65 लाख मामलों की सूचना रिसाव के बाद टोकेन कॉर्प के मामले से सीखा गया संकट प्रबंधन और वकीलों की भूमिका
2005年 (2005 ईसवी) 1 अप्रैल को व्यक्तिगत जानकारी संरक्षण कानून (Japanese Personal Information Protection Law) का पूर्ण रूप से लागू होने के बाद, व्यक्तिगत जानकारी को संभालने वाले व्यापारी सुरक्षा प्रबंधन उपायों का पालन कर रहे हैं, फिर भी व्यक्तिगत जानकारी की रिसाव की घटनाएं नहीं रुक रही हैं।
जानकारी रिसाव की घटना होने पर विशेष रूप से महत्वपूर्ण होता है उसका समाधान प्रक्रिया और गति। विशेष रूप से, सूचना सुरक्षा विशेषज्ञ स्टाफ के न होने की स्थिति में मध्यम और छोटे उद्यमों में, कैसे प्रतिक्रिया करनी चाहिए यह तुरंत निर्णय नहीं कर पाने की स्थिति भी हो सकती है।
इसलिए, इस बार हम टोकेन कॉर्पोरेशन (Touken Corporation) की जानकारी रिसाव की घटना में कंपनी के प्रतिक्रिया के आधार पर, जानकारी रिसाव में संकट प्रबंधन प्रणाली की व्याख्या करेंगे।
सूचना रिसाव का सारांश
टोक्यो निर्माण कॉर्पोरेशन में हुए, अनुचित पहुंच के माध्यम से सूचना रिसाव के मुख्य विवरण निम्नलिखित हैं।
- घटना: 2020 वर्ष की 20 अगस्त से 12 सितंबर तक के 24 दिन
- पता चलना: 2020 वर्ष की 20 अक्टूबर
- कारण: समूह की होमपेज से, विभिन्न उपयोगकर्ताओं की जानकारी को संग्रहित करने वाले सर्वर पर तीसरे पक्ष द्वारा अनुचित पहुंच का सामना करना पड़ा
- लक्ष्य: समूह की कंपनी की साइट के प्रश्नकर्ता, सदस्य, विभिन्न अभियानों के आवेदक
- जानकारी: “ईमेल पता”, “नाम”, “पता”, “फ़ोन नंबर”, “पासवर्ड”, “लिंग”, “जन्म तिथि” आदि
- मामले: सूचना रिसाव की संभावना 657,096 व्यक्तिगत जानकारी के मामलों में है
अनुचित पहुंच का पता लगाना और प्रारंभिक प्रतिक्रिया
2020 वर्ष (ग्रेगोरियन कैलेंडर) की 20 अक्टूबर को, टोकेन कॉर्पोरेशन (Touken Corporation) ने अपनी वेबसाइट की नियमित जांच करते समय अपनी स्वयं की वेबसाइट ‘नासलैक किचन’ (Nasurakku Kitchen) पर अनुचित पहुंच का पता लगाया, और उसके बाद निम्नलिखित प्रारंभिक कार्रवाई की गई।
- ‘नासलैक किचन’ (Nasurakku Kitchen) को तत्काल सुरक्षा के लिए बंद कर दिया गया, और उसी साइट से सेवाएं प्रदान करना भी रोक दिया गया।
- ‘सूचना सुरक्षा उपाय केंद्रीय मुख्यालय’ (Information Security Measures Headquarters) की स्थापना की गई और बाहरी तीसरे पक्ष के संस्थान से परामर्श किया।
- 11 नवंबर तक समूह की सभी वेबसाइटों की जांच की गई, और अस्थायी कमजोरियों के सुधार के लिए कार्रवाई की गई, साथ ही अधिकतम लीक की संख्या और आइटम को निर्धारित किया।
प्रारंभिक प्रतिक्रिया के मुद्दे
