Belajar Manajemen Krisis dan Peran Pengacara dari Kebocoran Informasi di Universitas Keio
Kebocoran informasi akibat akses ilegal tidak hanya terjadi di perusahaan, tetapi juga di lingkungan pendidikan, meskipun responsnya tampaknya sedikit berbeda dengan perusahaan.
Khususnya terkait informasi pribadi, yang melibatkan mahasiswa dan staf pengajar, cenderung ada batasan dalam pengungkapan informasi ketika insiden kebocoran informasi terjadi.
Namun, baik perusahaan maupun sekolah tidak ada perbedaan dalam hal perlindungan informasi pribadi, dan prinsip dasar manajemen krisis dalam kebocoran informasi adalah sama.
Oleh karena itu, kali ini kami akan menjelaskan poin-poin penting dalam sistem manajemen krisis berdasarkan respons terhadap insiden kebocoran informasi di Kampus Shonan Fujisawa, Universitas Keio (selanjutnya disebut Keio SFC), dari perspektif manajemen krisis terhadap insiden kebocoran informasi pribadi akibat akses ilegal.
Ringkasan Insiden Kebocoran Informasi di Keio SFC
Isi utama terkait kebocoran informasi akibat akses ilegal yang terjadi di Keio SFC adalah sebagai berikut:
- Penemuan Kebocoran: Pada dini hari tanggal 29 September 2020, kemungkinan kebocoran informasi akibat akses ilegal ke Sistem Dukungan Pembelajaran (SFC-SFS)※ terungkap.
※SFC-SFS adalah sistem yang memiliki fungsi seperti pengiriman email massal ke peserta kursus, pengunduhan daftar nama peserta kursus, pendaftaran tugas dan laporan, penerimaan pengajuan, pendaftaran nilai (komentar), dan input serta peninjauan komentar survei kelas. - Penyebab Kebocoran: ID dan kata sandi dari 19 pengguna sistem dicuri dan disalahgunakan oleh pihak ketiga untuk masuk ke dalam sistem. Kerentanan SFC-SFS dianggap sebagai penyebab utama.
- Ruang Lingkup Kebocoran: Informasi pribadi siswa dan staf yang dikelola oleh Kampus Shonan Fujisawa.
- Isi Kebocoran: Selain “nama”, “alamat”, “nama akun”, dan “alamat email”, informasi yang bocor juga mencakup “foto wajah”, “nomor registrasi siswa”, “informasi kredit yang diperoleh”, dan “tanggal masuk” untuk siswa, serta “nomor staf”, “posisi”, “profil”, dan “data email pribadi” untuk staf.
- Jumlah Kebocoran: Ada kemungkinan sekitar 33.000 kasus kebocoran informasi.
Penemuan Akses Tidak Sah dan Respons Awal
Pada sekitar pukul 17:45 tanggal 15 September, departemen IT Keio SFC menemukan bukti bahwa pengecekan kerentanan terhadap SFC-SFS telah dilakukan secara sporadis.
Lebih lanjut, pada malam hari tanggal 28 September, kami mendeteksi akses mencurigakan ke sistem SFC-SFS dan setelah melakukan investigasi, pada dini hari tanggal 29 September, kami menemukan kemungkinan kebocoran informasi akibat akses tidak sah.
Keio SFC telah memulai respons awal berikut sejak hari setelah menemukan pengecekan kerentanan, yang merupakan tanda awal akses tidak sah:
- Meminta semua pengguna untuk mengubah kata sandi mereka (16 September, 30 September)
- Melanjutkan pemantauan semua titik autentikasi dan log autentikasi (dilanjutkan sejak 16 September)
- Membatasi login ke server komputasi bersama dari luar kampus hanya dengan autentikasi kunci publik (16 September)
- Menghentikan layanan web yang kerentanannya telah dikonfirmasi dan memperbaiki titik kerentanan【Sedang berlangsung】(secara bertahap sejak 16 September, SFC-SFS pada 29 September)
- Menghentikan sistem SFC-SFS (29 September)
Tentang Respons Awal Keio SFC
Ketika akses tidak sah terdeteksi, biasanya dibentuk tim tanggap darurat untuk merespons secara awal, tetapi dalam kasus ini, tampaknya departemen IT yang dipimpin oleh Mr. Kunio, Direktur Eksekutif Permanen Keio dan Chief Information Officer sekaligus Chief Information Security Officer, berfungsi sebagai tim tanggap darurat.
Hal yang penting dalam respons awal adalah melakukan “isolasi informasi”, “pemutusan jaringan”, dan “penghentian layanan” untuk mencegah penyebaran kerusakan dan terjadinya kerusakan sekunder. Namun, dalam kasus Keio SFC, karena pengguna sistemnya terbatas pada mahasiswa dan staf pengajar, prioritas diberikan pada perubahan kata sandi dan pembatasan metode login.
Namun, fakta bahwa mereka segera bergerak setelah mendeteksi tanda-tanda akses tidak sah, dan lebih jauh lagi, bahwa mereka menghentikan sistem SFC-SFS pada tanggal 29 September ketika kemungkinan kebocoran informasi terungkap, dapat dikatakan sebagai respons manajemen krisis yang tepat.
