

Esmase reageerimise puhul on oluline “info isoleerimine”, “võrgu katkestamine” ja “teenuse peatamine”, et vältida kahju laienemist ja sekundaarse kahju tekkimist. Keio SFC puhul on süsteemi kasutajad aga piiratud õpilaste ja õppejõududega, seega on prioriteediks paroolide muutmine ja sisselogimismeetodi piiramine.

Kuid asjaolu, et nad hakkasid kohe tegutsema, kui nad tuvastasid ebaõiglase juurdepääsu eelkäija, ja peatasid SFC-SFS süsteemi 29. septembril, kui teabe lekke võimalus selgus, võib pidada asjakohaseks kriisijuhtimise reageerimiseks.

Muret tekitav punkt Keio SFC esmase reageerimise osas on see, kas nad on teatanud järelevalveasutustele ja politseile pärast tõendite säilitamise meetmete võtmist ebaõiglase juurdepääsu, mis on kuritegu, vastu, kuid seda ei saa kinnitada, kuna pressiteadetes ega meedias ei ole seda kirjeldatud.

Teavitamine seotud isikutele

Keio SFC teavitused õpilastele ja õppejõududele tehti äriteate e-posti teel ja esimene kord, kui mainiti isikuandmete leket, oli tõenäoliselt 30. septembri e-kiri.

29. septembril teavitati Keio SFC töötajaid, et “tõsine probleem” on tekkinud ja SFC-SFS on peatatud.

30. septembril paluti kõigil SFC-SFS kasutajatel muuta oma paroole, kuna selle probleemi tõttu võis “kasutajakonto teave” lekkida.

Lisaks teavitati töötajaid, et SFC-SFS peatamise tõttu ei saa nad õpilaste valimist ja õpilastega suhtlemist plaanipäraselt läbi viia, mistõttu nad peavad mõneks ajaks loenguid peatama.

J-CAST News, kes kuulis seda teavet, uuris seda ja avaldas samal päeval artikli pealkirjaga “Tõsine probleem Keio SFC loengusüsteemis, sügissemestri algus nädal aega hilinenud”, kus “kasutajakonto teave” lekkis avalikkusele.

1. oktoobril teatas Keio SFC oma veebisaidil õpilastele, et SFC-SFS peatati 29. septembril, kuna oli võimalik ebaõiglane juurdepääs, ja selle mõju tõttu peatatakse loengud 1. oktoobrist 7. oktoobrini. (Märkus: isikuandmete lekke kohta pole mainitud)

Pressiteade pärast infoleket

Esimest korda avalikustati isikuandmete leke ebaseadusliku juurdepääsu tõttu 10. novembril veebisaidil.

Sellel korral avastati, et Shonan Fujisawa kampuse infotehnoloogia võrgusüsteemis (SFC-CNS) ja õppetoe süsteemis (SFC-SFS) on mingil viisil varastatud 19 kasutaja (õppejõudude) ID-d ja paroole ning neid kasutades on toimunud ebaseaduslik juurdepääs väljastpoolt ja õppetoe süsteemi (SFC-SFS) haavatavust ära kasutav rünnak, mille tulemusena on võimalik, et kasutajate isikuandmed on lekkinud süsteemist. Vabandame südamest, et selline olukord on tekitanud segadust ja muret kõigile asjaosalistele. Praeguse seisuga ei ole teist tüüpi kahju tuvastatud.

Keio Ülikool “Isikuandmete leke SFC-CNS ja SFC-SFS süsteemides ebaseadusliku juurdepääsu tõttu”[ja]

Selles pressiteates oli ka üksikasjalikku teavet järgmiste küsimuste kohta:

• Leke võimalike isikuandmete sisu
• Leke avastamise asjaolud
• Leke põhjused
• Reageerimine pärast avastamist
• Praegune olukord
• Ennetusmeetmed

Ülaltoodud sisu hõlmab peaaegu kõiki vajalikke punkte isikuandmete lekke avalikustamiseks.

Keio SFC pressiteade

Pressiteate ajastus

Tavaliselt peaks Keio SFC olema esimene, kes avalikustab, kuid fakt, et nad avalikustasid 41 päeva pärast J-CAST Newsi aruannet, on hilinenud.

Sest isikuandmete lekke korral on vaja kiiresti teavitada lekkinud isikuandmete omanikku, et vältida sekundaarseid kahjustusi.

