Magyar English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_hu/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hétköznapokon 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Crisis management and the role of lawyers learned from Capcom's information leakage

Crisis management and the role of lawyers learned from Capcom's information leakage

General Corporate

Crisis management and the role of lawyers learned from Capcom's information leakage

A Capcom nevű vállalatnál 2020 novemberében (2020) történt adatszivárgás egyedi ransomware támadás eredménye volt, amelynek következtében akár 390 000 személyes adat is kiszivároghatott.

Természetesen az incidensek elkerülése a legjobb, és elsődleges fontosságú, hogy olyan rendszert alakítsunk ki, amely megakadályozza ezeket. Azonban bármilyen rendszert is alkalmazunk, az esélye annak, hogy incidens történik, sosem csökkenthető teljesen nullára.

Ha mégis bekövetkezik egy ilyen incidens, milyen intézkedéseket és vizsgálatokat kell végrehajtani rögtön utána, és mikor, hogyan kell bejelenteni?

Ebben a cikkben a “malware által okozott személyes adatszivárgás” típusú incidensekre adott válságkezelés szempontjából vizsgáljuk meg a Capcom adatszivárgási esetét, és a cég reakciójából tanuljuk meg, milyen válságkezelési rendszernek kellene működnie, időrendi sorrendben.

※Az ügyvédeknek magas szintű titoktartási kötelezettségük van a saját ügyeikkel kapcsolatban, amelyekben ügyvédként valóban részt vesznek. Ez a cikk olyan korábbi esetekről szól, amelyekben irodánk nem vett részt, és kizárólag nyilvánosan elérhető információkra támaszkodik, hogy kifejezze az ügyvédi nézőpontot.

Az incidens kiderülése és az elsődleges reagálás

Az incidens bekövetkezését 2020. november 2-án erősítették meg.

Ekkor a belső rendszerhez való csatlakozási hiba volt megállapítva, és a rendszer leállítása, valamint a károk felmérésének megkezdése történt meg.

Aznap kiderült, hogy a hiba oka a hálózati eszközök elleni fájl titkosítása volt, amelyet a ransomware támadás okozott.

A károsult terminálokon “Ragnar Locker” néven ismert csoport fenyegető üzeneteit találták meg.

Ezen a ponton a Capcom bejelentést tett az Osaka Prefektúra Rendőrségének, és kérte a helyreállítási támogatást külső cégektől.

Amikor az incidens bekövetkezik, természetesen szükséges a rendszer gyors helyreállítása a vállalat üzleti folytonossága érdekében. Azonban, ha a ransomware támadást erősítik meg, akkor azt a törvénytelen hozzáférésnek tekinthetjük, ami nagyon valószínű, hogy a törvénytelen hozzáférés tilalmának (japán “Fushō na Akusesu Kinshi-hō”) megsértése.

A személyes adatokat tartalmazó bizalmas információk szivárgásának megerősítése előtt, és az illegális belépési útvonalak azonosítása előtt fontos, hogy azonnal jelentést tegyen a rendőrségnek.

Információszivárgás előtti válságkezelési kommunikáció

Az eseményt követő második napon, november 4-én, a Capcom kiadta első sajtóközleményét, amelyben bejelentette: “Értesítés a jogosulatlan hozzáférésből eredő rendszerhibáról”.

Megerősítettük, hogy a hiba kapcsán harmadik fél jogosulatlan hozzáférést hajtott végre, és ennek eredményeként részben felfüggesztettük a vállalati hálózat működését. Mélyen sajnáljuk, hogy ez nagy kellemetlenséget okoz a kapcsolódó feleknek. Jelenleg nincs megerősített információ arról, hogy ügyfél-információk szivárogtak volna ki.

Értesítés a jogosulatlan hozzáférésből eredő rendszerhibáról[ja]

Ezen a ponton még csak a “jogosulatlan hozzáférés” okozta “rendszerhiba” áll fenn, az információszivárgás még nem derült ki.

Információszivárgás utáni sajtóközlemény

A szivárgás lehetőségének száma és egyéb információk

Az információszivárgás 2020. november 12-én (Reiwa 2 év) került napvilágra.

Kilenc személyes adat és néhány vállalati információ kiszivárgását erősítették meg.

A következő napon a Capcom megbízást adott egy vezető biztonsági szakértő cégnek a kivizsgálásra, és november 16-án (Reiwa 2 év) közzétett egy sajtóközleményt, amelyben megerősítették az információk kiszivárgását.

