Mengambil Pelajaran dari Kebocoran Informasi Capcom: Manajemen Krisis dan Peran Pengacara
Kebocoran informasi Capcom yang terjadi pada November 2020 (Tahun 2020 Masehi) disebabkan oleh ransomware khusus, dan ada kemungkinan hingga 390.000 data pribadi telah bocor.
Insiden seperti ini tentunya lebih baik tidak terjadi, dan penting untuk mempersiapkan sistem yang dapat mencegahnya. Namun, tidak peduli seberapa baik sistem yang kita siapkan, tidak mungkin untuk sepenuhnya menghilangkan risiko terjadinya insiden.
Jika terjadi insiden seperti ini, apa langkah-langkah dan investigasi yang harus dilakukan segera setelahnya, dan kapan dan bagaimana kita harus mengumumkannya?
Dalam artikel ini, kami akan menjelaskan secara kronologis tentang insiden kebocoran informasi pribadi oleh malware, dari perspektif manajemen krisis, dan belajar tentang sistem manajemen krisis yang seharusnya dari respons Capcom terhadap insiden kebocoran informasi ini.
※Sebagai pengacara, kami memiliki kewajiban kerahasiaan yang tinggi berdasarkan Hukum Pengacara Jepang (Japanese Attorney Law) terhadap kasus yang kami tangani secara langsung. Artikel ini adalah pendapat kami sebagai pengacara berdasarkan informasi yang telah dipublikasikan secara umum tentang insiden masa lalu yang tidak melibatkan kantor kami.
Penemuan Insiden dan Respons Awal
Insiden ini dikonfirmasi terjadi pada tanggal 2 November 2020.
Pada saat itu, gangguan koneksi ke sistem internal perusahaan telah dikonfirmasi, dan tindakan untuk memutus sistem dan memahami situasi kerusakan telah dimulai.
Kemudian pada hari yang sama, penyebab gangguan tersebut diketahui adalah enkripsi file pada perangkat di jaringan akibat serangan ransomware.
Pesan ancaman dari kelompok yang menyebut dirinya “Ragnar Locker” ditemukan pada terminal yang terkena dampak.
Pada titik ini, Capcom telah melaporkan kejadian ini ke Kepolisian Prefektur Osaka dan meminta dukungan pemulihan dari perusahaan eksternal.
Ketika insiden terjadi, sangat penting untuk segera memulihkan sistem untuk kelangsungan bisnis perusahaan. Namun, jika serangan ransomware telah dikonfirmasi, itu adalah apa yang disebut akses ilegal, dan sangat mungkin bahwa itu adalah tindakan yang dilarang oleh “Undang-Undang Jepang tentang Pelarangan Akses Ilegal”.
Sebelum kebocoran informasi rahasia termasuk informasi pribadi dikonfirmasi, dan sebelum jalur intrusi diidentifikasi, sangat penting untuk segera melaporkan ke polisi.
Manajemen Krisis Sebelum Kebocoran Informasi Terungkap
Pada hari kedua setelah insiden tersebut, yaitu tanggal 4 November, Capcom mengumumkan siaran pers pertama mereka, “Pemberitahuan Mengenai Gangguan Sistem Akibat Akses Ilegal”.
Kami telah mengkonfirmasi bahwa gangguan ini disebabkan oleh akses ilegal dari pihak ketiga, dan kami telah menunda sebagian operasi jaringan internal kami sejak hari itu. Kami meminta maaf yang sebesar-besarnya atas ketidaknyamanan yang ditimbulkan kepada semua pihak yang terkait. Selain itu, hingga saat ini, kami belum dapat mengkonfirmasi adanya kebocoran informasi pelanggan dan lainnya.
Pemberitahuan Mengenai Gangguan Sistem Akibat Akses Ilegal[ja]
Pada titik ini, ini hanyalah “gangguan sistem” yang disebabkan oleh “akses ilegal”, dan kebocoran informasi belum terungkap.
Siaran Pers Setelah Kebocoran Informasi Terungkap
Jumlah Informasi Pribadi yang Mungkin Bocor, dll.
Kebocoran informasi terungkap pada tanggal 12 November.
Ada 9 kasus kebocoran informasi pribadi dan sebagian informasi perusahaan yang telah dikonfirmasi.
