MONOLITH LAW OFFICE+81-3-6262-3248Weekdays 10:00-18:00 JST

MONOLITH LAW MAGAZINE

General Corporate

Õppetunnid Capcomi infolekkidest: kriisijuhtimine ja advokaadi roll

General Corporate

Õppetunnid Capcomi infolekkidest: kriisijuhtimine ja advokaadi roll

Capcomi infoleke, mis toimus 2020. aasta novembris (2020年11月), oli põhjustatud kohandatud tüüpi lunavara poolt ja võimalik, et see põhjustas kuni 390 000 isikuandmete lekke.

Intsidendid ei tohiks muidugi juhtuda ja esmatähtis on luua süsteem, mis neid ära hoiaks. Kuid hoolimata sellest, millist süsteemi rakendada, on võimatu viia juhtumise tõenäosus täielikult nullini.

Kui selline intsident peaks siiski juhtuma, milliseid meetmeid ja uurimisi tuleks kohe pärast seda teha ning millal ja kuidas peaks seda avalikustama?

Selles artiklis käsitleme Capcomi infoleke juhtumit ajaliselt, et õppida kriisijuhtimise süsteemi, mis peaks olema olemas, vaadates ettevõtte reaktsiooni “isikuandmete lekke intsidentidele, mis on põhjustatud pahavarast”.

※Advokaadid on seadusega kohustatud hoidma kõrgetasemelist konfidentsiaalsust seoses juhtumitega, milles nad on tegelikult osalenud advokaadina. See artikkel esitab advokaadi seisukoha, tuginedes üldiselt avalikustatud teabele minevikus toimunud juhtumite kohta, milles meie büroo ei ole osalenud.

Intsidendi ilmnemine ja esmane reageerimine

Intsidendi toimumist kinnitati 2020. aasta 2. novembril.

Sel hetkel tuvastati ühendusprobleemid ettevõtte sisemise süsteemiga ning alustati süsteemi blokeerimist ja kahju ulatuse kindlakstegemist.

Samal päeval selgus, et rike oli põhjustatud võrguseadmete failide krüpteerimisest lunavara rünnaku tõttu.

Kahjustatud terminalides avastati ähvarduskiri grupilt, kes nimetas end “Ragnar Lockeriks”.

Sel hetkel teatas Capcom Osaka prefektuuri politseile ja palus välisfirmadelt taastamistuge.

Kui intsidendi ajal on süsteemi taastamine kiireloomuline, on see ettevõtte äritegevuse jätkamiseks loomulikult vajalik. Kuid kui on kinnitatud lunavara rünnak, on see tõenäoliselt nn ebaseaduslik juurdepääs, mis on ebaseadusliku juurdepääsu keelamise seaduse (Jaapani ebaseadusliku juurdepääsu keelamise seadus) alusel keelatud.

Enne kui kinnitatakse konfidentsiaalse teabe, sealhulgas isikuandmete leke, ja enne kui tuvastatakse sissetungi tee, on oluline teavitada politseid viivitamatult.

Kriisijuhtimise avalikustamine enne infolekke ilmnemist

Ja järgmisel päeval pärast juhtumi toimumist, 4. novembril, avaldas Capcom esimese pressiteate pealkirjaga “Teade süsteemirikke tekke kohta ebaseadusliku juurdepääsu tõttu”.

Oleme kinnitanud, et kolmandate isikute poolt on toimunud ebaseaduslik juurdepääs, mis on põhjustanud selle rikke, ja oleme seetõttu osaliselt peatanud meie sisemise võrgu töö. Vabandame südamest kõigi asjaosaliste ees, kellele see võib tekitada suurt ebamugavust. Praegusel hetkel ei ole meil teavet klientide andmete lekke kohta.

Teade süsteemirikke tekke kohta ebaseadusliku juurdepääsu tõttu [ja]

Selles etapis on tegemist ainult “süsteemirikkega”, mis on põhjustatud “ebaseaduslikust juurdepääsust”, ja infolekke ei ole veel ilmnenud.

Pressiteade pärast infoleket

Lekesta võimalik oleva isikliku info hulk jne

Infoleke avastati 12. novembril.

Kinnitati 9 isikuandmete ja mõne ettevõtteinfo leket.

Järgmisel päeval pöördus Capcom suure turvafirma poole, et uurida lekke põhjust, ja 16. novembril avaldas ta pressiteate, milles kinnitas info leket.

Sel hetkel,

  • lekkinud info
  • info, mis võib lekkida

eristati ja lisaks,

  • isikuandmed (kliendid, partnerid jne)
  • isikuandmed (töötajad ja seotud isikud)
  • ettevõtte info (müügiinfo, partnerite info, äridokumendid, arendusdokumendid jne)

eristati ja avaldati ligikaudne arv.

