हिंदी English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_hi/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248काम करने के दिन 10:00-18:00 JST [Englsih Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > केओ विश्वविद्यालय के सूचना संरक्षण में विफलता से सीखने की क्रिसिस प्रबंधन और वकीलों की भूमिका

केओ विश्वविद्यालय के सूचना संरक्षण में विफलता से सीखने की क्रिसिस प्रबंधन और वकीलों की भूमिका

General Corporate

केओ विश्वविद्यालय के सूचना संरक्षण में विफलता से सीखने की क्रिसिस प्रबंधन और वकीलों की भूमिका

अनुचित पहुंच के माध्यम से सूचना का लोकार्पण केवल कंपनियों तक ही सीमित नहीं होता, यह शिक्षा क्षेत्र में भी होता है, हालांकि, इसका समाधान कंपनियों से थोड़ा अलग होता है।

विशेष रूप से व्यक्तिगत जानकारी के संबंध में, छात्रों, शिक्षा कर्मियों आदि केंद्रीय भूमिका निभाते हैं, इसलिए, जानकारी का लोकार्पण घटना होने पर सूचना का प्रकाशन भी सीमित सीमा के लिए किया जाता है।

हालांकि, व्यक्तिगत जानकारी की सुरक्षा के प्रति कंपनियों और स्कूलों का दृष्टिकोण नहीं बदलता, जानकारी के लोकार्पण में संकट प्रबंधन का मूल एक ही होता है।

इसलिए, इस बार हम अनुचित पहुंच के माध्यम से व्यक्तिगत जानकारी के लोकार्पण जैसी घटना के प्रति संकट प्रबंधन के पहलुओं से, Keio Shonan Fujisawa Campus (जिसे आगे Keio SFC कहा जाएगा) की सूचना लोकार्पण घटना के प्रतिक्रिया के आधार पर संकट प्रबंधन प्रणाली के मुद्दों की व्याख्या करेंगे।

केयो SFC की सूचना लीक होने की घटना का सारांश

केयो SFC में हुई, अनुचित पहुंच के माध्यम से सूचना लीक होने के मुख्य विषय निम्नलिखित हैं।

  • लीक होने का पता चलना: 2020 वर्ष (ग्रेगोरियन कैलेंडर) की 29 सितंबर की प्रातःकाल में क्लास सपोर्ट सिस्टम (SFC-SFS)※ के अनुचित पहुंच के माध्यम से सूचना लीक होने की संभावना सामने आई।
    ※SFC-SFS एक प्रणाली है जिसमें सभी छात्रों को ईमेल, छात्र सूची का डाउनलोड, रिपोर्ट / कार्य की पंजीकरण, सबमिशन प्राप्ति, ग्रेड (टिप्पणी) पंजीकरण, कक्षा सर्वेक्षण की टिप्पणी दर्ज करने और देखने आदि की सुविधाएं होती हैं।
  • लीक होने का कारण: सिस्टम उपयोगकर्ता 19 के आईडी और पासवर्ड चोरी हो गए, और उन्हें तीसरे व्यक्ति ने अनुचित रूप से उपयोग करके सिस्टम में प्रवेश किया। SFC-SFS की कमजोरी मुख्य कारण मानी जाती है।
  • लीक होने की सीमा: शोनन फुजिसावा कैंपस द्वारा प्रबंधित छात्रों और शिक्षा कर्मियों आदि की व्यक्तिगत जानकारी
  • लीक होने की विषयवस्तु: “नाम”, “पता”, “खाता नाम”, “ईमेल पता” के अलावा छात्रों के मामले में “फेस फोटो”, “छात्र संख्या”, “यूनिट प्राप्ति जानकारी”, “प्रवेश तिथि” आदि, और शिक्षा कर्मियों के मामले में “शिक्षा कर्मी संख्या”, “पद”, “प्रोफ़ाइल”, “व्यक्तिगत ईमेल डेटा” आदि शामिल हैं।
  • लीक होने की संख्या: सूचना लीक होने की संभावना लगभग 33,000 मामलों में है।