Kuid kui nad on 30. septembril parooli muutmise taotluse ajal teavitanud “kasutajakonto teabe” konkreetse sisu, siis pole probleemi.

Hoiatus pettuse ja tüütute tegevuste eest

Pressiteates pärast infoleket tuleb avalikustada toimunud infoleke, teavitada ja vabandada isikut, kelle isikuandmed on lekkinud, ning hoiatada pettuse ja tüütute tegevuste eest, et vältida kahju.

Kui isegi suletud ülikoolilinnaku teave lekib välismaailma, võib seda kuritarvitada, ja ka sel juhul on vajalik hoiatus pettuse ja tüütute tegevuste eest.

Kriisireageerimise keskmes olevad meetmete peakorter

Keio SFC kirjeldab oma pressiteates “taasilmumise vältimise meetmete” osas meetmete peakorterit järgmiselt.

Keio Ülikoolis võtame arvesse hiljutist ebaseaduslikku juurdepääsu juhtumit ja tegeleme kiiresti meetmetega, mis on suunatud taasilmumise vältimisele, nagu veebirakenduste ja süsteemide turvakontroll ja parandamine, isikuandmete kaitseks mõeldud käsitsemise ülevaatamine jne. Lisaks oleme alates 1. novembrist 2020 (Gregooriuse kalendri järgi) loonud ülikoolis CSIRT-i (Jaapani – Infoturbeintsidendi reageerimismeeskond), et luua organisatsioon, mis suudab tegeleda kõikehõlmava küberjulgeolekuga, ning teeme koostööd välise ekspertorganisatsiooniga, et tugevdada turvalisust kogu ülikoolis.

Keio Ülikool “Isikuandmete leke ebaseadusliku juurdepääsu tõttu SFC-CNS-ile ja SFC-SFS-ile”[ja]

Esialgne reageerimine sellele juhtumile tundub, et Keio SFC sisemine organisatsioon täitis otse meetmete peakorteri rolli, kuid 1. novembril 2020 (Gregooriuse kalendri järgi) loodud “CSIRT” on organisatsioon, mis vastab meetmete peakorterile, mis on keskne kriisireageerimine turvalisuse tugevdamisel ja tulevaste intsidentide korral.

CSIRT-i liikmete koosseis pole teada, kuid lisaks süsteemi turvameetmetele on vaja teha samaaegselt ka sihtkasutajatele suunatud kontakte, teateid järelevalveasutustele ja politseile, meediale suunatud tegevusi, õigusliku vastutuse kaalumist jne. Seetõttu on üldiselt vaja järgmiste väliste kolmandate osapoolte organisatsioonide või ekspertide osalemist.

• Suured tarkvarafirmad
• Suured turvaspetsialistid
• Välised advokaadid, kellel on sügavad teadmised küberjulgeolekust

Kokkuvõte

Nagu sel korral haridusvaldkonnas ilmnenud isikuandmete lekke puhul, on oluline nõuetekohane “esmane reageerimine” ja “teavitamine, raporteerimine ja avalikustamine”, mida juhib meetmete peakorter, ning järgnevad “turvameetmed”.

Eriti kiiret tegutsemist nõuab mitte ainult esmane reageerimine, vaid ka teavitamine ja raporteerimine politseile ja asjaomastele ministeeriumidele, teavitamine (vabandamine) isikule ning avalikustamine õigel ajal.

Kuid kui teete vea protseduurides või tegevuskavas, võib teid süüdistada kahju hüvitamise kohustuses, seega soovitame teil mitte otsustada iseseisvalt, vaid konsulteerida eelnevalt küberjulgeoleku alaste teadmiste ja kogemustega advokaadiga.

Kui olete huvitatud Capcomi pahavara tekitatud infoleke kriisijuhtimisest, lugege selle kohta üksikasjalikumalt meie artiklist.

https://monolith.law/ettevõtte/capcom-infoleke-kriisijuhtimine[ja]

Meie büroo poolt pakutavad meetmed

Monolise õigusbüroo on IT, eriti interneti ja õiguse mõlemal alal kõrge spetsialiseerumisega õigusbüroo. Meie büroos teostame erinevate juhtumite õiguslikku kontrolli, alates Tokyo börsi esmaste ettevõtete nimekirjas olevatest ettevõtetest kuni idufirmadeni. Palun vaadake allpool toodud artiklit.