Sel hetkel avaldati, et “maksimaalselt umbes 350 000 kliendi isikuandmete lekke võimalus”.

Krediitkaardi info lekke olemasolu ja vastumeetmed jne

Lisaks,

Meie ettevõte on delegeerinud kõik maksete töötlemise võrgumüügi jms osas, seega me ei oma krediitkaardi infot ja krediitkaardi info leket ei ole.

Teade ja vabandus info lekke kohta ebaseadusliku juurdepääsu tõttu[ja]

mainiti krediitkaardi info lekke olemasolu ja lisaks,

  • vastumeetmed isikutele, kelle isikuandmete leke on kinnitatud ja kellel on selle võimalus
  • avastamise ja vastumeetmete ajalugu
  • tulevased vastumeetmed

avaldatakse sellist infot.

Välisadvokaatide jne juhised ja nõuanded jne

Ja pressiteates,

Teatasime olukorrast suurele tarkvarafirmale, suurele turvaspetsialistile, küberjulgeoleku asjatundjale välisadvokaadile ja saime juhiseid ja nõuandeid. Alustame teavitamist isikutest, kelle info leke on kinnitatud, ja seotud isikutest ning jätkame uurimist info suhtes, mis võib olla varastatud.

Teade ja vabandus info lekke kohta ebaseadusliku juurdepääsu tõttu[ja]

on ka selline avaldus.

Lisaks on “isikuandmete päringutele” ja “Capcomi info lekke eripäringutele” ette valmistatud “mängukasutaja päringute keskus” ja “üldpäringute keskus”, mõlemad on tasuta telefoninumbrid.

Ja vähemalt osa info lekkest avastati ja pressiteate avaldamiseni, et info leke on toimunud, kulus 4 päeva.

See on periood, mis on hädavajalik ülaltoodud üksikasjaliku info kontrollimiseks ja tulevaste vastumeetmete jne otsustamiseks.

Isikuandmete lekkimine ja kriisijuhtimine

Erinevalt esimesest teatest “süsteemirikke” kohta, võetakse teine teade, mis väidab, et “kuni 350 000 kliendi isikuandmeid võib olla lekkinud”, mitmetes meediakanalites üles.

Capcom sai kolmandalt osapoolelt tellitud lunavara rünnaku, mille tulemusena lekkisid ettevõtte grupi poolt hoitavad isikuandmed. 16. novembri seisuga võib lekkinud olla kuni 350 000 andmekirjet, sealhulgas klientide ja äripartnerite andmeid. Samuti võivad olla lekkinud äri- ja arendusdokumendid.

Capcom, kuni 350 000 isikuandme leke pärast ebaseaduslikku juurdepääsu. “Mängimine ei ole häiritud” – BCN+R[ja]

Kuid pressiteates avaldati ka “avastamise ja reageerimise ajalugu” ning “edasised meetmed”, seega lõpetati ka ülaltoodud artikkel järgmiste lausetega: “Edaspidi plaanitakse koostööd politseiga ning luuakse uus nõuandev organisatsioon süsteemi turvalisuse küsimustes, mida juhivad välised eksperdid, et vältida kordumist. Ettevõtte mängude mängimiseks internetiühenduse või ettevõtte veebilehele juurdepääsu kaudu ei laiene kahju kasutajatele ega väljaspool ettevõtet. Lisaks on isikuandmete lekke võimalusega kasutajaid hoiatatud, et nad võivad saada ootamatuid postisaadetisi või kahtlaseid kontakte.”

Isikuandmete lekke avastamise järel on pressiteates oluline avaldada ülaltoodud teavet, sealhulgas “avastamise ja reageerimise ajalugu” ning “edasised meetmed”.

Ja kui isikuandmete leke avastatakse, on oluline:

  • suurte tarkvarafirmade,
  • suurte turvaspetsialistide,
  • küberjulgeoleku alal kogenud välisadvokaatide,

meeskonna moodustamine, et teavitada lekkega kinnitatud kliente ja teisi, teha kriisijuhtimise avalikke suhteid jne, paralleelselt puhtalt IT-põhiste meetmetega, nagu põhjuste väljaselgitamine.

Lisaks, kui tegemist on börsiettevõttega, on osana sellest kriisijuhtimise avalikest suhetest vajalik ka aktsionäridele selgituste andmine.

Võimalik tööle kandideerijate info leke

Lisaks on avaldatud pressiteates “Võimalik lekkinud info” ja “Isikuandmed (kliendid, äripartnerid jne) kuni 350 000 ühikut” hulgas oli punkt “Tööle kandideerijate info (umbes 125 000 ühikut)”. Seoses sellega, et Capcom oli oma värbamissaidil märkinud, et nad hävitavad info, tekitas see sotsiaalmeedias küsimusi.