Pada hari berikutnya, Capcom mengajukan permintaan investigasi penyebab kepada perusahaan spesialis keamanan besar, dan pada tanggal 16 November, mereka merilis siaran pers yang mengkonfirmasi kebocoran informasi.
Pada titik ini, mereka membedakan antara:
- Informasi yang dikonfirmasi bocor
- Informasi yang mungkin bocor
Dan untuk masing-masing, mereka membedakan antara:
- Informasi pribadi (pelanggan, mitra bisnis, dll.)
- Informasi pribadi (karyawan dan pihak terkait)
- Informasi perusahaan (informasi penjualan, informasi mitra bisnis, materi penjualan, materi pengembangan, dll.)
Dan mereka mencantumkan jumlah kasus secara kasar.
Pada titik ini, mereka mengumumkan bahwa “ada kemungkinan kebocoran informasi pribadi pelanggan hingga sekitar 350.000 kasus”.
Kebocoran Informasi Kartu Kredit dan Respons, dll.
Selain itu, pada saat yang sama, mereka menyatakan bahwa:
Perlu dicatat bahwa semua pembayaran kami untuk penjualan online dan sejenisnya dilakukan melalui outsourcing, jadi kami tidak menyimpan informasi kartu kredit, dan tidak ada kebocoran informasi kartu kredit.
Pemberitahuan dan Permintaan Maaf tentang Kebocoran Informasi Akibat Akses yang Tidak Sah[ja]
Dan mereka juga menyebutkan tentang keberadaan atau tidaknya kebocoran informasi kartu kredit, dan selanjutnya,
- Respons kepada orang-orang yang telah dikonfirmasi kebocoran informasi pribadi dan mereka yang mungkin mengalaminya
- Sejarah penemuan dan respons
- Respons di masa depan
Mereka juga merilis informasi seperti itu.
Petunjuk dan Saran dari Pengacara Eksternal, dll.
Dalam siaran pers, mereka juga menyatakan bahwa:
Kami telah melaporkan situasi kepada perusahaan perangkat lunak besar, vendor spesialis keamanan besar, dan pengacara eksternal yang berpengalaman dalam keamanan siber, dan mendapatkan petunjuk dan saran. Kami akan mulai menghubungi orang-orang yang telah dikonfirmasi kebocoran informasi dan pihak terkait, dan kami akan terus menyelidiki informasi yang mungkin telah dicuri.
Pemberitahuan dan Permintaan Maaf tentang Kebocoran Informasi Akibat Akses yang Tidak Sah[ja]
Mereka juga menyatakan hal seperti itu.
Selain itu, “Kontak untuk Informasi Pribadi” dan “Kontak Khusus untuk Kebocoran Informasi Capcom” telah disiapkan sebagai “Kontak Pengguna Game” dan “Kontak Umum”, masing-masing dengan nomor bebas pulsa.
Dan, setidaknya sejak kebocoran sebagian informasi terungkap, butuh waktu 4 hari untuk merilis siaran pers yang menyatakan bahwa telah terjadi kebocoran informasi.
Ini dianggap sebagai periode yang diperlukan untuk melakukan verifikasi informasi yang cukup rinci dan membuat keputusan tentang respons di masa depan, seperti yang disebutkan di atas.
Kebocoran Informasi Pribadi dan Manajemen Krisis
Berbeda dengan laporan pertama tentang “Kegagalan Sistem”, laporan kedua yang menyatakan “mungkin ada kebocoran informasi pribadi pelanggan hingga 350.000 kasus” akan diberitakan oleh berbagai media.
Capcom telah menerima serangan akses ilegal oleh ransomware khusus dari pihak ketiga, dan informasi pribadi yang dimiliki oleh grup perusahaan tersebut telah bocor. Pada tanggal 16 November, informasi yang mungkin telah bocor mencapai sekitar 350.000 kasus, termasuk pelanggan dan pemasok. Ada kemungkinan bahwa materi penjualan dan pengembangan juga telah bocor.
