suomi English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fi/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Arkisin 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Mitä voimme oppia Keio-yliopiston tietovuodosta: kriisinhallinta ja asianajajan rooli

Mitä voimme oppia Keio-yliopiston tietovuodosta: kriisinhallinta ja asianajajan rooli

General Corporate

Mitä voimme oppia Keio-yliopiston tietovuodosta: kriisinhallinta ja asianajajan rooli

Tietovuodot, jotka johtuvat luvattomasta pääsystä, tapahtuvat paitsi yrityksissä, myös koulutusympäristöissä, mutta niiden käsittely näyttää olevan hieman erilaista kuin yrityksissä.

Erityisesti henkilötietoihin liittyen, koska opiskelijat ja opetushenkilöstö ovat pääasiallisia osapuolia, tietovuotojen tapahtuessa tiedonjulkistaminen on yleensä rajoitettu tiettyyn piiriin.

Kuitenkin, henkilötietojen suojeluun liittyen, ei ole eroa yritysten ja koulujen välillä, ja tietovuotojen kriisinhallinnan perusperiaatteet ovat samat.

Tässä yhteydessä tarkastelemme luvattoman pääsyn aiheuttaman henkilötietojen vuodon kriisinhallintaa, käyttäen esimerkkinä Keio University Shonan Fujisawa Campusin (jatkossa Keio SFC) tietovuototapausta, ja selitämme kriisinhallintajärjestelmän keskeiset kohdat.

Keio SFC:n tietovuoto – Yleiskatsaus

Keio SFC:ssä tapahtuneen luvattoman pääsyn ja sitä seuranneen tietovuodon pääkohdat ovat seuraavat:

  • Vuodon havaitseminen: Mahdollinen tietovuoto luvattoman pääsyn kautta opetuksen tukijärjestelmään (SFC-SFS) havaittiin 29. syyskuuta 2020 aamuyöllä.
    ※ SFC-SFS on järjestelmä, jolla on toimintoja, kuten massapostitus opiskelijoille, opiskelijaluetteloiden lataaminen, tehtävien ja raporttien rekisteröinti, palautusten vastaanotto, arvosanojen (kommenttien) rekisteröinti, luokkakyselyjen kommenttien syöttö ja tarkastelu.
  • Vuodon syy: 19 käyttäjän ID:t ja salasanat varastettiin, ja kolmas osapuoli käytti niitä luvattomasti tunkeutuakseen järjestelmään. SFC-SFS:n haavoittuvuuden uskotaan olevan pääasiallinen syy.
  • Vuodon laajuus: Shonan Fujisawa -kampuksen hallinnoimat opiskelijoiden ja henkilökunnan henkilötiedot
  • Vuodon sisältö: “Nimi”, “osoite”, “käyttäjätunnus”, “sähköpostiosoite”, ja lisäksi opiskelijoiden kohdalla “valokuva”, “opiskelijanumero”, “suoritettujen opintopisteiden tiedot”, “opintojen aloituspäivämäärä” jne., ja henkilökunnan kohdalla “henkilökunnan numero”, “arvo”, “profiili”, “henkilökohtaiset sähköpostitiedot” jne.
  • Vuodon määrä: Tietovuodon mahdollisuus on noin 33 000 tapauksessa

Epäasiallisen pääsyn paljastuminen ja ensivaste

15. syyskuuta klo 17:45, Keio SFC:n IT-osasto havaitsi merkkejä satunnaisesta haavoittuvuuden etsinnästä SFC-SFS-järjestelmässä.

Lisäksi, 28. syyskuuta illalla, havaittiin epäilyttävää pääsyä SFC-SFS-järjestelmään ja tutkimuksen tuloksena 29. syyskuuta aamuyöllä paljastui mahdollisuus tietovuotoon epäasiallisen pääsyn seurauksena.

Keio SFC aloitti seuraavat ensivastetoimet päivä sen jälkeen, kun se oli havainnut haavoittuvuuden etsinnän, joka on merkki epäasiallisesta pääsystä:

  • Kaikkien käyttäjien salasanojen vaihtamisen pyytäminen (16. syyskuuta, 30. syyskuuta)
  • Kaikkien autentikointipisteiden ja autentikointilokien jatkuvan seurannan (jatkunut 16. syyskuuta lähtien)
  • Yhteiskäyttöisen laskentapalvelimen kirjautumisen rajoittaminen vain julkisen avaimen autentikointiin ulkopuolisista lähteistä (16. syyskuuta)
  • Haavoittuvuuden havaitsemisen jälkeen web-palvelun keskeyttäminen ja haavoittuvien kohtien korjaaminen【meneillään】(16. syyskuuta lähtien asteittain, SFC-SFS 29. syyskuuta)
  • SFC-SFS-järjestelmän keskeyttäminen (29. syyskuuta)

