Magyar English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_hu/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hétköznapokon 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Crisis management and the role of lawyers learned from the information leak at Keio University (Japanese Keio University)

Crisis management and the role of lawyers learned from the information leak at Keio University (Japanese Keio University)

General Corporate

Crisis management and the role of lawyers learned from the information leak at Keio University (Japanese Keio University)

Az információszivárgás jogosulatlan hozzáférés következtében nem csak a vállalatokat, hanem az oktatási intézményeket is érinti, bár a válaszadásuk kissé eltér a vállalatokétól.

Különösen a személyes adatokkal kapcsolatban, amelyek főként diákokra és oktatói személyzetre vonatkoznak, az információszivárgás esetén az információk nyilvánosságra hozatala is korlátozott körben történik.

Az adatvédelem azonban mind a vállalatok, mind az iskolák számára változatlan, és az információszivárgás kezelésének alapelvei ugyanazok.

Ezért ebben a cikkben a jogosulatlan hozzáférés által okozott személyes adatok szivárgásának esetére összpontosítunk, és a Keio Egyetem Shonan Fujisawa Campusának (a továbbiakban: Keio SFC) információszivárgási esetére adott válasz alapján ismertetjük a válságkezelési rendszer kulcspontjait.

A Keio SFC információszivárgási esetének áttekintése

A Keio SFC-nél történt jogosulatlan hozzáférésből eredő információszivárgás főbb részletei a következők:

  • Szivárgás felfedezése: 2020. szeptember 29-én hajnalban derült fény arra, hogy a tanórai támogató rendszer (SFC-SFS)※ jogosulatlan hozzáférés útján információszivárgásnak lehetett kitéve.
    ※Az SFC-SFS egy olyan rendszer, amelynek funkciói közé tartozik az összes hallgató számára küldött e-mailek, a hallgatói névsor letöltése, a jelentések és feladatok regisztrációja, a beadások fogadása, az értékelések (megjegyzések) regisztrációja, az órai felmérések megjegyzéseinek beírása és megtekintése.
  • Szivárgás oka: 19 rendszerfelhasználó ID-jét és jelszavát lopták el, és ezt harmadik fél jogosulatlanul használta fel a rendszerbe való behatolásra. Az SFC-SFS sebezhetősége tekinthető a fő oknak.
  • Szivárgás terjedelme: A Shonan Fujisawa Campus által kezelt diák- és oktatói személyes adatok
  • Szivárgás tartalma: “Név”, “Cím”, “Felhasználónév”, “E-mail cím”, továbbá a diákok esetében “Arcfotó”, “Hallgatói szám”, “Kreditinformáció”, “Felvételi dátum”, míg az oktatók esetében “Oktatói szám”, “Pozíció”, “Profil”, “Személyes e-mail adatok” stb.
  • Szivárgás esetszáma: Az információszivárgás lehetősége mintegy 33 000 esetre vonatkozik

Jogosulatlan hozzáférés felfedezése és az elsődleges reagálás

Szeptember 15-én, 17:45 körül a Keio SFC IT osztálya észlelte, hogy a SFC-SFS rendszeren sporadikus sebezhetőségi vizsgálatokat végeznek.

Továbbá, szeptember 28-án este a SFC-SFS rendszeren gyanús hozzáférést észleltek és vizsgáltak, és szeptember 29-én hajnalban kiderült, hogy a jogosulatlan hozzáférés miatt információszivárgás lehetséges.

A Keio SFC a sebezhetőségi vizsgálatok észlelése után a következő elsődleges intézkedéseket hajtotta végre:

  • Az összes felhasználó jelszavának megváltoztatását kérte (szeptember 16., szeptember 30.)
  • Az összes hitelesítési pontot és hitelesítési naplót folyamatosan figyelte (szeptember 16-tól folyamatosan)
  • A közös számítógépes szerverekhez való bejelentkezést csak nyilvános kulcs hitelesítésre korlátozta (szeptember 16.)
  • A sebezhetőséget mutató webes szolgáltatások leállítása és a sebezhető helyek javítása (folyamatban) (szeptember 16-tól fokozatosan, SFC-SFS szeptember 29.)
  • A SFC-SFS rendszer leállítása (szeptember 29.)

