MONOLITH LAW OFFICE+81-3-6262-3248Weekdays 10:00-18:00 JST

MONOLITH LAW MAGAZINE

General Corporate

Token Corporationi 650 000 juhtumist koosnevast teabelekke juhtumist õpiti kriisijuhtimine ja juristide roll

General Corporate

Token Corporationi 650 000 juhtumist koosnevast teabelekke juhtumist õpiti kriisijuhtimine ja juristide roll

1. aprillil 2005 (Gregoriaani kalendri järgi) jõustus täielikult isikuandmete kaitse seadus (Jaapani Isikuandmete Kaitse Seadus), mis nõuab isikuandmeid käsitlevatelt ettevõtjatelt turvameetmete rakendamist. Siiski ei näi isikuandmete lekkimise juhtumid lõppevat.

Informatsiooni lekkimise intsidentide korral on eriti oluline reageerimise protseduur ja kiirus. Eriti väikestes ja keskmise suurusega ettevõtetes, kus ei pruugi olla infoturbe spetsialiste, võib olla keeruline otsustada, kuidas kiiresti reageerida.

Sellepärast selgitame sel korral, tuginedes Tōken Corporationi (Jaapani Tōken Corporation) informatsiooni lekkimise juhtumile ja selle ettevõtte reageerimisele, kriisijuhtimise süsteemi informatsiooni lekkimise korral.

Teabe lekke ülevaade

Tokujin Corporationis toimunud ebaseadusliku juurdepääsu tõttu teabe lekke peamised punktid on järgmised:

  • Toimumise aeg: 24 päeva jooksul alates 2020. aasta 20. augustist kuni 12. septembrini
  • Avalikustamine: 2020. aasta 20. oktoober
  • Põhjus: Kolmandate isikute ebaseaduslik juurdepääs serverile, kus hoiti erinevate kasutajate teavet, lähtudes grupi veebilehelt
  • Sihtgrupp: Grupi ettevõtete veebisaitidele päringuid esitanud isikud, liikmed, erinevate kampaaniate osalejad
  • Teave: “E-posti aadress”, “nimi”, “aadress”, “telefoninumber”, “parool”, “sugu”, “sünnikuupäev” jne
  • Juhtumite arv: Teabe lekke võimalus on kokku 657 096 isikuandmete puhul

Ebaõiglane juurdepääs ja esmane reageerimine

20. oktoobril 2020 avastas Touken Corporation oma veebisaidi regulaarse kontrolli käigus ebaõiglase juurdepääsu oma halduslehele “Nasurack Kitchen” ning võttis kasutusele järgmised esmased reageerimismeetmed.

  • “Nasurack Kitchen” suleti erakorralise turvameetmena ning peatati ka teenuste pakkumine saidilt.
  • Seati sisse “Infoturbe strateegia peakorter” ning nõustuti välise kolmanda osapoolega.
  • 11. novembrini uuriti kogu grupi veebisaite, tehti ajutisi turvanõrkuste parandusi ning määrati kindlaks maksimaalne lekkearv ja -punktid.

Esmase reageerimise punktid

Kui on kinnitatud infolekkimise oht ebaõiglase juurdepääsu tõttu, tuleb viivitamatult rakendada järgmisi meetmeid, et vältida kahju suurenemist, sekundaarse kahju tekkimist ja kordumist.

  • Tõsiasjade kontrollimine (ebaõiglase juurdepääsu põhjused, teed jne)
  • Ebaõiglase juurdepääsu saanud seadmete või saitide peatamine
  • Ebaõiglase juurdepääsu saanud seadmete või saitide võrgust eraldamine

Sel juhul tuleb olla ettevaatlik, et mitte teha hooletuid toiminguid ja mitte kustutada süsteemis säilitatud tõendeid, rakendades tõendite säilitamise meetmeid.

Pressiteade pärast infoleket

Esimest korda avaldati see 2020. aasta 17. novembril (Reiwa 2) Tōken Corporationi veebilehel.

Avaldatud sisu hõlmas üksikasjalikku teavet ebaseadusliku juurdepääsu üldise olukorra ja tulevaste meetmete kohta, sealhulgas “Küsimused ja vastused seoses infolekega ebaseadusliku juurdepääsu tõttu”, mis sisaldasid vajalikku teavet üksikasjalikult.

Tōken Corporation ja meie grupi ettevõtted (edaspidi “meie grupp”) kinnitasid 2020. aasta 20. oktoobril (Reiwa 2), et meie grupi võrgustikku on rünnatud kolmanda osapoole ebaseadusliku juurdepääsu tõttu ja on võimalik, et isikuandmed, nagu päringud meie grupi poolt haldatavale HomeMate’ile, grupi ettevõtete liikmeinfo ja erinevate kampaaniate taotlejate info, on lekkinud väljapoole.