Capcom, Kebocoran Informasi Pribadi Maksimal 350.000 Kasus Akibat Akses Ilegal “Tidak Ada Gangguan dalam Bermain Game” – BCN+R[ja]
Namun, pada saat rilis pers, informasi seperti “kronologi penemuan dan penanganan” dan “tindakan selanjutnya” juga telah dipublikasikan, sehingga artikel di atas juga diakhiri dengan kalimat seperti “Selanjutnya, mereka berencana untuk bekerja sama dengan otoritas kepolisian dan mendirikan organisasi penasihat tentang keamanan sistem oleh para ahli eksternal, dan berusaha mencegah terulangnya insiden ini. Mereka menegaskan bahwa tidak ada kerugian yang akan menyebar ke pengguna atau pihak luar melalui koneksi internet untuk bermain game perusahaan atau akses ke situs web perusahaan. Selain itu, mereka meminta pengguna yang mungkin telah kehilangan informasi pribadi mereka untuk berhati-hati terhadap kemungkinan menerima surat yang tidak dikenal atau kontak mencurigakan.”
Dalam rilis pers setelah ditemukannya kebocoran informasi pribadi, penting untuk mengungkapkan informasi yang cukup lengkap, termasuk “kronologi penemuan dan penanganan” dan “tindakan selanjutnya”, seperti yang disebutkan di atas.
Dan, pada saat ditemukannya kebocoran informasi pribadi,
- Perusahaan perangkat lunak besar
- Vendor spesialis keamanan besar
- Pengacara eksternal yang berpengalaman dalam keamanan siber
penting untuk membentuk tim dengan para ahli eksternal seperti di atas, dan melanjutkan kontak dengan pelanggan dan lainnya yang telah dikonfirmasi kebocorannya, serta manajemen krisis dan publikasi, sejalan dengan penyelidikan penyebab dan tindakan IT murni lainnya.
Selain itu, dalam kasus perusahaan yang terdaftar, penjelasan kepada pemegang saham dan lainnya juga diperlukan sebagai bagian dari publikasi manajemen krisis ini.
Kemungkinan Kebocoran Informasi Pelamar Kerja
Selain itu, dalam siaran pers yang dipublikasikan, terdapat item “Informasi Pelamar Kerja (sekitar 125 ribu)” di antara “Informasi yang Mungkin Bocor” dan “Informasi Pribadi (Pelanggan & Mitra) Maksimal Sekitar 350 Ribu”. Hal ini menimbulkan pertanyaan di media sosial dan lainnya, terkait dengan fakta bahwa Capcom telah menyatakan di situs rekrutmen mereka sendiri bahwa mereka akan menghancurkan informasi tersebut.
Capcom telah menulis di situs rekrutmen mereka sendiri bahwa “Dokumen aplikasi dari mereka yang tidak diterima atau yang menolak penawaran pekerjaan akan dihancurkan dengan bertanggung jawab setelah proses seleksi”. Ada suara yang meragukan respons perusahaan ini di Twitter, karena informasi pribadi yang seharusnya dihancurkan tidak dihancurkan. Capcom menjelaskan bahwa “Kami telah mendigitalkan resume pelamar dan menyimpannya untuk jangka waktu tertentu”. Mereka meminta maaf, mengatakan, “Karena tidak ada penjelasan tentang digitalisasi, ekspresi kami tidak cukup dan ini telah menimbulkan kesalahpahaman”. Mengenai alasan penyimpanan, mereka menjelaskan, “Ada beberapa pelamar yang melamar beberapa kali. Itu untuk memeriksa riwayat aplikasi sebelumnya dengan lancar”. Mereka mengatakan bahwa “tidak jelas pada saat ini” apakah mereka menyimpan data semua pelamar atau tidak.
Capcom, tidak menghancurkan dokumen aplikasi dari pelamar yang tidak diterima. Meskipun ditulis di halaman rekrutmen bahwa “akan dihancurkan dengan bertanggung jawab”, ada kemungkinan kebocoran informasi karena serangan cyber – ITmedia NEWS[ja]
Meskipun tidak jelas apakah Capcom telah memprediksi bahwa suara-suara keraguan seperti ini akan muncul, jika ada informasi yang seharusnya tidak ada (dan dianggap tidak ada sampai batas tertentu) di dalam perusahaan, dan jika ada kemungkinan bahwa informasi tersebut telah bocor, maka akan lebih baik jika mereka telah mempertimbangkan masalah ini sebelumnya dan merilis siaran pers.
Pendirian Komite Pengawas Keamanan termasuk Pengacara
Pengumuman Rilis Pers Ketiga
Lebih lanjut, Capcom pada tanggal 21 Desember, mengadakan pertemuan persiapan untuk pendirian “Komite Pengawas Keamanan” sebagai organisasi penasihat tentang keamanan sistem oleh para ahli eksternal.