Keio SFC:n ensivasteesta

Kun epäasiallinen pääsy paljastuu, perusmenettely on perustaa vastatoimikunta ja ryhtyä ensivasteeseen. Tässä tapauksessa näyttää siltä, että IT-osasto toimi vastatoimikuntana, johtajanaan Keio Yliopiston pysyvä johtokunnan jäsen ja tietoturvavastaava, herra Kunio.

Ensivasteessa tärkeää on estää vahingon laajeneminen ja toissijaisten vahinkojen syntymisen estäminen toteuttamalla “tiedon eristäminen”, “verkon katkaiseminen” ja “palvelun keskeyttäminen”. Keio SFC:n tapauksessa, koska järjestelmän käyttäjät eivät ole suuri joukko ihmisiä, vaan rajoittuvat opiskelijoihin ja henkilökuntaan, salasanojen vaihtaminen ja kirjautumistavan rajoittaminen on etusijalla.

Kuitenkin, se, että he ryhtyivät toimiin heti, kun he havaitsivat merkkejä epäasiallisesta pääsystä, ja lisäksi se, että he keskeyttivät SFC-SFS-järjestelmän 29. syyskuuta, kun tietovuodon mahdollisuus paljastui, voidaan katsoa asianmukaiseksi kriisinhallinnaksi.

Huolestuttava seikka Keio SFC:n ensivasteessa on, onko he suorittaneet todisteiden säilyttämistoimenpiteitä rikolliseen epäasialliseen pääsyyn liittyen ja ilmoittaneet valvontaviranomaisille tai poliisille. Tätä ei voida vahvistaa, koska siitä ei ole mainintaa lehdistötiedotteissa tai uutismediassa.

Ilmoitus asianosaisille

Keio SFC:n ilmoitus opiskelijoille ja henkilökunnalle tehtiin seuraavasti, muodossa, joka muistuttaa liiketoiminnan sähköpostiviestiä, ja henkilötietojen vuoto mainittiin ensimmäisen kerran 30. syyskuuta lähetetyssä sähköpostissa.

29. syyskuuta, Keio SFC ilmoitti henkilökunnalleen, että “vakava ongelma” oli tapahtunut ja että SFC-SFS oli keskeytetty.

30. syyskuuta, he pyysivät kaikkia SFC-SFS:n käyttäjiä vaihtamaan salasanansa, koska “käyttäjätilin tiedot” saattavat olla vuotaneet tämän ongelman seurauksena.

Lisäksi, he ilmoittivat henkilökunnalleen, että he eivät pystyisi suorittamaan suunniteltuja opiskelijavalintoja tai ottamaan yhteyttä opiskelijoihin SFC-SFS:n keskeyttämisen vuoksi, ja että heidän olisi keskeytettävä opetus tietyn ajanjakson ajan.

J-CAST News kuuli tästä tiedosta, teki tutkimuksen ja julkaisi samana päivänä artikkelin otsikolla “Vakava ongelma opetusjärjestelmässä Keio SFC:ssä, syyslukukauden alku viivästyy viikon – poikkeuksellinen tilanne”, jossa “käyttäjätilin tiedot” vuotivat julkisuuteen.

1. lokakuuta, Keio SFC ilmoitti opiskelijoilleen verkkosivustollaan, että SFC-SFS oli keskeytetty 29. syyskuuta, koska epäasiallisen pääsyn mahdollisuus oli olemassa, ja että tämän vaikutuksesta opetus olisi keskeytetty 1. lokakuuta – 7. lokakuuta. (※Ei mainintaa henkilötietojen vuodosta)

Tiedonvuodon jälkeinen lehdistötiedote

Ensimmäinen julkistus henkilötietojen vuotamisesta luvattoman pääsyn seurauksena tapahtui 10. marraskuuta verkkosivustollamme.