अनुचित पहुंच के कारण सूचना की रिस्क की पुष्टि होने पर, तुरंत निम्नलिखित कार्रवाई करने की आवश्यकता होती है ताकि हानि का विस्तार, द्वितीयक हानि का उत्पन्न होना, और पुनरावृत्ति को रोका जा सके।
- तथ्य संबंधी सम्बंधों की पुष्टि (अनुचित पहुंच का कारण, मार्ग आदि)
- अनुचित पहुंच के प्राप्त होने वाले उपकरणों या साइटों को रोकना
- अनुचित पहुंच के प्राप्त होने वाले उपकरणों या साइटों को नेटवर्क से अलग करना
इस समय ध्यान देने की आवश्यकता है कि, बिना सोचे समझे किसी भी कार्रवाई को न करें और सिस्टम पर बची हुई सबूतों को नष्ट न करें, इसके लिए सबूत संरक्षण की उपाय करने की आवश्यकता होती है।
सूचना रिसाव के बाद का प्रेस विमोचन
पहली घोषणा 17 नवम्बर, 2020 (2020年11月17日) को टोकेन कॉर्पोरेशन (東建コーポレーション) की वेबसाइट पर की गई थी।
घोषणा में अनधिकृत पहुंच का विवरण और भविष्य की योजनाओं के अलावा, “अनधिकृत पहुंच से सूचना रिसाव के मामले के बारे में प्रश्न और उत्तर (不正アクセスによる情報漏洩事件に関するQ&A)” के रूप में आवश्यक जानकारी का विस्तृत विवरण दिया गया था।
टोकेन कॉर्पोरेशन और हमारी सहयोगी कंपनियां (नीचे, हमारा समूह) ने 20 अक्टूबर, 2020 (2020年10月20日) को पुष्टि की है कि हमारे समूह के नेटवर्क को तीसरे पक्ष द्वारा अनधिकृत रूप से पहुंचा गया था, और हमारे समूह द्वारा संचालित होममेट (ホームメイト) के लिए पूछताछ, सहयोगी कंपनियों की सदस्य जानकारी और विभिन्न प्रतियोगिताओं के आवेदकों की व्यक्तिगत जानकारी जैसी व्यक्तिगत जानकारी का बाहरी रिसाव हो सकता है।
अनधिकृत पहुंच से व्यक्तिगत जानकारी के रिसाव के बारे में[ja]
उपरोक्त वेबपेज पर लिंक किए गए, “अनधिकृत पहुंच से सूचना रिसाव के मामले के बारे में प्रश्न और उत्तर”[ja] में निम्नलिखित विषय शामिल हैं।
रिसाव की जानकारी के बारे में
Q इस बार कौन सी जानकारी रिसाव हुई है?
A हमारी कंपनी द्वारा संचालित समूह कंपनियों सहित सभी साइटों पर, ‘नाम’, ‘पता’, ‘फ़ोन नंबर’, ‘ईमेल पता’, और ‘पासवर्ड’ की जानकारी रिसाव हुई होने का अनुमान है।
Q क्या क्रेडिट कार्ड की जानकारी रिसाव हुई है?
A हमारी कंपनी द्वारा संचालित समूह कंपनियों सहित सभी साइटों पर, क्रेडिट कार्ड के कार्ड नंबर या माय नंबर जैसी व्यक्तिगत पहचान संख्या की जानकारी को हम नहीं रखते हैं, इसलिए रिसाव की संभावना नहीं है।
रिसाव की जानकारी के बारे में विवरण देते समय, ① जिनकी रिसाव की संभावना हो सकती है और ② जिनकी रिसाव की संभावना नहीं है, ऐसी जानकारी को विभाजित करके विस्तार से लिखने से, अनावश्यक चिंता और भ्रम को रोका जा सकता है।
आगामी उपायों के बारे में
Q क्या हम आगे भी टोकेन के समूह कंपनियों की साइट का उपयोग कर सकते हैं?
