Opi kriisinhallintaa ja asianajajan roolia 650 000 tietovuodon tapauksesta: Japanilaisen Tōken Corp -yrityksen esimerkki

1. huhtikuuta 2005 (Heisei 17) henkilötietojen suojelulaki (Japanin henkilötietojen suojelulaki) tuli täysin voimaan, ja henkilötietoja käsittelevien yritysten on toteutettava turvallisuuden hallintatoimenpiteitä. Siitä huolimatta henkilötietojen vuototapaukset eivät lopu.

Erityisen tärkeää tietovuototapauksissa on niiden käsittelymenettely ja nopeus. Erityisesti pienissä ja keskisuurissa yrityksissä, joissa ei ole tietoturva-asiantuntijoita, voi olla vaikea päättää välittömästi, miten reagoida.

Tässä yhteydessä selitämme kriisinhallintajärjestelmän tietovuotojen yhteydessä, perustuen Tōken Corporationin (japanilainen rakennusyhtiö) tietovuototapaukseen ja yrityksen reaktioon.

Tiedonvuodon yleiskatsaus

Touken Corporationissa tapahtuneen luvattoman pääsyn aiheuttaman tiedonvuodon pääkohdat ovat seuraavat:

• Tapahtuma-aika: 24 päivän ajan 20. elokuuta 2020 – 12. syyskuuta 2020
• Paljastuminen: 20. lokakuuta 2020
• Syy: Kolmannen osapuolen luvaton pääsy palvelimelle, jossa säilytettiin erilaisten käyttäjien tietoja konsernin verkkosivuston kautta
• Kohteet: Konserniyritysten sivustojen yhteydenottajat, jäsenet, erilaisten kampanjoiden hakijat
• Tiedot: “Sähköpostiosoite”, “nimi”, “osoite”, “puhelinnumero”, “salasana”, “sukupuoli”, “syntymäaika” jne.
• Määrä: Tiedonvuodon mahdollisuus on yhteensä 657 096 henkilötietoa

Luvattoman käytön paljastuminen ja ensivaste

20. lokakuuta 2020, Tokken Corporation havaitsi luvattoman käytön omalla “Nasurack Kitchen” -verkkosivustollaan suorittaessaan säännöllistä verkkosivuston tarkastusta, ja toteutti seuraavat ensivastetoimenpiteet.

• “Nasurack Kitchen” -sivusto suljettiin kiireellisenä turvatoimenpiteenä, ja kaikki palvelut kyseiseltä sivustolta lopetettiin.
• Perustettiin “Tietoturvastrategiakeskus” ja konsultoitiin ulkopuolisen kolmannen osapuolen kanssa.
• 11. marraskuuta mennessä koko ryhmän verkkosivustot tutkittiin, väliaikaiset haavoittuvuudet korjattiin ja suurimman vuodon määrä ja kohteet vahvistettiin.

Ensivasteen tärkeät seikat

Kun luvattoman käytön aiheuttaman tietovuodon riski on todettu, on välittömästi toteutettava seuraavat toimenpiteet vahingon laajenemisen, toissijaisten vahinkojen ja uusiutumisen estämiseksi.

• Tosiseikkojen varmistaminen (luvattoman käytön syyt, reitit jne.)
• Luvattoman käytön kohteena olevien laitteiden tai sivustojen pysäyttäminen
• Luvattoman käytön kohteena olevien laitteiden tai sivustojen eristäminen verkosta

Tässä yhteydessä on tärkeää, että vältetään harkitsemattomia toimia ja säilytetään järjestelmässä olevat todisteet todisteiden säilyttämistoimenpiteiden avulla.

Tiedonvuodon jälkeinen lehdistötiedote

Ensimmäinen julkistus tehtiin 17. marraskuuta 2020 Tokken Corporationin verkkosivustolla.

Julkistuksen sisältöön kuului yksityiskohtainen kuvaus luvattomasta pääsystä ja tulevista toimenpiteistä, sekä “Kysymyksiä ja vastauksia luvattoman pääsyn aiheuttamasta tietovuodosta” -osio, jossa tarvittavat tiedot oli esitetty hyvin yksityiskohtaisesti.

Tokken Corporation ja meidän ryhmäyrityksemme (jäljempänä “meidän ryhmämme”) vahvistivat 20. lokakuuta 2020, että meidän ryhmämme verkkoon on päästy luvattomasti kolmannen osapuolen toimesta. Tämän seurauksena on mahdollista, että henkilötietoja, kuten tiedustelut HomeMate-palveluumme, ryhmäyritystemme jäsentietoja ja erilaisten kampanjoiden hakijatietoja, on vuotanut ulkopuolelle.

Tietoa henkilötietojen vuotamisesta luvattoman pääsyn seurauksena[ja]

Yllä olevaan verkkosivuun linkitetty “Kysymyksiä ja vastauksia luvattoman pääsyn aiheuttamasta tietovuodosta”[ja] sisältää seuraavia asioita.