Tällä kertaa Shonan Fujisawa -kampuksen tietoverkkosysteemissä (SFC-CNS) ja opetuksen tukijärjestelmässä (SFC-SFS) on havaittu, että 19 käyttäjän (opettajien ja henkilökunnan) tunnukset ja salasanat on varastettu jollakin tavalla. Näitä tietoja on käytetty luvattomaan pääsyyn ulkopuolelta ja hyökkäykseen, joka hyödyntää opetuksen tukijärjestelmän (SFC-SFS) haavoittuvuutta, minkä seurauksena käyttäjien henkilötietoja on saattanut vuotaa järjestelmästä. Pahoittelemme syvästi, että tämä tilanne on aiheuttanut häiriötä ja huolta kaikille asianosaisille. Tällä hetkellä ei ole vahvistettu toissijaista vahinkoa.

Keio Yliopisto “Henkilötietojen vuoto SFC-CNS:ään ja SFC-SFS:ään luvattoman pääsyn seurauksena”[ja]

Tässä lehdistötiedotteessa on myös yksityiskohtaista tietoa seuraavista asioista:

  • Mahdollisesti vuotaneiden henkilötietojen sisältö
  • Vuodon havaitsemisen tausta
  • Vuodon syy
  • Toimenpiteet vuodon havaitsemisen jälkeen
  • Nykyinen tilanne
  • Toimenpiteet uusien vuotojen estämiseksi

Edellä mainitut asiat kattavat lähes kaikki tiedot, jotka ovat tarpeen tiedonvuotoa koskevassa julkistusmateriaalissa.

Keio SFC:n lehdistötiedote

Lehdistötiedotteen ajankohta

Alun perin Keio SFC:n olisi pitänyt julkistaa asia itse ensimmäisenä, mutta se julkisti sen 41 päivää J-CAST Newsin raportin jälkeen, mikä on liian myöhäistä.

Tämä johtuu siitä, että henkilötietojen vuodon yhteydessä on tärkeää ilmoittaa asiasta nopeasti henkilölle, jonka tiedot ovat vuotaneet, jotta voidaan estää toissijaiset vahingot.

Kuitenkin, jos he ovat ilmoittaneet “käyttäjän tilin tiedot” yksityiskohtaisesti pyytäessään salasanan vaihtamista 30. syyskuuta, ei ole ongelmaa.

Varoitus huijauksista ja häiritsevästä toiminnasta

Tiedonvuodon paljastumisen jälkeisessä lehdistötiedotteessa on julkistettava tapahtunut tietovuoto, ilmoitettava ja pyydettävä anteeksi henkilöltä, jonka henkilötiedot ovat vuotaneet, sekä varoitettava huijauksista ja häiritsevästä toiminnasta, jotta vältetään niistä aiheutuvat vahingot.

Jopa suljetun kampuksen tiedot voivat päätyä väärinkäytettäviksi, jos ne vuotavat ulkomaailmaan, ja tässä tapauksessa on tarpeen varoittaa huijauksista ja häiritsevästä toiminnasta.

Kriisinhallinnan keskiössä oleva toimenpidekeskus

Keio SFC on kuvannut toimenpidekeskusta seuraavasti “uusiutumisen estämistoimenpiteiden” osana lehdistötiedotteessaan.

Keio Yliopisto ottaa huomioon tämän kerran luvattoman pääsyn tapauksen ja ryhtyy välittömästi toimenpiteisiin uusiutumisen estämiseksi, kuten web-sovellusten ja järjestelmien turvallisuustarkistukset ja parannukset sekä henkilötietojen käsittelyn tarkistaminen. Lisäksi olemme perustaneet CSIRT:n (tietoturvahäiriöiden hallintatiimi) yliopistoon 1. marraskuuta 2020 (2020), ja teemme organisaation, joka pystyy vastaamaan kattavasti kyberturvallisuuteen, samalla kun teemme yhteistyötä ulkoisten asiantuntijaelinten kanssa ja pyrimme vahvistamaan turvallisuutta koko yliopistossa.

Keio Yliopisto “Henkilötietojen vuoto SFC-CNS:n ja SFC-SFS:n luvattoman pääsyn seurauksena”[ja]

Alkuvaiheen reaktio tässä tapauksessa näyttää siltä, että Keio SFC:n sisäinen organisaatio toimi suoraan toimenpidekeskuksena, mutta 1. marraskuuta 2020 perustettu “CSIRT” on organisaatio, joka vastaa toimenpidekeskuksesta, joka on keskiössä vahvistamassa turvallisuutta ja käsittelemässä kriisejä, jos tietoturvahäiriöitä ilmenee tulevaisuudessa.