Isikuandmete leke ebaseadusliku juurdepääsu tõttu[ja]

Ülaltoodud veebilehele lingitud “Küsimused ja vastused seoses infolekega ebaseadusliku juurdepääsu tõttu”[ja] sisaldab järgmist teavet.

Lekestatud info sisu

Q Mis informatsioon lekkis sel korral?
A Arvame, et meie poolt haldatavatel kõikidel saitidel, sealhulgas meie grupi ettevõtetel, on lekkinud “nimi”, “aadress”, “telefoninumber”, “e-posti aadress” ja “parool”.

Q Kas krediitkaardi info lekkis?
A Meie poolt haldatavatel saitidel, sealhulgas meie grupi ettevõtetel, ei hoita üldse infot nagu krediitkaardi numbrid või isiklikud identifitseerimisnumbrid, seega pole lekkeohtu.

Lekestatud info selgitamisel on võimalik vältida tarbetut ärevust ja segadust, kui eristada selgelt ①info, millel on lekkeoht ja ②info, millel lekkeohtu ei ole.

Tulevaste meetmete kohta

Q Kas on ohutu jätkata meie, sealhulgas Tōkeni grupiettevõtete veebisaitide kasutamist?
A Meie, sealhulgas grupiettevõtete poolt haldatavate kõigi veebisaitide turvalisuse tugevdamine on praeguseks lõpule viidud, et kaitsta neid ebaõiglaste juurdepääsude eest.

Q Millist infot haldamise plaani kavatsete tulevikus rakendada?
A Tulevikus plaanime vajadusel läbi viia kolmandate osapoolte uurimisasutuste kontrolli ning kui leitakse mõni haavatavus meie veebisaidil, parandame selle viivitamatult ja püüdleme rangema infohalduse poole.

Tulevastes meetmetes on oluline selgitada hoolikalt kasutajatele, kuidas on tagatud nende kasutatavate saitide turvalisus, kas neid saab uuesti kasutada ning milline on tulevane infohaldussüsteem.

Kahjude hüvitamise ja muude küsimuste ja vastuste kohta

Q Kas teave lekkinud isikutele makstakse vabandusraha või ebamugavustasu?
A Ei, me ei plaani maksta vabandusraha ega ebamugavustasu, mis põhineb sellel korral ebaseaduslikult juurdepääsetud ja lekkinud teabel. Siiski, kui sellest teabe lekkest on tekkinud teile rahaline kahju ja teil on konkreetseid tõendeid, palun pöörduge meie “Isikuandmete nõustamiskeskuse” poole.

Q Mul on mahaarvamisi, mida ma ei mäleta. Kas ma saan hüvitist?
A Kui teie kontolt on tehtud mahaarvamisi, mida te ei mäleta, palume teil ise otse pöörduda ettevõtte poole, kes mahaarvamise tegi. Kui selgub, et see teabe leke on põhjustanud mahaarvamisi, mida te ei mäleta, palume teil võtta ühendust meie “Isikuandmete nõustamiskeskuse” poole.

Me ei maksa vabandusraha ega ebamugavustasu, kuid kui teabe leke põhjustab rahalise kahju, oleme valmis arutama kahjude hüvitamist eraldi. See on meie ettevõtte poliitika.

Kahtlusi tekitav esimese pressiteate ajastus

Ettevõtte kriisijuhtimise puhul tuleb esmalt mõelda “kahju laienemise”, “sekundaarse kahju tekkimise” ja “kordumise vältimise” peale.

Seega, kui ilmneb info lekkimine, on oluline teha esmane reageerimine ja teavitada asjaosalisi võimalikult kiiresti.

Tõstama Corporationi Q&A vastab hoolikalt laiaulatuslikele eeldatavatele küsimustele, mis viitab sellele, et see on koostatud põhjalikult kooskõlastatult advokaatide ja teiste spetsialistidega. Siiski jääb küsimus, miks avalikustati ebaseaduslik juurdepääs umbes kuu aega pärast selle avastamist.

Kuigi ettevõtted soovivad kindlasti avalikustada pärast uurimist ja meetmete rakendamist, kas järgmised neli punkti ei oleks pidanud avalikustama varem esimese teatena?

  • Info lekkimise avastamine ja eeldatavad sihtisikud
  • Lekkinud isikuandmete sisu
  • Krediitkaardi numbri ja muu krediidiinfo lekkimise võimalus puudub
  • Tulevane struktuur ja ajakava
  • Kontaktandmed

Teavitamise, aruandluse ja avalikustamise põhipunktid

Kui teave on lekkinud, tuleb sõltuvalt põhjusest ja teabe sisust kaaluda teavitamist kasutajatele, äripartneritele jne, esitada teateid järelevalveasutustele, politseile jne ning avalikustada teavet veebisaitidel, meedias jne.