A हमारी कंपनी द्वारा संचालित सभी साइटों, समूह कंपनियों सहित, पर वर्तमान में अनुरूप अवैध पहुंच के खिलाफ सुरक्षा मजबूती पूरी हो चुकी है।
Q आप आगे कैसे सूचना प्रबंधन करने की योजना बना रहे हैं?
A आगे, जरूरत के अनुसार हम तीसरे पक्ष की जांच संस्थानों से जांच कराएंगे, और यदि किसी साइट में कमजोरी आदि पाई जाती है, तो हम तत्काल सुधार करेंगे और और अधिक कठोर सूचना प्रबंधन की ओर प्रयास करेंगे।
आगामी उपायों में, उपयोगकर्ताओं द्वारा उपयोग की जा रही साइटों के सुरक्षा प्रतिक्रिया, पुनः उपयोग की संभावना, और आगामी सूचना प्रबंधन प्रणाली के बारे में विस्तार से समझाना महत्वपूर्ण है।
नुकसान भरपाई आदि के प्रश्न और उत्तर
Q क्या जानकारी के रिसाव का शिकार हुए व्यक्ति को, माफी का धन या परेशानी का भुगतान किया जाता है?
A इस बार के अनुचित पहुंच के माध्यम से लीक हुई जानकारी के आधार पर, माफी का धन या परेशानी का भुगतान करने की योजना नहीं है। हालांकि, इस बार के जानकारी के रिसाव के कारण आपको धनीय क्षति हुई है, और यदि आप विशेष प्रमाण प्रस्तुत करते हैं, तो कृपया हमारे ‘व्यक्तिगत जानकारी परामर्श विंडो’ से सलाह लें।
Q मेरे पास कोई याद नहीं है कि मेरे खाते से किसी ने पैसे निकाले हैं। क्या मुझे भरपाई मिलेगी?
A यदि आपके खाते से आपको याद नहीं कि किसी ने पैसे निकाले हैं, तो हम आपसे अनुरोध करते हैं कि आप स्वयं ही, उस कंपनी से सीधे संपर्क करें जिसने पैसे निकाले हैं। इसके अलावा, यदि यह पता चलता है कि इस बार के जानकारी के रिसाव के कारण, आपको याद नहीं कि किसी ने पैसे निकाले हैं, तो हम आपसे अनुरोध करते हैं कि कृपया हमारे ‘व्यक्तिगत जानकारी परामर्श विंडो’ से हमें सूचित करें।
हम माफी का धन और परेशानी का भुगतान नहीं करते हैं, लेकिन यदि जानकारी के रिसाव के कारण धनीय क्षति हुई है, तो हम नुकसान भरपाई के लिए व्यक्तिगत परामर्श करते हैं, और हमने कंपनी की नीति को स्पष्ट किया है।
पहली प्रेस रिलीज की टाइमिंग पर शेष संदेह
कंपनी के संकट प्रबंधन के रूप में, हमें ‘हानि के विस्तार’, ‘द्वितीयक हानि की उत्पत्ति’ और ‘पुनरावृत्ति की रोकथाम’ को प्राथमिकता देनी चाहिए।
इसलिए, जानकारी के रिसाव की खबर मिलने पर, पहले कार्रवाई करने के बाद, संबंधित लोगों को जितना संभव हो सके जल्दी सूचित करना महत्वपूर्ण होता है।
तोकेन कॉर्पोरेशन के प्रश्न और उत्तर में, व्यापक तरीके से अनुमानित प्रश्नों का विस्तृत रूप से उत्तर दिया गया है, और यह स्पष्ट होता है कि इसे वकीलों और अन्य विशेषज्ञों के साथ पूर्व में ठोस तरीके से तैयार किया गया था, लेकिन अनुचित पहुंच की खबर मिलने के लगभग एक महीने बाद की घोषणा में संदेह बाकी है।