Pada tanggal 12 Januari tahun berikutnya (2021), mereka mengumumkan rilis pers ketiga berjudul “Pemberitahuan dan Permintaan Maaf tentang Kebocoran Informasi Akibat Akses yang Tidak Sah【Laporan Ketiga】”,
Sebanyak 16.406 orang lagi dikonfirmasi bocor, dan total sejak kejadian ini menjadi 16.415 orang. Selain itu, kami telah mengetahui bahwa informasi pribadi dari pelanggan, mitra bisnis, dan lainnya yang mungkin telah bocor adalah sebanyak sekitar 390.000 orang (peningkatan sekitar 40.000 orang dari sebelumnya).
Informasi yang diperbarui seiring berjalannya investigasi telah diposting. Selain itu, selain fakta bahwa informasi kartu kredit tidak bocor,
Untuk bermain game kami melalui koneksi internet atau pembelian melalui unduhan, kami tidak menggunakan sistem yang diserang kali ini dari awal, dan kami menggunakan outsourcing atau server eksternal, dan masih sama sekarang. Oleh karena itu, tidak ada hubungan antara koneksi internet atau pembelian melalui unduhan untuk bermain game kami dan serangan cyber pada sistem kami kali ini, dan tidak ada kerugian yang akan ditimbulkan kepada pelanggan kami.
Pemberitahuan dan Permintaan Maaf tentang Kebocoran Informasi Akibat Akses yang Tidak Sah【Laporan Ketiga】 | Capcom Co., Ltd.[ja]
Penjelasan seperti ini juga telah dilakukan.
Tentang Kemungkinan Kebocoran Informasi Pribadi Pelamar Pekerjaan
Selain itu, pada kesempatan ini, sebagai “informasi yang kemungkinan bocor telah dikonfirmasi”, informasi pribadi dari “sekitar 58.000 pelamar pekerjaan” yang disebutkan di atas, yaitu “nama, alamat, nomor telepon, alamat email, dll.” kemungkinan bocor telah diumumkan.
Mengenai hal ini,
Mengenai informasi pelamar, terkait serangan cyber terhadap perusahaan, pada bulan November diketahui bahwa informasi tersebut disimpan dan tidak dihancurkan setelah seleksi. Pada awalnya, dalam “Pengelolaan Informasi Pribadi” di situs rekrutmen, kami menulis, “Setelah seleksi, kami akan menghancurkannya dengan bertanggung jawab di perusahaan kami.” Kemudian, pada Desember 2020, kami menambahkan kalimat, “Karena kami menerima aplikasi kembali, kami mungkin menyimpan data aplikasi yang telah kami digitalisasi dari media kertas yang kami terima untuk tujuan seperti memeriksa aplikasi sebelumnya dengan lancar.” Menurut perusahaan, “Informasi pribadi pelamar masih disimpan di sistem internal kami, dan operasinya hampir tidak berubah sejak sebelum akses yang tidak sah.
Capcom, mengkonfirmasi kebocoran informasi pribadi 16.000 orang, juga mengungkapkan kemungkinan kebocoran 58.000 orang lagi dalam serangan cyber pada November 2020 – ITmedia NEWS[ja]
Laporan seperti ini telah dibuat.
Manajemen Krisis Berdasarkan Hasil Penyelidikan
Pengumuman Rilis Pers ke-4
Setelah itu, Capcom mengadakan Komite Pengawas Keamanan pertama pada 18 Januari, kedua pada 25 Februari, dan ketiga pada 26 Maret, dengan ritme bulanan. Selain itu, pada 31 Maret, mereka menerima laporan penyelidikan dari perusahaan keamanan besar dan laporan dari perusahaan perangkat lunak besar.
Berdasarkan hal tersebut, pada 13 April, mereka mengumumkan rilis pers ke-4 berjudul “Laporan Hasil Penyelidikan tentang Akses Ilegal [Laporan ke-4]”.
