Mitä voimme oppia Keio-yliopiston tietovuodosta: kriisinhallinta ja asianajajan rooli
Tietovuodot, jotka johtuvat luvattomasta pääsystä, tapahtuvat paitsi yrityksissä, myös koulutusympäristöissä, mutta niiden käsittely näyttää olevan hieman erilaista kuin yrityksissä.
Erityisesti henkilötietoihin liittyen, koska opiskelijat ja opetushenkilöstö ovat pääasiallisia osapuolia, tietovuotojen tapahtuessa tiedonjulkistaminen on yleensä rajoitettu tiettyyn piiriin.
Kuitenkin, henkilötietojen suojeluun liittyen, ei ole eroa yritysten ja koulujen välillä, ja tietovuotojen kriisinhallinnan perusperiaatteet ovat samat.
Tässä yhteydessä tarkastelemme luvattoman pääsyn aiheuttaman henkilötietojen vuodon kriisinhallintaa, käyttäen esimerkkinä Keio University Shonan Fujisawa Campusin (jatkossa Keio SFC) tietovuototapausta, ja selitämme kriisinhallintajärjestelmän keskeiset kohdat.
Keio SFC:n tietovuoto – Yleiskatsaus
Keio SFC:ssä tapahtuneen luvattoman pääsyn ja sitä seuranneen tietovuodon pääkohdat ovat seuraavat:
- Vuodon havaitseminen: Mahdollinen tietovuoto luvattoman pääsyn kautta opetuksen tukijärjestelmään (SFC-SFS) havaittiin 29. syyskuuta 2020 aamuyöllä.
※ SFC-SFS on järjestelmä, jolla on toimintoja, kuten massapostitus opiskelijoille, opiskelijaluetteloiden lataaminen, tehtävien ja raporttien rekisteröinti, palautusten vastaanotto, arvosanojen (kommenttien) rekisteröinti, luokkakyselyjen kommenttien syöttö ja tarkastelu. - Vuodon syy: 19 käyttäjän ID:t ja salasanat varastettiin, ja kolmas osapuoli käytti niitä luvattomasti tunkeutuakseen järjestelmään. SFC-SFS:n haavoittuvuuden uskotaan olevan pääasiallinen syy.
- Vuodon laajuus: Shonan Fujisawa -kampuksen hallinnoimat opiskelijoiden ja henkilökunnan henkilötiedot
- Vuodon sisältö: “Nimi”, “osoite”, “käyttäjätunnus”, “sähköpostiosoite”, ja lisäksi opiskelijoiden kohdalla “valokuva”, “opiskelijanumero”, “suoritettujen opintopisteiden tiedot”, “opintojen aloituspäivämäärä” jne., ja henkilökunnan kohdalla “henkilökunnan numero”, “arvo”, “profiili”, “henkilökohtaiset sähköpostitiedot” jne.
- Vuodon määrä: Tietovuodon mahdollisuus on noin 33 000 tapauksessa
Epäasiallisen pääsyn paljastuminen ja ensivaste
15. syyskuuta klo 17:45, Keio SFC:n IT-osasto havaitsi merkkejä satunnaisesta haavoittuvuuden etsinnästä SFC-SFS-järjestelmässä.
Lisäksi, 28. syyskuuta illalla, havaittiin epäilyttävää pääsyä SFC-SFS-järjestelmään ja tutkimuksen tuloksena 29. syyskuuta aamuyöllä paljastui mahdollisuus tietovuotoon epäasiallisen pääsyn seurauksena.
Keio SFC aloitti seuraavat ensivastetoimet päivä sen jälkeen, kun se oli havainnut haavoittuvuuden etsinnän, joka on merkki epäasiallisesta pääsystä:
- Kaikkien käyttäjien salasanojen vaihtamisen pyytäminen (16. syyskuuta, 30. syyskuuta)
- Kaikkien autentikointipisteiden ja autentikointilokien jatkuvan seurannan (jatkunut 16. syyskuuta lähtien)
- Yhteiskäyttöisen laskentapalvelimen kirjautumisen rajoittaminen vain julkisen avaimen autentikointiin ulkopuolisista lähteistä (16. syyskuuta)
- Haavoittuvuuden havaitsemisen jälkeen web-palvelun keskeyttäminen ja haavoittuvien kohtien korjaaminen【meneillään】(16. syyskuuta lähtien asteittain, SFC-SFS 29. syyskuuta)
- SFC-SFS-järjestelmän keskeyttäminen (29. syyskuuta)
Keio SFC:n ensivasteesta
Kun epäasiallinen pääsy paljastuu, perusmenettely on perustaa vastatoimikunta ja ryhtyä ensivasteeseen. Tässä tapauksessa näyttää siltä, että IT-osasto toimi vastatoimikuntana, johtajanaan Keio Yliopiston pysyvä johtokunnan jäsen ja tietoturvavastaava, herra Kunio.