Ebben a szakaszban,

  • A kiszivárgott információk
  • Az esetlegesen kiszivárgott információk

különválasztásra kerültek, és mindegyik esetben,

  • Személyes adatok (ügyfelek, partnerek stb.)
  • Személyes adatok (alkalmazottak és érintettek)
  • Vállalati információk (értékesítési adatok, partner információk, üzleti anyagok, fejlesztési anyagok stb.)

különválasztásra kerültek, és a nagyjából becsült esetszámot is közzétették.

Ebben a szakaszban azt is közzétették, hogy “legfeljebb 350 000 ügyfél személyes adatainak szivárgása lehetséges”.

Kreditkártya-információk szivárgásának megléte és kezelése

Ezzel egyidejűleg,

Megjegyezzük, hogy cégünk minden online értékesítési tranzakciót külső szolgáltatóra bíz, így nincsenek kreditkártya-információink, és nincs kreditkártya-információ szivárgás.

Értesítés és bocsánatkérés az illegális hozzáférésből eredő információszivárgásról[ja]

megemlítették a kreditkártya-információk szivárgásának meglétét, és továbbá,

  • A személyes adatok szivárgásának megerősített és potenciális áldozatainak kezelése
  • A felfedezés és a kezelés menete
  • A jövőbeni intézkedések

ilyen információkat is közzétettek.

Külső ügyvédek tanácsai és iránymutatásai

A sajtóközleményben azt is kifejtették, hogy

Jelentettük a helyzetet egy vezető szoftvervállalatnak, egy vezető biztonsági szakértőnek és egy külső ügyvédnek, aki jól ismeri a kiberbiztonságot, és tanácsot és iránymutatást kaptunk tőlük. Elkezdtük értesíteni azokat, akiknél megerősítettük az információ szivárgását, és azokat, akiknél a tolvajlás lehetséges, és folytatjuk a vizsgálatot.

Értesítés és bocsánatkérés az illegális hozzáférésből eredő információszivárgásról[ja]

Emellett “Személyes adatokkal kapcsolatos kérdések” és “Capcom információszivárgás-specifikus kapcsolattartó pont” címmel “Játékosok kapcsolattartó pontja” és “Általános kapcsolattartó pont” lett létrehozva, mindkettő ingyenesen hívható.

És legalább négy nap telt el a szivárgás felfedezése és a szivárgásról szóló sajtóközlemény közzététele között.

Ez az időszak feltétlenül szükséges volt a fent említett részletes információk ellenőrzéséhez és a jövőbeni intézkedésekkel kapcsolatos döntések meghozatalához.

Személyes adatok szivárgása és válságkezelés

A “rendszerhiba” első jelentésétől eltérően, a “legfeljebb 350 000 ügyfél személyes adatai szivároghattak ki” második jelentést több médium is felkarolja.

A Capcomot egy harmadik féltől származó, személyre szabott ransomware támadás érte, melynek következtében a cégcsoport által birtokolt személyes adatok szivároghattak ki. November 16-án (2020) a potenciálisan kiszivárgott információk száma, beleértve az ügyfeleket és partnereket is, legfeljebb 350 000 lehet. Üzleti és fejlesztési dokumentumok is kiszivároghattak.

Capcom, legfeljebb 350 000 személyes adat szivárgott ki jogosulatlan hozzáférés miatt – “A játékmenet nem zavart” – BCN+R[ja]

Az azonban, hogy a sajtóközleményben a “felfedezés és reagálás menete” és a “jövőbeli intézkedések” is nyilvánosságra kerültek, a fenti cikk is azzal zárul, hogy “a jövőben együttműködnek a rendőrséggel, és létrehoznak egy külső szakértőkből álló tanácsadó szervezetet a rendszerbiztonság kérdéseiben, hogy megakadályozzák a visszaesést. A cég játékainak internetes kapcsolata vagy a cég honlapjának használata nem okoz további károkat a felhasználóknak és a külső személyeknek. Továbbá, azoknak a felhasználóknak, akiknek személyes adatai kiszivároghattak, figyelmeztetést adnak, hogy előfordulhat, hogy váratlan postai küldemények érkeznek, vagy gyanús hívásokat kapnak.”

A személyes adatok szivárgásának felfedezése utáni sajtóközleményben fontos, hogy a fentiekhez hasonlóan, a “felfedezés és reagálás menete”, a “jövőbeli intézkedések” stb. is részét képezik a közzétett információnak.