अनुचित पहुंच का पता चलना और प्रारंभिक प्रतिक्रिया

15 सितंबर को सायं 17:45 बजे, Keio SFC के IT विभाग ने SFC-SFS पर भेद्यता खोज के अनियमित लक्षणों की पहचान की।

इसके अलावा, 28 सितंबर की रात, SFC-SFS सिस्टम पर अनुचित पहुंच का संदेह उठा और जांच के परिणामस्वरूप, 29 सितंबर की प्रातःकाल में अनुचित पहुंच के माध्यम से सूचना रिसाव की संभावना सामने आई।

Keio SFC ने अनुचित पहुंच के संकेत की पहचान करने के अगले दिन से ही प्रारंभिक प्रतिक्रिया शुरू कर दी थी।

  • सभी उपयोगकर्ताओं से पासवर्ड बदलने का अनुरोध (16 सितंबर, 30 सितंबर)
  • सभी प्रमाणीकरण स्थलों और प्रमाणीकरण लॉग आदि की निरंतर निगरानी (16 सितंबर से जारी)
  • साझा कंप्यूटिंग सर्वर के लिए बाहरी लॉगिन को केवल पब्लिक की पहचान पर सीमित (16 सितंबर)
  • भेद्यता की पहचान की गई वेब सेवाओं को रोकना और भेद्यता स्थलों की सुधार (16 सितंबर के बाद क्रमशः, SFC-SFS 29 सितंबर)
  • SFC-SFS सिस्टम को रोकना (29 सितंबर)

Keio SFC की प्रारंभिक प्रतिक्रिया के बारे में

अनुचित पहुंच का पता चलने पर, उपाय केंद्र की स्थापना करके प्रारंभिक प्रतिक्रिया देना मूल बात है, लेकिन इस मामले में, Keio योग्य नित्य निदेशक और मुख्य सूचना अधिकारी और मुख्य सूचना सुरक्षा अधिकारी कुनियो जी के नेतृत्व में IT विभाग ने उपाय केंद्र के रूप में कार्य किया।

प्रारंभिक प्रतिक्रिया में महत्वपूर्ण बात यह है कि “सूचना का अलगाव”, “नेटवर्क का अवरोधन”, “सेवा का बंद होना” करके क्षति के विस्तार और द्वितीयक क्षति को रोकना है, लेकिन Keio SFC के मामले में, सिस्टम के उपयोगकर्ता अनिश्चित नहीं हैं बल्कि छात्रों और शिक्षकों पर सीमित हैं, इसलिए पासवर्ड के बदलाव और लॉगिन विधि की सीमा आदि को प्राथमिकता दी गई है।

हालांकि, अनुचित पहुंच के संकेत की पहचान करने के बाद तुरंत कार्रवाई करने और इसके अलावा, 29 सितंबर को सूचना रिसाव की संभावना के पता चलने पर SFC-SFS सिस्टम को बंद करने की बात उचित संकट प्रबंधन प्रतिक्रिया कही जा सकती है।

Keio SFC की प्रारंभिक प्रतिक्रिया के बारे में एक बात जो चिंता का विषय है, वह यह है कि अनुचित पहुंच, जो एक अपराध है, के खिलाफ सबूत संरक्षण उपाय करने के बाद निगरानी अधिकारी या पुलिस आदि को रिपोर्ट करने की बात है, लेकिन प्रेस रिलीज़ या समाचार मीडिया आदि में विवरण नहीं है, इसलिए यह जांचा नहीं जा सकता।

संबंधित व्यक्तियों को सूचना देने के बारे में

Keio SFC के छात्रों और शिक्षकों को सूचना देने का काम निम्नलिखित रूप में व्यावसायिक संपर्क ईमेल के रूप में किया गया था, और व्यक्तिगत जानकारी के रिसाव का उल्लेख 30 सितंबर की ईमेल में पहली बार हुआ था।

29 सितंबर को, Keio SFC के कर्मचारियों को “गंभीर समस्या” के कारण SFC-SFS को बंद करने की सूचना दी गई।

30 सितंबर को, इस समस्या के कारण “उपयोगकर्ता की खाता जानकारी” का रिसाव हो सकता है, इसलिए SFC-SFS के सभी उपयोगकर्ताओं से पासवर्ड बदलने का अनुरोध किया।