A Keio SFC elsődleges reagálása

Ha jogosulatlan hozzáférés történik, alapvetően egy válságkezelő csoportot hoznak létre az elsődleges reagálásra, de ebben az esetben úgy tűnik, hogy az IT osztály, melynek vezetője a Keio Egyetem állandó igazgatója és a fő információs biztonsági felelős, Kuniyo, működött válságkezelő csoportként.

Az elsődleges reagálás során fontos az “információ izolálása”, a “hálózat lezárása” és a “szolgáltatások leállítása” a károk továbbterjedésének és a másodlagos károk megelőzésének érdekében. A Keio SFC esetében a rendszer felhasználói nem a nagyközönség, hanem a diákok és a tanárok, ezért a jelszavak megváltoztatását és a bejelentkezési módszerek korlátozását részesítik előnyben.

Az azonban, hogy a jogosulatlan hozzáférés előjeleit észlelve azonnal cselekedtek, és szeptember 29-én, amikor kiderült az információszivárgás lehetősége, leállították a SFC-SFS rendszert, megfelelő válságkezelésnek tekinthető.

A Keio SFC elsődleges reagálásával kapcsolatban felmerülő kérdés, hogy a jogosulatlan hozzáférés, ami bűncselekmény, után bizonyítékokat biztosítottak-e, és jelentést tettek-e a felügyeleti hatóságoknak vagy a rendőrségnek. A sajtóközleményekben és a hírforrásokban azonban nincs ilyen leírás, ezért nem lehet megerősíteni.

Értesítés az érintetteknek

A Keio SFC diákjainak és tanárainak az értesítés a következőképpen történt, mint egy üzleti kommunikációs e-mail, és az első alkalom, amikor az személyes adatok szivárgására utalt, szeptember 30-án volt.

Szeptember 29-én a Keio SFC munkatársainak értesítést küldtek, hogy “súlyos probléma” merült fel, ezért leállítják a SFC-SFS-t.

Szeptember 30-án arról értesítették a SFC-SFS összes felhasználóját, hogy a probléma miatt “a felhasználói fiók adatai” szivároghattak, és kértek jelszóváltoztatást.

Ezenkívül értesítést küldtek a munkatársaknak, hogy a SFC-SFS leállítása miatt nem tudják a tervezett módon kapcsolatba lépni a hallgatókkal, ezért egy ideig szüneteltetik az oktatást.

Ezt a hírt a J-CAST News értesítette, és ugyanazon a napon cikket közölt “Súlyos probléma a Keio SFC oktatási rendszerében, az őszi félév kezdete egy héttel késik” címmel, amelyben nyilvánosságra hozták a “felhasználói fiók adatainak” szivárgását.

Október 1-jén a Keio SFC weboldalán értesítést küldtek a diákoknak, hogy a jogosulatlan hozzáférés miatt leállították a SFC-SFS-t szeptember 29-én, és ennek hatására október 1-től 7-ig szünetel az oktatás. (Nincs említés a személyes adatok szivárgásáról)

Információszivárgás utáni sajtóközlemény

Az első hivatalos bejelentés a jogosulatlan hozzáférés útján történt személyes adatok szivárgásáról 2021. november 10-én történt a weboldalunkon.

Ezúttal a Shonan Fujisawa Campus információs hálózati rendszere (SFC-CNS) és az oktatástámogató rendszer (SFC-SFS) esetében 19 felhasználó (oktatói és adminisztratív személyzet) azonosítója és jelszava került illetéktelen kezekbe, és ezeket felhasználva külső, jogosulatlan hozzáférés és az oktatástámogató rendszer (SFC-SFS) sebezhetőségét kihasználó támadás történt, aminek következtében a rendszerből személyes adatok szivároghattak ki. Mélyen sajnáljuk, hogy ilyen helyzet alakult ki, és hogy kellemetlenséget és aggodalmat okoztunk az érintetteknek. Jelenleg nincsenek bizonyítékaink további károkra.