És amikor a személyes adatok szivárgása felfedezésre kerül,

  • nagy szoftvercégek
  • nagy biztonsági szakértői cégek
  • külső ügyvédek, akik mélyen ismerik a kiberbiztonságot

ilyen külső szakértőkből álló csapatot kell létrehozni, és a potenciálisan érintett ügyfelekkel való kapcsolattartást, a válságkezelő kommunikációt stb. párhuzamosan kell végrehajtani az IT-szintű oknyomozással.

Továbbá, a tőzsdén jegyzett vállalatok esetében szükséges a részvényeseknek szóló magyarázat is, mint a válságkezelő kommunikáció része.

Az állásra jelentkezők információinak szivárgásának lehetősége

Az a tény, hogy a közzétett sajtóközleményben, amelyben szó van a “kiszivároghatott információkról” és a “személyes adatokról (ügyfelek, üzleti partnerek stb.) legfeljebb 350 ezer esetről”, szerepel a “jelentkezők információi (kb. 125 ezer eset)” pont, felvetett kérdéseket a közösségi médiában, mivel a Capcom a saját álláshirdetési oldalán azt írta, hogy megsemmisíti ezeket az információkat.

A Capcom a saját álláshirdetési oldalán azt írta, hogy “azoknak a jelentkezőknek az adatait, akiket nem vettünk fel, vagy akik visszautasították az állást, felelősségteljesen megsemmisítjük a kiválasztás után”. Az, hogy az eredetileg megsemmisítendő személyes adatokat nem semmisítették meg, kérdéseket vetett fel a Twitteren. A Capcom elmagyarázta, hogy “az önéletrajzokat és egyéb adatokat digitalizáltuk és bizonyos ideig tároltuk”. Bocsánatot kértek, mondván, “a digitalizálásra vonatkozó megjegyzés hiánya és a kifejezés hiánya miatt félreértések keletkeztek”. A tárolás okát azzal indokolták, hogy “vannak olyan jelentkezők, akik többször is jelentkeznek. A korábbi jelentkezési előzményeket simán ellenőrizni tudtuk”. Azt, hogy minden jelentkező adatait tárolták-e, “jelenleg ismeretlen” -ként jelölték meg.

A Capcom nem semmisítette meg az elutasított jelentkezők dokumentumait. Az álláshirdetési oldalon azt írták, hogy “felelősségteljesen megsemmisítjük”, de a kibertámadás miatt lehet, hogy az információk kiszivárogtak – ITmedia NEWS[ja]

Nem ismert, hogy a Capcom előre látta-e ezt a kérdést, de ha olyan információk vannak a cégnél, amelyeknek “eredetileg nem kellene létezniük” (és ha ezek léteznek, akkor ez valamennyire elkerülhetetlen), és ezek kiszivároghattak, akkor jobb lett volna, ha a sajtóközlemény kiadása előtt megvizsgálják ezt a problémát is.

Ügyvédeket is magában foglaló Biztonsági Felügyeleti Bizottság létrehozása

A harmadik sajtóközlemény közzététele

A Capcom továbbá december 21-én előkészítő ülést tartott a “Biztonsági Felügyeleti Bizottság” létrehozására, mint külső szakértők által vezetett rendszerbiztonsági tanácsadó szervezet.

A következő évben, 2021. január 12-én, közzétették a harmadik sajtóközleményt, amely a “Tájékoztatás és bocsánatkérés az illegális hozzáférés által okozott információszivárgásról (3. jelentés)” címet viseli, és

Újabb 16 406 személy adatainak szivárgását erősítették meg, így az összesített szám 16 415-re nőtt. Továbbá, a szivárgás lehetőségét vizsgálva, a külső ügyfelek és üzleti partnerek személyes adatai száma legfeljebb 390 000-re (az előző jelentés óta 40 000-rel nőtt) tehető.

Az információk frissítése mellett azt is megerősítették, hogy a hitelkártya-információk nem szivárogtak ki, és

A játékaink internetes kapcsolatának és letöltési vásárlásainak biztosítása nem használta az eredetileg támadott rendszert, hanem külső megbízást vagy külön külső szervert használt, és ez továbbra is így van. Ezért a játékaink internetes kapcsolatának és letöltési vásárlásainak biztosítása nem kapcsolódik a cégünk rendszerére irányuló kibertámadáshoz, és nem okoz kárt az ügyfeleinknek.

Tájékoztatás és bocsánatkérés az illegális hozzáférés által okozott információszivárgásról (3. jelentés) | Capcom Co., Ltd.[ja]

Ezt is megjegyezték.

Az álláspályázók személyes adatainak szivárgásának lehetősége

Ezen felül, “újonnan felfedezett szivárgási lehetőségek” között szerepel az említett “álláspályázók körülbelül 58 000 személyének” személyes adatai, konkrétan “a név, cím, telefonszám, e-mail cím stb. egyike vagy többje” szivárgásának lehetősége.