निश्चित रूप से, कंपनी के रूप में, हम जांच और उपाय करने के बाद इसे घोषित करना चाहते हैं, लेकिन क्या निम्नलिखित 4 बिंदुओं को पहली रिपोर्ट के रूप में जल्दी से घोषित नहीं करना चाहिए था।
- जानकारी के रिसाव की खबर और अनुमानित प्रभावित व्यक्ति
- रिसाव हुई व्यक्तिगत जानकारी की विवरण
- कार्ड नंबर आदि की क्रेडिट जानकारी का रिसाव संभव नहीं है
- आगामी ढांचा और अनुसूची
- संपर्क केंद्र
सूचना, रिपोर्ट और प्रकाशन के मुद्दे
जब जानकारी लीक होती है, तो उसके कारण और जानकारी की सामग्री के आधार पर, उपयोगकर्ताओं और व्यापारिक संबंधियों को सूचित करने, निगरानी अधिकारियों और पुलिस आदि को रिपोर्ट करने, और होमपेज और मीडिया आदि के माध्यम से प्रकाशित करने की आवश्यकता हो सकती है।
अगर अपराध की संभावना हो
अगर अनधिकृत पहुंच के संबंध में अपराध की संभावना हो, तो तथ्यों की जांच और सबूत सुरक्षित करने के उपायों को लागू करने के बाद, तत्परता से पुलिस को रिपोर्ट करना चाहिए।
टोक्यू निर्माण कॉर्पोरेशन (Tokyu Construction Corporation) के मामले में, समूह की पूरी वेबसाइट की जांच पूरी होने के अगले दिन, उन्होंने जिम्मेदार अधिकारियों, जैसे कि जापानी भूमि, यातायात और पर्यावरण मंत्रालय (Japanese Ministry of Land, Infrastructure, Transport and Tourism) और ऐची प्रांतीय पुलिस मुख्यालय (Aichi Prefectural Police Headquarters) को नुकसान की रिपोर्ट की।
अगर व्यक्तिगत क्रेडिट जानकारी का लीक होने की संभावना हो
अगर माय नंबर (My Number – Japanese Social Security and Tax Number System), क्रेडिट कार्ड नंबर, बैंक खाता, आईडी, पासवर्ड आदि का लीक होने की संभावना हो, तो तत्परता से संबंधित व्यक्ति को सूचित करना और उन्हें इन्हें रोकने के लिए प्रेरित करना आवश्यक है, ताकि द्वितीयक नुकसान से बचा जा सके।
अगर प्रभाव क्षेत्र या प्रमाण बड़ा हो, या सभी संबंधित पक्षों को व्यक्तिगत रूप से सूचित करना कठिन हो
होमपेज पर जानकारी प्रकाशित करने या पत्रकार सम्मेलन आदि के माध्यम से प्रकाशन करना होगा। हालांकि, अगर प्रकाशन से नुकसान बढ़ने की संभावना हो, तो प्रकाशन के समय और लक्षित व्यक्तियों को ध्यान में रखकर निर्णय लेना चाहिए।
साथ ही, प्रकाशन करते समय पारदर्शिता को सुनिश्चित करना और संभवतः तथ्यों को खुलासा करना, कंपनी की विश्वसनीयता को बढ़ाने के साथ-साथ, नुकसान के विस्तार को रोकने और समान घटनाओं को रोकने में भी मदद करता है।
दूसरी प्रेस विमोचन की घोषणा
तोजो केन कॉर्पोरेशन (Tojo Ken Corporation) ने 2021 के शुरुआती साल (9 फरवरी) में व्यक्तिगत जानकारी के रिसाव के बारे में दूसरी रिपोर्ट को अपनी वेबसाइट पर प्रकाशित किया, और रिसाव की विषयवस्तु और संख्या में संशोधन किया।