Kui on olemas kuriteo võimalus

Kui on olemas võimalus, et ebaseaduslik juurdepääs on kuritegu, tuleb pärast faktide uurimist ja tõendite säilitamise meetmete võtmist viivitamatult politseile teatada.

Tokyu Corporationi puhul teatati kahjust järgmisel päeval pärast kogu grupi veebisaitide uurimist asjaomastele asutustele, nagu Jaapani Maa- ja Transpordiministeerium (Japanese Ministry of Land, Infrastructure, Transport and Tourism) ja Aichi prefektuuri politseijaoskond (Aichi Prefectural Police Headquarters).

Kui on olemas võimalus, et isiklikud krediiditeabe võib lekkida

Kui on olemas võimalus, et sellised andmed nagu isikukood (Japanese My Number), krediitkaardi number, pangakonto, ID ja parool võivad lekkida, tuleb viivitamatult teavitada isikut ja nõuda nende peatamist, et vältida sekundaarset kahju.

Kui ulatus või mõju on suur või kui kõigi asjaosaliste individuaalne teavitamine on keeruline

Avalikustatakse teave veebisaidil või pressiteates. Siiski, kui avalikustamine võib põhjustada kahju suurenemist, tuleb avalikustamise ajastust ja sihtrühma hoolikalt kaaluda.

Lisaks, kui avalikustate, tagage läbipaistvus ja avalikustage võimalikult palju fakte. See aitab kaasa ettevõtte usaldusväärsusele ning aitab ära hoida kahju suurenemist ja sarnaseid õnnetusi.

Teise pressiteate avaldamine

Tōken Corporation (Tōken Corporation) avaldas 9. veebruaril 2021 (Gregoriuse kalendri järgi) oma veebilehel teise teate isikuandmete lekke kohta, milles parandas lekkinud andmete ja juhtumite arvu.

Kolmanda osapoole poolt läbi viidud kohtuekspertiisi uurimise tulemusena leiti mõningaid erinevusi lekkinud andmetes, seega palume teil uuesti tutvuda lisaga 1 “Andmete kohta igas saidis/teenuses”. (Jäetakse vahele) Samuti on lekkinud juhtumite arv nüüd maksimaalselt 657 096 asemel 655 488.

Sisu osas lisati peale ülaltoodud parandusi ainult nõuandeid, kuidas toime tulla soovimatu ja kahtlase e-postiga. Põhisisu oli esimese pressiteatega peaaegu identne ja see teade oli viimane.

Kriisi lahendamise keskmes olevad meetmete peakorter

Tōken Corporation (Tōken Corporation) on pärast ebaõiglast juurdepääsu avastamist loonud “Infoturbe peakorteri”, tehes koostööd välise kolmanda osapoole ja politseiga, et vältida uusi juhtumeid.

Selle organisatsiooni struktuur pole teada, kuid mitte ainult süsteemi turvameetmete rakendamine, vaid ka sihtkasutajatele teavitamine, meediale reageerimine, aktsionäridele vastamine ja juriidilise vastutuse kaalumine tuleb teha samaaegselt. Seetõttu on üldiselt vaja järgmiste väliste kolmandate osapoolte ja ekspertide osalemist:

  • Suur tarkvarafirma
  • Suured turvaspetsialistid
  • Välised advokaadid, kes on sügavalt kursis küberturvalisusega

Kokkuvõte

Nagu sel korral, kui ilmnes üle 650 000 isikuandmete suur leke, on olulised “esmane reageerimine” ja “teavitamine, aruandlus, avalikustamine” ning “turvameetmed”, mida juhib vastumeetmete peakorter.

Eriti kiiret reageerimist nõuab mitte ainult esmane reageerimine, vaid ka teavitamine ja aruandlus politseile ja asjaomastele ministeeriumidele ning avalikustamine (pressiteade) seotud isikutele.

Kuid kui te teete vea abinõudes, võib teil olla kahju hüvitamise kohustus, seega soovitame teil mitte otsustada iseseisvalt, vaid konsulteerida eelnevalt küberjulgeoleku alaste teadmiste ja kogemustega advokaadiga.

Kui olete huvitatud Capcomi pahavara tekitatud infoleke kriisijuhtimisest, vaadake üksikasju artiklis.

https://monolith.law/ettevõtte/capcom-information-leakage-crisis-management[ja]

Meie büroo poolt pakutavad meetmed

Monolise õigusbüroo on IT, eriti interneti ja õiguse mõlemal alal kõrge spetsialiseerumisega õigusbüroo. Meie büroos koostame ja vaatame läbi lepingud erinevate juhtumite jaoks, alates Tokyo börsi esmaste ettevõtete kuni idufirmadeni. Kui teil on probleeme, palun vaadake allpool toodud artiklit.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Return to Top