Keio Egyetem “SFC-CNS és SFC-SFS személyes adatok jogosulatlan hozzáférés útján történt szivárgása”[ja]

A sajtóközleményben részletes információkat találhatunk a következő témákban:

  • A szivárgásban érintett személyes adatok
  • A szivárgás felfedezésének körülményei
  • A szivárgás okai
  • A felfedezés utáni intézkedések
  • A jelenlegi helyzet
  • Az újbóli előfordulás megelőzésének intézkedései

A fentiek szinte minden szükséges információt tartalmaznak az adatszivárgásról.

A Keio SFC sajtóközleménye

A sajtóközlemény időzítése

Elvileg a Keio SFC-nek kellett volna először bejelentenie a történteket, de a J-CAST hírek után 41 nappal történt meg a bejelentés, ami későinek tekinthető.

Ennek oka, hogy a személyes adatok szivárgása esetén sürgősen értesíteni kell az érintett személyeket a további károk elkerülése érdekében.

Ha azonban a szeptember 30-i jelszóváltoztatási kérés során tájékoztatták a felhasználókat a “felhasználói fiók adatainak” konkrét tartalmáról, akkor nincs probléma.

Felhívás a csalások és a kellemetlen cselekmények ellen

Az információszivárgás utáni sajtóközleményben közzé kell tenni a történteket, és ha személyes adatok szivárognak ki, tájékoztatni kell az érintett személyt, bocsánatot kell kérni, és figyelmeztetni kell a csalások és a kellemetlen cselekmények ellen.

Ha a zárt campuson belüli információk kiszivárognak a külvilágba, azok visszaélésre adhatnak lehetőséget, és ebben az esetben is szükséges a figyelmeztetés a csalások és a kellemetlen cselekmények ellen.

A válságkezelés központjában a megoldási központ

A Keio SFC a sajtóközleményében a “megelőző intézkedések” között a következőképpen ír a megoldási központról:

A Keio Egyetem a jelenlegi jogosulatlan hozzáférési esetet figyelembe véve, az egész egyetemen a webalkalmazások és rendszerek biztonsági ellenőrzésére és javítására, a személyes adatok védelmére irányuló kezelési módszerek felülvizsgálatára stb. fog összpontosítani a megismétlődés megelőzése érdekében. Ezenkívül 2020. november 1-jén (2020) létrehoztuk a CSIRT-et (Cyber Security Incident Response Team – Kibervédelmi Incidens Reagáló Csapat) az egyetemen belül, és átfogó választ adunk a kibervédelmi kérdésekre, miközben szervezetfejlesztést hajtunk végre, és együttműködünk külső szakértői szervezetekkel az egész egyetem biztonságának további erősítése érdekében.

Keio Egyetem “SFC-CNS és SFC-SFS személyes adatok jogosulatlan hozzáférésből eredő szivárgásáról”[ja]

Úgy tűnik, hogy a Keio SFC belső szervezete azonnal a megoldási központ szerepét töltötte be a jelen ügyben, de a 2020. november 1-jén (2020) létrehozott “CSIRT” a biztonság erősítése és a jövőbeni incidensek esetén a válságkezelés központjában álló megoldási központnak megfelelő szervezet.

A CSIRT tagjainak személye nem ismert, de nem csak a rendszer biztonsági intézkedéseire van szükség, hanem a célcsoporttal való kommunikációra, jelentések készítésére a felügyeleti hatóságok és a rendőrség számára, a média kezelésére, a jogi felelősség vizsgálatára stb. is szükség van, ezért általában szükség van a következő külső harmadik féltől származó szervezetek és szakértők részvételére:

  • Nagy szoftvercégek
  • Nagy biztonsági szakértői cégek
  • Kibervédelmi szakértő külső ügyvédek

Összefoglalás

Az olyan esetekben, mint a mostani, amikor az oktatási területen személyes adatok szivárognak ki, fontos a megfelelő “elsődleges reakció”, a “bejelentés, jelentés és nyilvánosságra hozatal” a stratégiai központ körül, valamint a későbbi “biztonsági intézkedések”.