Tietoja vuotaneista tiedoista

Q Mitä tietoja on vuotanut tällä kertaa?
A Uskomme, että kaikilla sivustoilla, mukaan lukien ryhmäyhtiömme, joita me hallinnoimme, on vuotanut ‘nimi’, ‘osoite’, ‘puhelinnumero’, ‘sähköpostiosoite’ ja ‘salasana’.

Q Vuotivatko luottokorttitiedot?
A Emme säilytä mitään tietoja, kuten luottokortin numeroita tai henkilötunnisteita, kuten My Number -järjestelmän tietoja, sivustoilla, joita me ja ryhmäyhtiömme hallinnoimme, joten ei ole vaaraa, että ne vuotaisivat.

Vuotaneiden tietojen selityksessä voit välttää tarpeetonta ahdistusta ja sekaannusta erittelemällä selkeästi ① tiedot, jotka saattavat vuotaa, ja ② tiedot, joilla ei ole vuotoriskiä.

Tulevista toimenpiteistä

Q Voinko jatkossakin käyttää Tojikenin ryhmäyhtiöiden sivustoja turvallisesti?
A Kyllä, kaikkien meidän ryhmäyhtiöidemme ylläpitämien sivustojen turvallisuus on vahvistettu luvattomalta pääsyltä.

Q Miten aiotte hallita tietoja tulevaisuudessa?
A Tulevaisuudessa aiomme tarvittaessa teettää tarkastuksia ulkopuolisilla tutkimuslaitoksilla. Jos sivustolla havaitaan haavoittuvuuksia, korjaamme ne välittömästi ja pyrimme entistä tiukempaan tietojen hallintaan.

Tulevissa toimenpiteissä on tärkeää selittää huolellisesti käyttäjille sivuston turvallisuustoimenpiteet, uudelleenkäytön mahdollisuus sekä tuleva tietojen hallintajärjestelmä.

Vahingonkorvaukset ja muut Q&A

Q Maksetaanko tietovuodon uhreille anteeksipyyntörahaa tai haittakorvausta?
A Tällä kertaa tapahtuneen luvattoman pääsyn seurauksena vuotaneiden tietojen perusteella emme suunnittele maksavamme anteeksipyyntörahaa tai haittakorvausta. Kuitenkin, jos tämän tietovuodon seurauksena asiakkaalle on aiheutunut taloudellista vahinkoa ja asiakas pystyy esittämään konkreettisia todisteita, ottakaa yhteyttä meidän ‘Henkilötietojen neuvontapalveluun’.

Q Tililtäni on tehty tuntematon nosto. Voinko saada korvauksen?
A Jos tililtänne on tehty nosto, josta ette tiedä, pyydämme teitä ottamaan yhteyttä suoraan yritykseen, joka on suorittanut noston. Lisäksi, jos tämän tietovuodon seurauksena on todettu, että tuntematon nosto on tapahtunut, pyydämme teitä ilmoittamaan siitä meille ‘Henkilötietojen neuvontapalvelun’ kautta.

Emme maksa anteeksipyyntörahaa tai haittakorvausta, mutta jos tietovuodon seurauksena on aiheutunut taloudellista vahinkoa, vahingonkorvaus on mahdollista neuvotella tapauskohtaisesti. Tämä on yrityksemme selkeä politiikka.

Ensimmäisen lehdistötiedotteen ajoituksessa on epäselvyyksiä

Yrityksen kriisinhallinnassa on ensisijaisesti otettava huomioon “vahingon laajeneminen”, “toissijaisen vahingon syntyminen” ja “uusiutumisen estäminen”.

Siksi, jos tietovuoto paljastuu, on tärkeää ilmoittaa siitä mahdollisimman pian asianosaisille ensitoimenpiteiden jälkeen.

Touken Corporationin Q&A vastaa huolellisesti laajaan kysymysvalikoimaan, ja siitä voidaan päätellä, että se on laadittu huolellisesti yhteistyössä asiantuntijoiden, kuten lakimiesten, kanssa. Kuitenkin on epäselvää, miksi luvaton pääsy paljastui noin kuukausi myöhemmin.

Yrityksenä haluaisimme varmasti julkaista tiedot tutkimuksen ja toimenpiteiden jälkeen, mutta eikö seuraavat neljä kohtaa olisi pitänyt julkaista aikaisemmin ensimmäisessä raportissa?

• Tietovuodon paljastuminen ja oletetut kohteet
• Vuotaneiden henkilötietojen sisältö
• Korttinumeron ja muiden luottotietojen vuotamisen mahdollisuus ei ole olemassa
• Tuleva organisaatio ja aikataulu
• Yhteydenottopiste

Ilmoitusten, raporttien ja julkistamisen keskeiset seikat

Kun tietoja on vuotanut, on tarpeen harkita ilmoitusten tekemistä käyttäjille ja liikekumppaneille, raporttien jättämistä valvontaviranomaisille ja poliisille sekä julkistamista kotisivuilla ja tiedotusvälineissä riippuen vuodon syystä ja tietojen sisällöstä.

Rikollisuuden mahdollisuus

Jos on mahdollista, että luvaton pääsy liittyy rikolliseen toimintaan, on tehtävä tosiseikkojen tutkimus ja todisteiden säilyttämistoimenpiteet, ja ilmoitettava asiasta poliisille välittömästi.