तीसरे पक्ष के संस्थान द्वारा फोरेंसिक जांच के माध्यम से रिसाव की विषयवस्तु की पुनः जांच की गई थी, और कुछ अंतर सामने आए थे, इसलिए हम आपसे अनुरोध करते हैं कि आप फिर से अनुलग्नक 1 ‘साइट और सेवाओं के अनुसार विषयवस्तु’ की जांच करें। (मध्य छोड़ें) इसके अलावा, रिसाव की अधिकतम संख्या 657,096 से घटकर 655,488 हो गई है।
सामग्री में, उपरोक्त संशोधन के अलावा, फर्जी ईमेल और संदिग्ध ईमेल के प्रतिक्रिया तरीके आदि जोड़े गए थे, लेकिन मूल बातें पहली प्रेस विमोचन के समान थीं, और यह घोषणा अंतिम थी।
संकट प्रतिक्रिया का केंद्रीय भूमिका निभाने वाला उपाय केंद्र
तोकेन कॉर्पोरेशन (Touken Corporation) ने अनुचित पहुंच की खोज के बाद “सूचना सुरक्षा मुख्यालय” (Japanese Information Security Headquarters) की स्थापना की है, जो बाहरी तीसरे पक्ष के संस्थानों और पुलिस के साथ सहयोग करता है, और पुनरावृत्ति की रोकथाम का प्रयास करता है।
इस संगठन की संरचना अस्पष्ट है, लेकिन सिस्टम की सुरक्षा उपायों के साथ-साथ, लक्षित उपयोगकर्ताओं से संपर्क, मीडिया संवाद, शेयरहोल्डर्स के प्रतिक्रिया, कानूनी जिम्मेदारियों की समीक्षा आदि को समानांतर रूप से करने की आवश्यकता होती है, इसलिए सामान्यतः निम्नलिखित प्रकार के बाहरी तीसरे पक्ष के संस्थानों और विशेषज्ञों की भागीदारी आवश्यक होती है।
- प्रमुख सॉफ्टवेयर कंपनियां
- प्रमुख सुरक्षा विशेषज्ञ विक्रेता
- साइबर सुरक्षा में गहरी समझ रखने वाले बाहरी वकील
सारांश
जैसा कि इस बार हुआ, 65 लाख से अधिक व्यक्तिगत जानकारी के बड़े पैमाने पर रिसाव का पता चलने पर, ‘प्रारंभिक प्रतिक्रिया’ और ‘सूचना, रिपोर्ट, प्रकाशन’ के लिए केंद्रीय उपाय के रूप में ‘सुरक्षा उपाय’ महत्वपूर्ण होते हैं।
विशेष रूप से, जिसमें त्वरितता की आवश्यकता होती है, वह सिर्फ प्रारंभिक प्रतिक्रिया ही नहीं होती, बल्कि पुलिस और संबंधित विभागों को सूचना देने और रिपोर्ट करने और संबंधित पक्षों को प्रकाशित करने (प्रेस रिलीज) का काम भी होता है।
हालांकि, यदि उपचार गलत होता है, तो नुकसान भरपाई की जिम्मेदारी आदि का सामना करने की संभावना होती है, इसलिए हम आपको सलाह देते हैं कि आप साइबर सुरक्षा के बारे में ज्ञान और अनुभव वाले वकीलों से पूर्व में परामर्श करते हुए आगे बढ़ें, न कि स्वतंत्र रूप से निर्णय लें।
जो लोग कैपकॉन के मालवेयर द्वारा जानकारी के रिसाव के समय संकट प्रबंधन में रुचि रखते हैं, वे लेख में विस्तार से विवरण देख सकते हैं।
हमारे दफ्तर द्वारा उपायों का परिचय
मोनोलिस कानूनी दफ्तर एक ऐसा कानूनी दफ्तर है, जिसमें IT, विशेषकर इंटरनेट और कानून के दोनों पहलुओं में उच्च विशेषज्ञता है। हमारे दफ्तर में, हम टोक्यो स्टॉक एक्सचेंज प्राइम लिस्टेड कंपनियों से लेकर स्टार्टअप कंपनियों तक, विभिन्न मामलों के लिए अनुबंधों की सृजना और समीक्षा करते हैं। यदि आपको कोई समस्या है, तो कृपया नीचे दिए गए लेख का संदर्भ लें।