Capcom oli oma värbamissaidil märkinud, et “kandideerimisdokumendid, mis ei viinud töölevõtmiseni või millest loobuti, hävitatakse meie poolt vastutustundlikult pärast valiku tegemist”. Twitteris on küsimusi tekitanud asjaolu, et isikuandmeid, mis oleksid pidanud olema hävitatud, ei olnud hävitatud. Capcom vabandas, selgitades, et “kandideerijate CV-d digiteeriti ja hoiti teatud aja jooksul. Kuna digiteerimise kohta ei olnud mainitud ja väljendus oli puudulik, tekkis arusaamatus. Vabandame”. Hoidmise põhjuse kohta selgitasid nad, et “mõned kandideerijad kandideerivad mitu korda. See oli selleks, et saaksime varasemaid kandideerimisi sujuvalt kontrollida”. Kas kõiki kandideerijate andmeid hoiti ühtlaselt, on “praegu teadmata”.

Capcom, ei hävitanud tööle kandideerijate dokumente. Värbamislehel oli märgitud “hävitame vastutustundlikult”, kuid küberrünnaku tõttu on info lekke võimalus – ITmedia NEWS[ja]

Kuigi pole teada, kas Capcom ennustas selliseid küsimusi, kui “info, mida ei tohiks olla (ja mida võib mõistlikult eeldada, et pole olemas)” on ettevõttes olemas ja selle võib lekkida, oleks parem, kui nad oleksid selle probleemi eelnevalt läbi mõelnud ja seejärel pressiteate avaldanud.

Õigusnõustajate hulka kuuluva turvajärelevalve komitee loomine

Kolmanda pressiteate avaldamine

Lisaks korraldas Capcom 21. detsembril ettevalmistava koosoleku “Turvajärelevalve komitee” loomiseks, mis toimib süsteemi turvalisuse nõustajana välisekspertide poolt.

Järgmisel aastal, 12. jaanuaril 2021, avaldati kolmas pressiteade “Teade ja vabandus infolekkimise kohta ebaseadusliku juurdepääsu tõttu (kolmas raport)”,

Uus leke, mis hõlmas 16 406 inimest, tõi koguarvuks 16 415 inimest. Lisaks selgus, et võimalik lekkinud välisklientide ja äripartnerite isiklik teave on kuni 390 000 inimest (umbes 40 000 rohkem kui eelmisel korral).

Uuendatud teave on avaldatud vastavalt uurimise edenemisele. Lisaks sellele, et krediitkaardi teave ei ole lekkinud,

Interneti-ühendus ja allalaadimine meie mängude mängimiseks ei kasutanud algusest peale rünnaku all olnud süsteemi, vaid kasutasid eraldi välist teenusepakkujat või välist serverit, nagu praegugi. Seetõttu ei ole interneti-ühendus ja allalaadimine meie mängude mängimiseks seotud selle rünnakuga meie süsteemile ja kliendid ei kanna kahju.

Teade ja vabandus infolekkimise kohta ebaseadusliku juurdepääsu tõttu (kolmas raport) | Capcom Co., Ltd. [ja]

Seda on ka märgitud.

Tööotsijate isikuandmete lekke võimalikkus

Lisaks avaldati sel korral “uue lekke võimalikkusega teabe” osana “umbes 58 000 tööotsija” isikuandmed, täpsemalt “nimi, aadress, telefoninumber, e-posti aadress jne”.

Selle kohta,

Kandidaatide teabe osas selgus novembris, et seoses rünnakuga ettevõttele ei hävitatud teavet pärast valimist, vaid seda hoiti. Algselt oli töölevõtmise lehel “Isikuandmete käsitlemise kohta” märgitud, et “pärast valimist hävitame teabe ettevõttes vastutustundlikult”. Seejärel lisati detsembris 2020 lause “Kuna võtame vastu uusi taotlusi, võime teie taotlusmaterjale teatud aja jooksul hoida, et saaksime teie varasemaid taotlusi sujuvalt kontrollida”. Ettevõtte sõnul “hoitakse kandidaatide isikuandmeid praegu endiselt ettevõtte süsteemis ja toimingud on peaaegu samad kui enne ebaseaduslikku juurdepääsu.

Capcom kinnitab 16 000 inimese isikuandmete leket, lisaks selgub veel 58 000 inimese lekke võimalus – ITmedia NEWS[ja]

Seda on teatatud.

Uuringutulemustel põhinev kriisijuhtimise kommunikatsioon

Neljanda pressiteate avaldamine

Pärast seda korraldas Capcom 18. jaanuaril esimese turvajärelevalvekomitee koosoleku, 25. veebruaril teise turvajärelevalvekomitee koosoleku ja 26. märtsil kolmanda turvajärelevalvekomitee koosoleku, hoides turvajärelevalvekomitee koosolekuid kord kuus. Lisaks võttis Capcom 31. märtsil vastu uurimisaruande suurelt turvaspetsialiseeritud ettevõttelt ja aruande suurelt tarkvarafirmalt.