Ezzel kapcsolatban,

A pályázók adatait illetően, a cég elleni kibertámadás kapcsán novemberben kiderült, hogy a válogatás után sem semmisítették meg az információkat, hanem tárolták azokat. Az álláspályázati oldal “Személyes adatok kezelése” részében eredetileg azt írták, hogy “a válogatás után a cég felelősséggel megsemmisíti azokat”. Ezt követően, 2020 decemberében hozzátették, hogy “az újraalkalmazások fogadása miatt, a korábbi pályázatok sima ellenőrzése és egyéb használati célok miatt, a pályázati anyagok adatait, azaz a papíralapú anyagok digitalizált változatát bizonyos időszakon át tárolhatjuk”. A cég szerint “a pályázók személyes adatait jelenleg is tárolják a cég belső rendszerében, és az illegális hozzáférés előtti működéshez képest alig változott.

A Capcom megerősítette 16 000 személy adatainak szivárgását, és újabb 58 000 személy adatainak szivárgásának lehetőségét is feltárta a 2020 novemberi kibertámadás során – ITmedia NEWS[ja]

Ezt a hírt is közzétették.

Válságkezelési kommunikáció a vizsgálati eredmények alapján

A 4. sajtóközlemény közzététele

A Capcom ezután január 18-án megtartotta az első Biztonsági Felügyelő Bizottsági ülését, február 25-én a másodikat, március 26-án pedig a harmadikat, tehát havi rendszerességgel tartottak biztonsági felügyelő bizottsági üléseket. Ezen kívül március 31-én jelentést fogadtak el egy vezető biztonsági szakértő cégtől, valamint egy jelentést egy nagy szoftvercég részéről.

Ezek alapján április 13-án közzétették a “Jogosulatlan hozzáférésről szóló vizsgálati eredmények jelentése (4. jelentés)” című negyedik sajtóközleményt.

Ebben részletesen tárgyalják a “válaszadás menetét”, a “kár okát és hatókörét”, valamint a “biztonsági intézkedések a visszaesés megelőzésére”, amelyekben részletes technikai magyarázatot adnak a fent említett jelentések alapján. Emellett szervezeti intézkedésként említést tesznek arról is, hogy létrehoztak egy Biztonsági Felügyelő Bizottságot, amelyben szerepel egy szakértő ügyvéd is a kibercsapatbiztonság és a személyes adatvédelmi törvények területéről.

Váltságdíjjal kapcsolatos hírek és reakciók

Március 1-jén, a fent említett “Ragnar Locker” nevű kiberbűnözői csoport állítólag közel 11,5 milliárd jen (kb. 30 millió euró) váltságdíjat követelt a Capcomtól.

A “Ragnar Locker” kiberbűnözői csoport saját weboldalán közzétett egy fájlt, amelyet állítólag egy vállalattól loptak el, és 11 millió dollár (kb. 30 millió euró) váltságdíjat követeltek bitcoinnal, de a Capcom jelenleg visszautasítja a fizetést.

A Capcom visszautasítja a 11,5 milliárd jen fizetést! Miért nem kell váltságdíjat fizetni a zsarolóvírus áldozatainak | Biztonsági intézkedések a távmunka korában | Diamond Online[ja]

Ezt követően a fenti negyedik sajtóközleményben a váltságdíjról is szó esik:

Tudatosság a váltságdíj összegével kapcsolatban
A zsarolóvírus által fertőzött eszközökön hagyott üzenetfájlokban a támadók kapcsolatfelvételt kértek a tárgyalásokhoz, ami igaz, de a fájlban nem szerepelt a váltságdíj összege. Ahogy korábban is jelentettük, a cégünk a rendőrséggel való konzultáció után úgy döntött, hogy nem tárgyal a támadókkal, így valójában nem is léptünk kapcsolatba velük (lásd a 2020. november 16-i (2020) sajtóközleményt), így a cégünk nem tudja a pontos összeget.

Jelentés a jogtalan hozzáférésről szóló vizsgálat eredményeiről【4. jelentés】 | Capcom Co., Ltd.[ja]

Ezt a nyilatkozatot tették közzé. Úgy tűnik, ez a reakció a fent említett hírekre és más forrásokra, amelyekben a “11,5 milliárd jen” konkrét összeg szerepelt.