इसके अलावा, कर्मचारियों को यह भी सूचित किया गया कि, SFC-SFS के बंद होने के कारण, वे योजनाबद्ध रूप से छात्रों को चयन और संपर्क करने में सक्षम नहीं होंगे, इसलिए वे कुछ समय के लिए छुट्टी लेंगे।

J-CAST न्यूज़ ने इस जानकारी को सुना, और उसी दिन “Keio SFC में पाठ्यक्रम सिस्टम में गंभीर समस्या, शरद ऋतु की शुरुआत एक सप्ताह देरी से असामान्य स्थिति” के शीर्षक वाले लेख में, “उपयोगकर्ता की खाता जानकारी” के रिसाव की जानकारी सार्वजनिक हुई।

1 अक्टूबर को, Keio SFC की वेबसाइट पर छात्रों के लिए, अनुचित पहुंच की संभावना होने के कारण SFC-SFS को 29 सितंबर को बंद कर दिया गया, और इसके प्रभाव के कारण 1 अक्टूबर से 7 अक्टूबर तक छुट्टी घोषित की गई। (※ व्यक्तिगत जानकारी के रिसाव के बारे में कोई उल्लेख नहीं)

सूचना रिसाव के बाद प्रेस विमोचन

अनधिकृत पहुंच के माध्यम से व्यक्तिगत जानकारी के रिसाव को पहली बार 10 नवंबर को वेबसाइट पर प्रकाशित किया गया था।

हाल ही में, शोनन फुजिसावा कैंपस के जानकारी नेटवर्क सिस्टम (SFC-CNS) और शिक्षा सहायता सिस्टम (SFC-SFS) में, किसी भी तरह से सिस्टम के 19 उपयोगकर्ताओं (शिक्षास्थानीय कर्मचारी) की आईडी और पासवर्ड चुरा लिए गए थे, और उनका उपयोग करके बाहरी अनधिकृत पहुंच और शिक्षा सहायता सिस्टम (SFC-SFS) की कमजोरी का फायदा उठाकर हमला किया गया था, जिससे उपयोगकर्ताओं की व्यक्तिगत जानकारी रिसाव हो सकती है। ऐसी स्थिति उत्पन्न होने पर, हम सभी संबंधित लोगों को परेशानी और चिंता का सामना करना पड़ा है, हम इसके लिए गहरे मन से खेद प्रकट करते हैं। वैसे, इस समय तक कोई द्वितीयक नुकसान की पुष्टि नहीं हुई है।

केयो योग्योकु “SFC-CNS और SFC-SFS के लिए अनधिकृत पहुंच के माध्यम से व्यक्तिगत जानकारी का रिसाव”[ja]

इस प्रेस विमोचन में निम्नलिखित विषयों के बारे में विस्तृत जानकारी भी दी गई थी:

  • रिसाव होने की संभावना वाली व्यक्तिगत जानकारी की सामग्री
  • रिसाव की पुष्टि होने की प्रक्रिया
  • रिसाव का कारण
  • पुष्टि के बाद की कार्रवाई
  • वर्तमान स्थिति
  • पुनरावृत्ति रोकथाम के उपाय

उपरोक्त सामग्री, सूचना रिसाव के बारे में प्रकाशन सामग्री के लिए आवश्यक आइटमों को लगभग समेटती है।

केयो SFC के प्रेस विमोचन के बारे में

प्रेस विमोचन का समय

मूल रूप से, केयो SFC को स्वयं प्रकाशित करना चाहिए था, लेकिन J-CAST न्यूज़ की रिपोर्ट के 41 दिन बाद प्रकाशित करने का यह देरी बताना चाहिए।

क्योंकि, व्यक्तिगत जानकारी के रिसाव में, द्वितीयक नुकसान आदि को रोकने के लिए रिसाव हुई व्यक्तिगत जानकारी के मूल व्यक्ति को सूचित करने की आवश्यकता होती है।

हालांकि, अगर 30 सितंबर के पासवर्ड परिवर्तन के समय “उपयोगकर्ता की खाता जानकारी” की विस्तृत जानकारी दी गई है, तो कोई समस्या नहीं है।