Vastuseks neile avaldas Capcom 13. aprillil neljanda pressiteate pealkirjaga “Ebaõiglaste juurdepääsude uurimistulemuste teatamine [Neljas aruanne]”.

Selles teates andis Capcom üksikasjaliku tehnilise selgituse, mis põhines eelkõige ülalmainitud aruannetel, “vastuse ajaloo”, “kahju põhjuse ja mõju ulatuse” ning “turvalisuse tugevdamise meetmete kohta taasjuhtumise vältimiseks”. Lisaks tõi Capcom välja organisatsioonilised meetmed, sealhulgas turvajärelevalvekomitee loomise, mis koosneb muuhulgas ühest advokaadist, kes on spetsialiseerunud küberturvalisusele ja isikuandmete kaitse seadusele.

Lunarahade kohta tehtud avaldused ja reageerimine

Samal ajal, 1. märtsil, teatati, et eelnevalt mainitud küberkuritegevuse rühmitus “Ragnar Locker” nõudis Capcomilt umbes 1,15 miljardi jeeni suurust lunaraha.

Küberkuritegevuse rühmitus “Ragnar Locker” avaldas oma veebisaidil faili, mida nad väidavad olevat ettevõttelt varastatud andmed, ja nõudsid lunaraha 11 miljoni dollari (umbes 1,15 miljardi jeeni) väärtuses bitcoine, kuid Capcom on praeguse seisuga keeldunud maksmast.

Capcom keeldub maksma 1,15 miljardit jeeni! Põhjused, miks ei tohiks maksta lunaraha isegi ransomware’i ohvriks langemise korral | Turvameetmed teletootmise ajastul | Diamond Online[ja]

Vastuseks sellele, neljandas pressiteates lunaraha kohta,

Teave lunaraha summa kohta
Ransomware’iga nakatunud seadmetel on jäänud alles ründaja sõnumifailid ja on tõsi, et meilt on nõutud kontakti loomist ründajaga läbirääkimiste pidamiseks, kuid samas failis ei olnud lunaraha summat märgitud. Nagu varem teatatud, oleme otsustanud mitte pidada läbirääkimisi ründajaga, konsulteerides politseiga, ja tegelikult ei ole me üldse kontakti loonud (vt pressiteadet 16. novembrist 2020 (Gregooriuse kalendri järgi)), seega me ei tea summat.

Teade ebaseadusliku juurdepääsu uurimise tulemuste kohta【Neljas teade】 | Capcom Co., Ltd.[ja]

Ja avaldas selle avalduse. Arvatakse, et see on reaktsioon asjaolule, et “1,15 miljardit jeeni” on konkreetse summana avalikkuse ette jõudnud.

Väljalasked seotud saitidel jne

Lisaks avaldas Capcom samal päeval oma ettevõtte veebisaidist eraldi saitidel, nagu “CAPCOM: Shadaloo võitlejate uurimisinstituut” (Street Fighter 5 seotud sait) ja “CAPCOM ONLINE GAMES”,

【Jätku-uudised】Teade grupisüsteemi rikke kohta
Täname teid väga, et kasutate pidevalt “Capcom Online Games (COG)”. Oleme avaldanud uusimad andmed meie grupisüsteemi rikke kohta, mis tulenes kolmandate isikute ebaseaduslikust juurdepääsust meie süsteemile alates 2020. aasta 2. novembri varahommikust. Palun kontrollige siit üksikasju.

Teate üksikasjad | Capcom Online Games

Lehekülgi nagu see.

Nagu varajases staadiumis avastati, ei olnud sellekordne infolekke seotud “väliste allhangete või eraldi väliste serverite kasutamisega” ning “internetiühenduse või allalaadimise kaudu mängimiseks või ostude sooritamiseks ei olnud sellel seost meie süsteemi vastu suunatud küberrünnakuga ega kahjustanud kliente”,

Arvatakse, et selleks, et mitte tekitada kasutajates ebakindlust jne, avaldati uuringu tulemuste teatamise ajal uuesti teade selle kohta igal saidil.

Kokkuvõte

Nagu näha, suuremahulise isikuandmete lekke korral on oluline:

  • Intsidendi toimumise korral kiire teavitamine politseile
  • Olukorra teatamine “küberjulgeoleku alal asjatundlikele välisadvokaatidele” ja nende juhiste ning nõuannete saamine
  • Kriisijuhtimise avalike suhete teostamine eelmainitud meeskonna poolt

Ja kui teatud hulk informatsiooni on kogunenud, on oluline:

  • Julgeoleku järelevalvekomisjoni moodustamine, sealhulgas advokaadid

Seega võib öelda, et on oluline teostada kriisijuhtimist kiiresti ja organiseeritult.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Return to Top