Kapcsolódó weboldalakon történő közzététel

A Capcom továbbá ugyanazon a napon közzétett egy bejelentést a saját vállalati weboldalán kívüli oldalakon, mint például a “CAPCOM: Shadaloo Harcos Kutatóintézet” (Street Fighter 5 kapcsolódó oldal) és a “CAPCOM ONLINE GAMES”.

【Folytatás】Csoportrendszerünk hibájával kapcsolatos bejelentés
Köszönjük, hogy rendszeresen használja a “Capcom Online Games (COG)” szolgáltatásunkat. 2020. november 2-án (2020) hajnalban történt harmadik féltől származó jogosulatlan hozzáférés miatt rendszerünkben fellépett hiba legfrissebb információit közzétettük. Kérjük, ellenőrizze a részleteket itt.

Bejelentés részletei | Capcom Online Games

Ilyen oldalakon tettük közzé a bejelentést.

A mostani információszivárgás, ahogyan azt korai szakaszban felfedeztük, “külső megbízás vagy külön külső szerver használatával” történt, és “a játékhoz szükséges internetkapcsolat vagy letöltés során történő vásárlás nem áll kapcsolatban a mostani támadással cégünk rendszerére, és nem okoz kárt az ügyfeleknek”.

Az eredmények bejelentésének időzítésekor úgy gondoljuk, hogy a felhasználók aggodalmának elkerülése érdekében újra közzétettük ezt a bejelentést a különböző oldalakon.

Összefoglalás

Ahogy látható, nagy mértékű személyes adatszivárgás esetén fontos:

  • Az incidens bekövetkeztekor azonnali bejelentés a rendőrségnek
  • A helyzet jelentése és tanácsadás kérése olyan szakértőktől, mint a “kiberbiztonsági ügyekben jártas külső ügyvédek”
  • A fenti csapat által végzett válságkezelő kommunikáció

És amikor már rendelkezésre állnak a szükséges információk, fontos:

  • A biztonsági felügyelőbizottság létrehozása, beleértve az ügyvédeket is

Mindezeket gyorsan és szervezetten kell végrehajtani a válságkezelés érdekében.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Az okok és jogi akadályok, amiért a vállalatok 'e-sportokba' lépnek be

Az okok és jogi akadályok, amiért a vállalatok 'e-sportokba' lépnek be

General Corporate

Kötelező-e a lejárati dátumot feltüntetni a 'japán gyógyszerkészítményeknél'? Ügyvéd magyarázza el

Kötelező-e a lejárati dátumot feltüntetni a 'japán gyógyszerkészítményeknél'? Ügyvéd magyarázza .

General Corporate

A munkafeltételek közléséről szóló értesítés szabályainak módosítása a munkafeltételek világos megfogalmazására (Reiwa 6 (2024) áprilisában lép érvénybe)

A munkafeltételek közléséről szóló értesítés szabályainak módosítása a munkafeltételek világos m.

General Corporate

Vajon törvényes-e vásárolni ügyfél információkat? - Magyarázat a Japán 'Személyes Adatvédelmi Törvényre

Vajon törvényes-e vásárolni ügyfél információkat? - Magyarázat a Japán 'Személyes Adatvédelmi Tö.

General Corporate

Cégek figyelmeztetése: Mire kell figyelni a dolgozók SNS használatakor? Az SNS irányelvek kidolgozásának magyarázata

Cégek figyelmeztetése: Mire kell figyelni a dolgozók SNS használatakor? Az SNS irányelvek kidolg.

General Corporate

Csempészett jegyeken kívül más átadások is illegálisak? Milyen konkrét intézkedéseket tehetnek a vállalatok a károk megelőzése érdekében?

Csempészett jegyeken kívül más átadások is illegálisak? Milyen konkrét intézkedéseket tehetnek a.

General Corporate

Lehet-e alvállalkozóval továbbadni a megbízási szerződéseket és a vállalkozási szerződéseket? A rendszerfejlesztést használjuk példaként a magyarázathoz

Lehet-e alvállalkozóval továbbadni a megbízási szerződéseket és a vállalkozási szerződéseket? A .

General Corporate

A szabadúszók 'munkavállalók'? A munkaügyi felelősnek ismernie kell a munkavállalói státusz megítélésének kritériumait

A szabadúszók 'munkavállalók'? A munkaügyi felelősnek ismernie kell a munkavállalói státusz megí.

General Corporate

A GDPR határokon átnyúló alkalmazása esetén mi a teendő? Magyarázat a megfelelési módszerekre

A GDPR határokon átnyúló alkalmazása esetén mi a teendő? Magyarázat a megfelelési módszerekre

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Vissza a tetejére