CSIRT:n jäsenet eivät ole tiedossa, mutta koska on tarpeen suorittaa samanaikaisesti paitsi järjestelmän turvallisuustoimenpiteet, myös yhteydenpito kohdekäyttäjiin, raportointi valvontaviranomaisille ja poliisille, median käsittely ja oikeudellisen vastuun harkinta, yleensä tarvitaan seuraavien ulkoisten kolmansien osapuolten organisaatioiden ja asiantuntijoiden osallistumista.

  • Suurten ohjelmistoyritysten
  • Suurten turvallisuusasiantuntijatoimittajien
  • Kyberturvallisuuden asiantuntijalakimiesten

Yhteenveto

Kuten tässä tapauksessa, kun henkilötietojen vuoto paljastuu koulutussektorilla, on tärkeää toteuttaa asianmukainen “ensivaste” ja “ilmoitus, raportointi ja julkistaminen”, jota johtaa toimenpidekeskus, sekä myöhemmät “turvatoimet”.

Erityisesti nopeutta vaaditaan paitsi ensivasteessa, myös ilmoituksissa ja raporteissa poliisille ja asiaankuuluville virastoille, ilmoituksissa (pahoittelut) asianomaisille henkilöille ja oikea-aikaisessa julkistamisessa.

Kuitenkin, jos menettelyt tai toimenpiteet ovat virheellisiä, saatat joutua vastaamaan vahingonkorvausvastuusta, joten suosittelemme, että et tee päätöksiä yksin, vaan konsultoit etukäteen asianajajan kanssa, jolla on laaja tietämys ja kokemus kyberturvallisuudesta.

Jos olet kiinnostunut Capcomin tietovuodon kriisinhallinnasta, voit lukea siitä lisää artikkelissamme.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Esittely toimistomme toimenpiteistä

Monolis Lakitoimisto on erikoistunut IT-alan, erityisesti internetin ja lakiasioihin. Toimistomme tarjoaa laillisen tarkastuksen palveluita monenlaisille asiakkaille, aina Tokion pörssin päälistan yrityksistä startup-yrityksiin. Katso alla oleva artikkeli lisätietoja varten.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Mistä työntekijöiden tulisi olla tietoisia käyttäessään sosiaalista mediaa? Selitämme, kuinka sosiaalisen median ohjeistus laaditaan

Mistä työntekijöiden tulisi olla tietoisia käyttäessään sosiaalista mediaa? Selitämme, kuinka so.

General Corporate

Oman yrityksen pisteiden siirto ja vaihto sekä 'Japanese Payment Services Act' rahansiirto

Oman yrityksen pisteiden siirto ja vaihto sekä 'Japanese Payment Services Act' rahansiirto

General Corporate

【Reiwa 6 (2024) kesäkuun Japanin työ- ja hyvinvointiministeriön tiedonanto】HIFU-hoitojen soveltaminen lääkärilakiin kauneushoitoloissa ja vastaavissa

【Reiwa 6 (2024) kesäkuun Japanin työ- ja hyvinvointiministeriön tiedonanto】HIFU-hoitojen sovelta.

General Corporate

【Pikauutinen】 'Konkurssikartan' ylläpitäjälle henkilötietojen suojelukomissiolta lopetuskäsky

【Pikauutinen】 'Konkurssikartan' ylläpitäjälle henkilötietojen suojelukomissiolta lopetuskäsky

General Corporate

Selitämme, kuinka kirjoittaa irtisanoutumissopimus, jota ei hylätä, ja mitkä ovat sen solmimisen tärkeät kohdat

Selitämme, kuinka kirjoittaa irtisanoutumissopimus, jota ei hylätä, ja mitkä ovat sen solmimisen.

General Corporate

GDPR:n mukaisen tietosuojakäytännön luomisen tärkeät kohdat selitettynä

GDPR:n mukaisen tietosuojakäytännön luomisen tärkeät kohdat selitettynä

General Corporate

Selittää lainsäädännölliset rajoitukset lemmikkieläinten tuotteiden mainostamisessa

Selittää lainsäädännölliset rajoitukset lemmikkieläinten tuotteiden mainostamisessa

General Corporate

Mikä on velvoitteiden laiminlyönti ja voimassaoleva lauseke, jotka johtuvat uudesta koronaviruksesta ja muista syistä?

Mikä on velvoitteiden laiminlyönti ja voimassaoleva lauseke, jotka johtuvat uudesta koronaviruks.

General Corporate

Mikä on 'sijoitussopimus'? Yrityksen tarve solmia sopimuksia

Mikä on 'sijoitussopimus'? Yrityksen tarve solmia sopimuksia

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

TOPへ戻る