धोखाधड़ी और परेशानी के कार्यों के खिलाफ सतर्कता

सूचना रिसाव के बाद के प्रेस विमोचन में, हुए सूचना रिसाव के बारे में प्रकाशन करना, और व्यक्तिगत जानकारी रिसाव होने पर, मूल व्यक्ति को इस तथ्य को बताना और माफी मांगना, और धोखाधड़ी और परेशानी के कार्यों आदि के नुकसान से बचने के लिए सतर्कता बरतनी चाहिए।

बंद कैंपस की जानकारी भी बाहरी दुनिया में लीक होने पर दुरुपयोग की संभावना होती है, और इस मामले में भी धोखाधड़ी और परेशानी के कार्यों के खिलाफ सतर्कता आवश्यक है।

संकट प्रतिक्रिया का केंद्र बनने वाला उपाय केंद्र

केयो SFC ने अपनी प्रेस विमोचन में “पुनरावृत्ति रोकथाम उपाय” के अंतर्गत उपाय केंद्र के बारे में निम्नलिखित रूप से वर्णन किया है।

केयो योजना में, इस बार के अनुचित पहुंच के मामले को ध्यान में रखते हुए, हम पूरे विद्यालय में वेब एप्लिकेशन और सिस्टम की सुरक्षा जांच और सुधार, व्यक्तिगत जानकारी की सुरक्षा के लिए हमारे उपयोग की समीक्षा आदि, पुनरावृत्ति रोकथाम के लिए उपायों पर तत्परता से काम कर रहे हैं। साथ ही, 2020 नवंबर 1 (2020 ग्रेगोरियन कैलेंडर वर्ष) को हमने विद्यालय में CSIRT (सूचना सुरक्षा घटना प्रतिक्रिया टीम) स्थापित की है, और हम साइबर सुरक्षा के प्रति समग्र प्रतिक्रिया करने वाले संगठन का निर्माण कर रहे हैं, और बाहरी विशेषज्ञ संगठनों के साथ मिलकर, हम पूरे विद्यालय में अधिक सुरक्षा को मजबूत करने का प्रयास कर रहे हैं।

केयो योजना “SFC-CNS और SFC-SFS के लिए अनुचित पहुंच के माध्यम से व्यक्तिगत जानकारी का रिसाव”[ja]

इस मामले की प्रारंभिक प्रतिक्रिया केयो SFC के आंतरिक संगठन ने उपाय केंद्र की भूमिका निभाई थी, लेकिन 2020 नवंबर 1 को स्थापित “CSIRT” एक संगठन है जो सुरक्षा मजबूती और भविष्य में घटनाओं के समय संकट प्रतिक्रिया का केंद्र बनने वाले उपाय केंद्र के बराबर है।

CSIRT के सदस्यों की जानकारी उपलब्ध नहीं है, लेकिन सिस्टम की सुरक्षा उपायों के अलावा, लक्षित उपयोगकर्ताओं से संपर्क, पर्यवेक्षक प्राधिकरण और पुलिस आदि को रिपोर्ट करना, मीडिया प्रतिक्रिया, कानूनी जिम्मेदारी की जांच आदि को समानांतर रूप से करने की आवश्यकता होती है, इसलिए सामान्यतः निम्नलिखित बाहरी तीसरे पक्ष के संगठनों और विशेषज्ञों की भागीदारी आवश्यक होती है।

  • प्रमुख सॉफ्टवेयर कंपनियां
  • प्रमुख सुरक्षा विशेषज्ञ विक्रेता
  • साइबर सुरक्षा में गहरी समझ रखने वाले बाहरी वकील

सारांश

जैसा कि इस बार हुआ, शिक्षा के क्षेत्र में व्यक्तिगत जानकारी का रिसाव होने पर भी, उचित ‘प्रारंभिक प्रतिक्रिया’ और उपाय केंद्रीय ‘सूचना, रिपोर्ट, प्रकाशन’ और उसके बाद के ‘सुरक्षा उपाय’ महत्वपूर्ण हैं।

विशेष रूप से, जिसमें त्वरितता की आवश्यकता होती है, वह प्रारंभिक प्रतिक्रिया ही नहीं है, बल्कि पुलिस और संबंधित विभागों को सूचना देने, रिपोर्ट करने, व्यक्ति को सूचना देने (माफी), और उचित समय पर प्रकाशित करने की भी।