Dalam rilis ini, mereka memberikan penjelasan teknis rinci berdasarkan laporan tersebut tentang “Riwayat Respons”, “Penyebab dan Lingkup Dampak Kerusakan”, dan “Langkah-langkah Penguatan Keamanan untuk Mencegah Terulangnya Insiden”. Selain itu, mereka juga menyebutkan bahwa mereka telah membentuk Komite Pengawas Keamanan, yang mencakup satu pengacara yang merupakan ahli dalam hukum perlindungan keamanan siber dan informasi pribadi.
Laporan dan Respons tentang Tebusan
Sementara itu, pada 1 Maret, dilaporkan bahwa kelompok kejahatan siber “Ragnar Locker” telah menuntut tebusan sebesar sekitar 1,15 miliar yen dari Capcom.
Kelompok kejahatan siber “Ragnar Locker” telah mempublikasikan file yang mereka klaim sebagai data yang dicuri dari perusahaan dan menuntut 11 juta dolar dalam Bitcoin (sekitar 1,15 miliar yen) sebagai tebusan, tetapi Capcom telah menolak untuk membayar pada saat ini.
Alasan Capcom Menolak Membayar 1,15 Miliar Yen! Alasan Mengapa Tidak Harus Membayar Tebusan Meski Menjadi Korban Ransomware | Strategi Keamanan di Era Telework | Diamond Online[ja]
Sebagai respons terhadap hal ini, dalam rilis pers ke-4 tersebut, mereka juga memberikan pernyataan tentang tebusan,
Mengenai Pengetahuan tentang Jumlah Tebusan
Laporan Hasil Penyelidikan tentang Akses Ilegal [Laporan ke-4] | Capcom Co., Ltd.[ja]
Ada file pesan dari penyerang yang tersisa pada perangkat yang terinfeksi ransomware, dan memang benar bahwa kami diminta untuk menghubungi penyerang untuk negosiasi, tetapi tidak ada jumlah tebusan yang ditulis dalam file tersebut. Seperti yang telah dilaporkan sebelumnya, kami telah memutuskan untuk tidak bernegosiasi dengan penyerang setelah berkonsultasi dengan polisi, dan kenyataannya, kami tidak melakukan kontak sama sekali (lihat rilis pers yang dikeluarkan pada 16 November 2020), jadi kami tidak mengetahui jumlahnya.
Ini tampaknya merupakan respons terhadap fakta bahwa jumlah spesifik “1,15 miliar yen” telah muncul dalam laporan dan lainnya.
Rilis di Situs Terkait, dll.
Lebih lanjut, pada hari yang sama, Capcom juga mempublikasikan halaman seperti,
[Lanjutan] Pengumuman tentang Gangguan Sistem Grup
Detail Pengumuman | Capcom Online Games[ja]
Terima kasih atas dukungan Anda terhadap “Capcom Online Games (COG)”. Kami telah mempublikasikan informasi terbaru tentang gangguan sistem grup kami yang disebabkan oleh akses ilegal dari pihak ketiga sejak dini hari pada 2 November 2020. Silakan periksa detailnya di sini.
di situs lain selain situs korporat mereka, seperti “CAPCOM: Shadaloo Combat Research Institute” (situs terkait Street Fighter 5) dan “CAPCOM ONLINE GAMES”.
Sebagaimana telah terungkap pada tahap awal kebocoran informasi ini, ini adalah sesuatu yang “menggunakan outsourcing eksternal atau server eksternal”, dan “tidak ada hubungannya dengan serangan siber terhadap sistem kami dalam hal koneksi internet atau pembelian melalui unduhan untuk bermain game, dan tidak ada kerugian yang ditimbulkan kepada pelanggan”, tetapi,
Di saat melaporkan hasil penyelidikan, mereka tampaknya telah mengumumkan rilis tersebut di setiap situs untuk tidak menimbulkan kecemasan pada pengguna.
Kesimpulan
Dengan demikian, dalam kasus terjadinya kebocoran informasi pribadi skala besar, penting untuk:
- Melaporkan segera ke polisi saat insiden terjadi
- Melaporkan situasi kepada ‘Pengacara luar yang ahli dalam keamanan siber’ dan mendapatkan petunjuk dan saran
- Manajemen krisis dan publikasi oleh tim di atas
Dan, setelah informasi telah dikumpulkan sampai batas tertentu, penting untuk:
- Membentuk komite pengawas keamanan termasuk pengacara
Anda dapat mengatakan bahwa penting untuk melakukan manajemen krisis dengan cepat dan terorganisir.