Különösen a sebesség szükséges nem csak az elsődleges reakcióban, hanem a rendőrségnek és a kapcsolódó minisztériumoknak történő bejelentésben és jelentésben, a személynek történő értesítésben (bocsánatkérés), és a megfelelő időben történő nyilvánosságra hozatalban.

Ha azonban hibásan jár el vagy rosszul kezeli a helyzetet, akkor kártérítési felelősséggel is szembe kell néznie, ezért javasoljuk, hogy ne hozzon önálló döntéseket, hanem konzultáljon előzetesen egy olyan ügyvéddel, aki gazdag tapasztalattal és tudással rendelkezik a kiberbiztonság területén.

Ha érdekli a Capcom malware általi információszivárgás kezelése, olvassa el a részletes cikket a témában.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Intézkedéseink bemutatása irodánk részéről

A Monolis Jogi Iroda egy olyan jogi iroda, amely magas szakmai szinten rendelkezik az IT, különösen az internet és a jog területén. Irodánkban a Tokyo Stock Exchange Prime-ban jegyzett vállalatoktól a startup vállalkozásokig számos ügyben végezzük a jogi ellenőrzéseket. Kérjük, tekintse meg az alábbi cikket.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Más cégek terméknevének használata hashtagként szabadalmi jogsértést eredményez? Belföldi és külföldi esetek magyarázata

Más cégek terméknevének használata hashtagként szabadalmi jogsértést eredményez? Belföldi és kül.

General Corporate

Az idolok 'szerelmi tilalmi záradékai' jogilag érvényesek? Bemutatunk két bírói döntést

Az idolok 'szerelmi tilalmi záradékai' jogilag érvényesek? Bemutatunk két bírói döntést

General Corporate

Mik a változások az Elektronikus Kommunikációs Törvényben a Reiwa 5 évben (2023)? Részletes magyarázat a Cookie szabályozásról

Mik a változások az Elektronikus Kommunikációs Törvényben a Reiwa 5 évben (2023)? Részletes magy.

General Corporate

A hálózati üzlet illegális? A 'Multi-Level Marketing' és a 'Piramisjáték' jogi problémáinak magyarázata

A hálózati üzlet illegális? A 'Multi-Level Marketing' és a 'Piramisjáték' jogi problémáinak magy.

General Corporate

A „Megsérti-e a biztonsági kamerák a személyes adatok védelmét? - Útmutató és bírói döntések elemzése”

A „Megsérti-e a biztonsági kamerák a személyes adatok védelmét? - Útmutató és bírói döntések ele.

General Corporate

Milyen kockázatokkal jár alaptalan hatású termékek értékesítése? A hajnövesztő szerek példáján keresztül magyarázat a 'japán ajándéktárgyak megjelenítéséről szóló törvényre

Milyen kockázatokkal jár alaptalan hatású termékek értékesítése? A hajnövesztő szerek példáján k.

General Corporate

A titoktartási megállapodás (NDA) elkészítésének ellenőrző pontjai

A titoktartási megállapodás (NDA) elkészítésének ellenőrző pontjai

General Corporate

A vállalatok személyes adatok szivárgásának és a kártérítési kockázatának kérdése

A vállalatok személyes adatok szivárgásának és a kártérítési kockázatának kérdése

General Corporate

Vajon törvényes-e vásárolni ügyfél információkat? - Magyarázat a Japán 'Személyes Adatvédelmi Törvényre

Vajon törvényes-e vásárolni ügyfél információkat? - Magyarázat a Japán 'Személyes Adatvédelmi Tö.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Vissza a tetejére