Ensivasteessa tärkeää on estää vahingon laajeneminen ja toissijaisten vahinkojen syntymisen estäminen toteuttamalla “tiedon eristäminen”, “verkon katkaiseminen” ja “palvelun keskeyttäminen”. Keio SFC:n tapauksessa, koska järjestelmän käyttäjät eivät ole suuri joukko ihmisiä, vaan rajoittuvat opiskelijoihin ja henkilökuntaan, salasanojen vaihtaminen ja kirjautumistavan rajoittaminen on etusijalla.
Kuitenkin, se, että he ryhtyivät toimiin heti, kun he havaitsivat merkkejä epäasiallisesta pääsystä, ja lisäksi se, että he keskeyttivät SFC-SFS-järjestelmän 29. syyskuuta, kun tietovuodon mahdollisuus paljastui, voidaan katsoa asianmukaiseksi kriisinhallinnaksi.
Huolestuttava seikka Keio SFC:n ensivasteessa on, onko he suorittaneet todisteiden säilyttämistoimenpiteitä rikolliseen epäasialliseen pääsyyn liittyen ja ilmoittaneet valvontaviranomaisille tai poliisille. Tätä ei voida vahvistaa, koska siitä ei ole mainintaa lehdistötiedotteissa tai uutismediassa.
Ilmoitus asianosaisille
Keio SFC:n ilmoitus opiskelijoille ja henkilökunnalle tehtiin seuraavasti, muodossa, joka muistuttaa liiketoiminnan sähköpostiviestiä, ja henkilötietojen vuoto mainittiin ensimmäisen kerran 30. syyskuuta lähetetyssä sähköpostissa.
29. syyskuuta, Keio SFC ilmoitti henkilökunnalleen, että “vakava ongelma” oli tapahtunut ja että SFC-SFS oli keskeytetty.
30. syyskuuta, he pyysivät kaikkia SFC-SFS:n käyttäjiä vaihtamaan salasanansa, koska “käyttäjätilin tiedot” saattavat olla vuotaneet tämän ongelman seurauksena.
Lisäksi, he ilmoittivat henkilökunnalleen, että he eivät pystyisi suorittamaan suunniteltuja opiskelijavalintoja tai ottamaan yhteyttä opiskelijoihin SFC-SFS:n keskeyttämisen vuoksi, ja että heidän olisi keskeytettävä opetus tietyn ajanjakson ajan.
J-CAST News kuuli tästä tiedosta, teki tutkimuksen ja julkaisi samana päivänä artikkelin otsikolla “Vakava ongelma opetusjärjestelmässä Keio SFC:ssä, syyslukukauden alku viivästyy viikon – poikkeuksellinen tilanne”, jossa “käyttäjätilin tiedot” vuotivat julkisuuteen.
1. lokakuuta, Keio SFC ilmoitti opiskelijoilleen verkkosivustollaan, että SFC-SFS oli keskeytetty 29. syyskuuta, koska epäasiallisen pääsyn mahdollisuus oli olemassa, ja että tämän vaikutuksesta opetus olisi keskeytetty 1. lokakuuta – 7. lokakuuta. (※Ei mainintaa henkilötietojen vuodosta)
Tiedonvuodon jälkeinen lehdistötiedote
Ensimmäinen julkistus henkilötietojen vuotamisesta luvattoman pääsyn seurauksena tapahtui 10. marraskuuta verkkosivustollamme.
Tällä kertaa Shonan Fujisawa -kampuksen tietoverkkosysteemissä (SFC-CNS) ja opetuksen tukijärjestelmässä (SFC-SFS) on havaittu, että 19 käyttäjän (opettajien ja henkilökunnan) tunnukset ja salasanat on varastettu jollakin tavalla. Näitä tietoja on käytetty luvattomaan pääsyyn ulkopuolelta ja hyökkäykseen, joka hyödyntää opetuksen tukijärjestelmän (SFC-SFS) haavoittuvuutta, minkä seurauksena käyttäjien henkilötietoja on saattanut vuotaa järjestelmästä. Pahoittelemme syvästi, että tämä tilanne on aiheuttanut häiriötä ja huolta kaikille asianosaisille. Tällä hetkellä ei ole vahvistettu toissijaista vahinkoa.
Keio Yliopisto “Henkilötietojen vuoto SFC-CNS:ään ja SFC-SFS:ään luvattoman pääsyn seurauksena”[ja]
Tässä lehdistötiedotteessa on myös yksityiskohtaista tietoa seuraavista asioista:
- Mahdollisesti vuotaneiden henkilötietojen sisältö
- Vuodon havaitsemisen tausta
- Vuodon syy
- Toimenpiteet vuodon havaitsemisen jälkeen
- Nykyinen tilanne
- Toimenpiteet uusien vuotojen estämiseksi
Edellä mainitut asiat kattavat lähes kaikki tiedot, jotka ovat tarpeen tiedonvuotoa koskevassa julkistusmateriaalissa.
Keio SFC:n lehdistötiedote
Lehdistötiedotteen ajankohta
Alun perin Keio SFC:n olisi pitänyt julkistaa asia itse ensimmäisenä, mutta se julkisti sen 41 päivää J-CAST Newsin raportin jälkeen, mikä on liian myöhäistä.