Esimerkiksi Toki Corporation (Touken Corporation) ilmoitti vahingosta Japanin maan ja kuljetusministeriölle sekä Aichin prefektuurin poliisipäällikölle seuraavana päivänä sen jälkeen, kun koko ryhmän verkkosivuston tutkimus oli valmistunut.

Mahdollisuus henkilökohtaisten luottotietojen vuotamiseen

Jos on mahdollista, että henkilökohtaiset tunnusluvut, kuten My Number (Japanin sosiaaliturvatunnus), luottokortin numerot, pankkitilit, tunnukset ja salasanat, voivat vuotaa, on ilmoitettava asiasta henkilölle välittömästi ja kehotettava häntä lopettamaan niiden käyttö estääkseen lisävahingot.

Kun mittakaava tai vaikutusalue on suuri, tai kun yksittäisten ilmoitusten tekeminen kaikille osapuolille on vaikeaa

Julkistamme tiedot kotisivuillamme tai tiedotustilaisuuksissa. Kuitenkin, jos julkistaminen saattaa johtaa vahingon laajenemiseen, on harkittava julkistamisen ajankohtaa ja kohderyhmää.

Lisäksi, kun julkistat tietoja, on tärkeää varmistaa läpinäkyvyys ja paljastaa tosiasiat mahdollisimman pitkälle. Tämä lisää yrityksen luotettavuutta ja estää vahingon laajenemista sekä samankaltaisten tapahtumien toistumista.

Toisen tiedotteen julkaisu

Toukokuu Corporation julkaisi toisen tiedotteen henkilötietojen vuotoon liittyen kotisivuillaan 9. helmikuuta 2021. Tiedotteessa korjattiin vuotaneiden tietojen ja vuotojen määrää.

Kolmannen osapuolen suorittaman tietotekniikan tutkinnan seurauksena vuotaneiden tietojen uudelleentarkastelu paljasti joitakin eroja. Pyydämme teitä tarkistamaan nämä erot liitteestä 1 “Tietojen erittely palvelukohtaisesti”. (Ote) Lisäksi vuotaneiden tietojen määrä on korjattu: enimmäismäärä 657,096 kappaleesta 655,488 kappaleeseen.

Sisältö oli pääosin sama kuin ensimmäisessä tiedotteessa, lukuun ottamatta joitakin lisäyksiä, kuten ohjeita roskapostin ja epäilyttävän sähköpostin käsittelyyn. Tämä tiedote oli viimeinen aiheeseen liittyen.

Kriisinhallinnan keskiössä oleva toimenpidekeskus

Touken Corporation (東建コーポレーション) on perustanut “Tietoturvakeskuksen” (情報セキュリティ本部) paljastuneen luvattoman pääsyn jälkeen. Yhteistyössä ulkopuolisten kolmansien osapuolten ja poliisin kanssa he pyrkivät estämään uusia tapauksia.

Tämän organisaation rakenne ei ole tiedossa, mutta koska on tarpeen toteuttaa samanaikaisesti paitsi järjestelmän tietoturvatoimenpiteet, myös yhteydenpito kohdekäyttäjiin, medianhallinta, osakkeenomistajien suhtautuminen ja oikeudellisen vastuun harkinta, yleensä tarvitaan seuraavien ulkopuolisten kolmansien osapuolten ja asiantuntijoiden osallistumista:

• Suurten ohjelmistoyritysten
• Suurten tietoturvaerikoisliikkeiden
• Ulkoisten asianajajien, joilla on syvällinen tietämys kyberturvallisuudesta

Yhteenveto

Kuten tässä tapauksessa, kun yli 650 000 henkilön suuruisen tietovuodon paljastuu, on tärkeää keskittyä “ensivasteeseen” sekä “ilmoittamiseen, raportointiin ja julkistamiseen” sekä “tietoturvatoimenpiteisiin”, jotka ovat keskeisiä toimenpiteitä.

Erityisesti nopeutta vaaditaan paitsi ensivasteessa, myös ilmoituksissa ja raporteissa poliisille ja asiaankuuluville virastoille sekä tiedon julkistamisessa (lehdistötiedotteet) asianosaisille.

Kuitenkin, jos toimenpiteet ovat virheellisiä, saatat joutua vastaamaan vahingonkorvausvastuusta, joten suosittelemme, että et tee päätöksiä yksin, vaan konsultoit etukäteen asianajajaa, jolla on laaja tietoturvaosaaminen ja kokemus.

Jos olet kiinnostunut Capcomin tietovuodon kriisinhallinnasta, voit lukea siitä lisää artikkelissamme.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Toimenpiteet, joita tarjoamme toimistossamme

Monolis Lakitoimisto on erikoistunut IT- ja erityisesti internet-oikeuteen. Toimistossamme on korkea asiantuntemus molemmilla aloilla. Palvelemme laajaa asiakaskuntaa, joka ulottuu Tokion pörssin päälistan yrityksistä aina varhaisen vaiheen startup-yrityksiin. Laadimme ja tarkistamme sopimuksia erilaisiin tarpeisiin. Jos tarvitset apua, tutustu alla olevaan artikkeliin.