हालांकि, यदि क्रम या उपचार गलत होता है, तो क्षतिपूर्ति दायित्व के लिए पूछताछ की संभावना भी होती है, इसलिए स्वतंत्र रूप से निर्णय न लेकर साइबर सुरक्षा के बारे में ज्ञान और अनुभव वाले वकील से पहले ही परामर्श करते हुए आगे बढ़ने की सलाह दी जाती है।

कैपकॉन के मालवेयर द्वारा जानकारी के रिसाव के समय संकट प्रबंधन में रुचि रखने वाले लोगों के लिए, हमने लेख में विस्तार से विवरण दिया है, कृपया इसे भी देखें।

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

हमारे दफ्तर द्वारा उपायों का परिचय

मोनोलिथ कानूनी दफ्तर एक ऐसा कानूनी दफ्तर है, जिसमें IT, विशेषकर इंटरनेट और कानून के दोनों पहलुओं में उच्च विशेषज्ञता है। हमारे दफ्तर में, हम टोक्यो स्टॉक एक्सचेंज प्राइम लिस्टेड कंपनियों से लेकर स्टार्टअप कंपनियों तक, विभिन्न मामलों के लिए कानूनी जांच करते हैं। कृपया नीचे दिए गए लेख का संदर्भ लें।

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

तोशिबा के अनुचित लेखांकन मुद्दे का विश्लेषण: संकट प्रबंधन क्या है जो ब्रांड छवि के क्षति से बचाता है

तोशिबा के अनुचित लेखांकन मुद्दे का विश्लेषण: संकट प्रबंधन क्या है जो ब्रांड छवि के क्षति से बचात.

General Corporate

AI सॉफ्टवेयर विकास अनुबंध: क्या यह ठेका है या नियुक्ति? समझौते के महत्वपूर्ण बिंदुओं पर विवरण

AI सॉफ्टवेयर विकास अनुबंध: क्या यह ठेका है या नियुक्ति? समझौते के महत्वपूर्ण बिंदुओं पर विवरण

General Corporate

रेवा 5 वर्ष (2023) में विधिक दूरसंचार व्यापार कानून में संशोधन क्या है? कुकी नियामकों के बारे में विस्तृत विवरण

रेवा 5 वर्ष (2023) में विधिक दूरसंचार व्यापार कानून में संशोधन क्या है? कुकी नियामकों के बारे मे.

General Corporate

क्या दूसरी कंपनी के उत्पाद के नाम को हैशटैग के रूप में इस्तेमाल करने से ट्रेडमार्क उल्लंघन हो सकता है? घरेलू और विदेशी उदाहरणों की व्याख्या

क्या दूसरी कंपनी के उत्पाद के नाम को हैशटैग के रूप में इस्तेमाल करने से ट्रेडमार्क उल्लंघन हो सक.

General Corporate

गिरफ्तारी का इतिहास और पूर्व अपराध की वास्तविक नाम की रिपोर्टिंग के कानूनी मुद्दे ~ क्या यह मानहानि या प्राइवेसी का उल्लंघन नहीं होता? ~

गिरफ्तारी का इतिहास और पूर्व अपराध की वास्तविक नाम की रिपोर्टिंग के कानूनी मुद्दे ~ क्या यह मानह.

General Corporate

निवेश समझौते में निदेशक भेजने की धारा क्या है

निवेश समझौते में निदेशक भेजने की धारा क्या है

General Corporate

कर्मचारियों को खींचने के मामले कब अवैध होते हैं?

कर्मचारियों को खींचने के मामले कब अवैध होते हैं?

General Corporate

कर्मचारी अनुबंध पत्र प्राप्त होने पर जरूरी जांच के बिंदु क्या हैं?

कर्मचारी अनुबंध पत्र प्राप्त होने पर जरूरी जांच के बिंदु क्या हैं?

General Corporate

IPO और M&A द्वारा EXIT करने के तरीके

IPO और M&A द्वारा EXIT करने के तरीके

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Recent Articles

Weekly Popular Articles

ऊपर लौटें