Tämä johtuu siitä, että henkilötietojen vuodon yhteydessä on tärkeää ilmoittaa asiasta nopeasti henkilölle, jonka tiedot ovat vuotaneet, jotta voidaan estää toissijaiset vahingot.
Kuitenkin, jos he ovat ilmoittaneet “käyttäjän tilin tiedot” yksityiskohtaisesti pyytäessään salasanan vaihtamista 30. syyskuuta, ei ole ongelmaa.
Varoitus huijauksista ja häiritsevästä toiminnasta
Tiedonvuodon paljastumisen jälkeisessä lehdistötiedotteessa on julkistettava tapahtunut tietovuoto, ilmoitettava ja pyydettävä anteeksi henkilöltä, jonka henkilötiedot ovat vuotaneet, sekä varoitettava huijauksista ja häiritsevästä toiminnasta, jotta vältetään niistä aiheutuvat vahingot.
Jopa suljetun kampuksen tiedot voivat päätyä väärinkäytettäviksi, jos ne vuotavat ulkomaailmaan, ja tässä tapauksessa on tarpeen varoittaa huijauksista ja häiritsevästä toiminnasta.
Kriisinhallinnan keskiössä oleva toimenpidekeskus
Keio SFC on kuvannut toimenpidekeskusta seuraavasti “uusiutumisen estämistoimenpiteiden” osana lehdistötiedotteessaan.
Keio Yliopisto ottaa huomioon tämän kerran luvattoman pääsyn tapauksen ja ryhtyy välittömästi toimenpiteisiin uusiutumisen estämiseksi, kuten web-sovellusten ja järjestelmien turvallisuustarkistukset ja parannukset sekä henkilötietojen käsittelyn tarkistaminen. Lisäksi olemme perustaneet CSIRT:n (tietoturvahäiriöiden hallintatiimi) yliopistoon 1. marraskuuta 2020 (2020), ja teemme organisaation, joka pystyy vastaamaan kattavasti kyberturvallisuuteen, samalla kun teemme yhteistyötä ulkoisten asiantuntijaelinten kanssa ja pyrimme vahvistamaan turvallisuutta koko yliopistossa.
Keio Yliopisto “Henkilötietojen vuoto SFC-CNS:n ja SFC-SFS:n luvattoman pääsyn seurauksena”[ja]
Alkuvaiheen reaktio tässä tapauksessa näyttää siltä, että Keio SFC:n sisäinen organisaatio toimi suoraan toimenpidekeskuksena, mutta 1. marraskuuta 2020 perustettu “CSIRT” on organisaatio, joka vastaa toimenpidekeskuksesta, joka on keskiössä vahvistamassa turvallisuutta ja käsittelemässä kriisejä, jos tietoturvahäiriöitä ilmenee tulevaisuudessa.
CSIRT:n jäsenet eivät ole tiedossa, mutta koska on tarpeen suorittaa samanaikaisesti paitsi järjestelmän turvallisuustoimenpiteet, myös yhteydenpito kohdekäyttäjiin, raportointi valvontaviranomaisille ja poliisille, median käsittely ja oikeudellisen vastuun harkinta, yleensä tarvitaan seuraavien ulkoisten kolmansien osapuolten organisaatioiden ja asiantuntijoiden osallistumista.
- Suurten ohjelmistoyritysten
- Suurten turvallisuusasiantuntijatoimittajien
- Kyberturvallisuuden asiantuntijalakimiesten
Yhteenveto
Kuten tässä tapauksessa, kun henkilötietojen vuoto paljastuu koulutussektorilla, on tärkeää toteuttaa asianmukainen “ensivaste” ja “ilmoitus, raportointi ja julkistaminen”, jota johtaa toimenpidekeskus, sekä myöhemmät “turvatoimet”.
Erityisesti nopeutta vaaditaan paitsi ensivasteessa, myös ilmoituksissa ja raporteissa poliisille ja asiaankuuluville virastoille, ilmoituksissa (pahoittelut) asianomaisille henkilöille ja oikea-aikaisessa julkistamisessa.
Kuitenkin, jos menettelyt tai toimenpiteet ovat virheellisiä, saatat joutua vastaamaan vahingonkorvausvastuusta, joten suosittelemme, että et tee päätöksiä yksin, vaan konsultoit etukäteen asianajajan kanssa, jolla on laaja tietämys ja kokemus kyberturvallisuudesta.
Jos olet kiinnostunut Capcomin tietovuodon kriisinhallinnasta, voit lukea siitä lisää artikkelissamme.
https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]
Esittely toimistomme toimenpiteistä
Monolis Lakitoimisto on erikoistunut IT-alan, erityisesti internetin ja lakiasioihin. Toimistomme tarjoaa laillisen tarkastuksen palveluita monenlaisille asiakkaille, aina Tokion pörssin päälistan yrityksistä startup-yrityksiin. Katso alla oleva artikkeli lisätietoja varten.