Hal yang menarik perhatian tentang respons awal Keio SFC adalah apakah mereka telah melaporkan kejadian ini ke agensi pengawas atau polisi setelah mengambil tindakan untuk melestarikan bukti terhadap akses tidak sah, yang merupakan kejahatan. Namun, kami tidak dapat memastikannya karena tidak ada deskripsi tentang hal ini dalam siaran pers atau media berita.
Tentang Pemberitahuan kepada Pihak yang Berkepentingan
Pemberitahuan kepada mahasiswa dan staf pengajar Keio SFC dilakukan dalam bentuk email komunikasi bisnis seperti berikut, dan email pertama yang menyebutkan kebocoran informasi pribadi tampaknya adalah email tanggal 30 September.
Pada tanggal 29 September, staf Keio SFC diberitahu bahwa “masalah serius” telah terjadi dan SFC-SFS akan dihentikan.
Pada tanggal 30 September, semua pengguna SFC-SFS diminta untuk mengubah kata sandi mereka karena “informasi akun pengguna” mungkin telah bocor akibat masalah ini.
Selain itu, staf diberitahu bahwa mereka tidak akan dapat melakukan seleksi siswa atau menghubungi siswa yang terdaftar seperti yang direncanakan karena penghentian SFC-SFS, dan kelas akan ditunda untuk jangka waktu tertentu.
J-CAST News, yang mendengar informasi ini, melakukan investigasi dan pada hari yang sama menerbitkan artikel berjudul “Masalah Serius dalam Sistem Kelas di Keio SFC, Mulai Semester Musim Gugur Tertunda Satu Minggu”, di mana “informasi akun pengguna” menjadi publik.
Pada tanggal 1 Oktober, Keio SFC memberitahu mahasiswa melalui situs webnya bahwa SFC-SFS telah dihentikan pada tanggal 29 September karena kemungkinan akses tidak sah, dan karena dampak ini, kelas akan ditunda dari tanggal 1 hingga 7 Oktober. (※Tidak ada catatan tentang kebocoran informasi pribadi)
Siaran Pers Setelah Kebocoran Informasi Terungkap
Pengumuman pertama tentang kebocoran informasi pribadi akibat akses ilegal dilakukan pada tanggal 10 November melalui situs web.
Kali ini, telah terungkap bahwa ID dan kata sandi dari 19 pengguna (staf pengajar) sistem jaringan informasi Kampus Shonan Fujisawa (SFC-CNS) dan sistem dukungan pembelajaran (SFC-SFS) telah dicuri dengan cara tertentu, dan akses ilegal dari luar menggunakan informasi tersebut serta serangan yang memanfaatkan kerentanan sistem dukungan pembelajaran (SFC-SFS) mungkin telah menyebabkan kebocoran informasi pribadi pengguna dari sistem tersebut. Kami sangat menyesal telah menyebabkan ketidaknyamanan dan kekhawatiran bagi semua pihak yang terkait. Saat ini, tidak ada kerusakan sekunder yang telah dikonfirmasi.
Keio University “Tentang Kebocoran Informasi Pribadi Akibat Akses Ilegal ke SFC-CNS dan SFC-SFS”[ja]
Siaran pers ini juga mencakup informasi detail tentang hal-hal berikut:
- Isi informasi pribadi yang mungkin telah bocor
- Bagaimana kebocoran itu terungkap
- Penyebab kebocoran
- Tindakan setelah kebocoran terungkap
- Situasi saat ini
- Langkah-langkah pencegahan kejadian ulang
Isi di atas mencakup hampir semua item yang diperlukan untuk dokumen pengumuman tentang kebocoran informasi.
Tentang Siaran Pers Keio SFC
Waktu Siaran Pers
Seharusnya, Keio SFC harus mengumumkan sendiri terlebih dahulu, tetapi fakta bahwa mereka mengumumkannya 41 hari setelah laporan berita J-CAST tidak dapat dihindari untuk dikatakan terlambat.
Sebab, dalam hal kebocoran informasi pribadi, perlu segera memberi tahu individu yang informasinya bocor untuk mencegah kerusakan sekunder.
Namun, jika mereka telah memberi tahu konten spesifik dari “informasi akun pengguna” pada saat permintaan perubahan kata sandi pada 30 September, tidak ada masalah.
Pemberitahuan tentang Penipuan dan Tindakan Mengganggu
Dalam siaran pers setelah kebocoran informasi terungkap, perlu mengumumkan tentang kebocoran informasi yang terjadi, memberi tahu individu jika informasi pribadi mereka bocor dan meminta maaf, serta memberikan peringatan untuk mencegah menjadi korban penipuan dan tindakan mengganggu.
Jika informasi bahkan dari kampus yang ditutup bocor ke dunia luar, ada kemungkinan akan disalahgunakan, dan dalam kasus ini juga, peringatan tentang penipuan dan tindakan mengganggu diperlukan.
Pusat Tindakan sebagai Inti Penanganan Krisis
Keio SFC telah menjelaskan tentang pusat tindakan dalam “langkah-langkah pencegahan kejadian ulang” dalam siaran pers mereka sebagai berikut.
Di Keio University, berdasarkan insiden akses ilegal kali ini, kami akan segera mengambil tindakan untuk mencegah kejadian ulang, seperti memeriksa dan memperbaiki keamanan aplikasi web dan sistem di seluruh universitas, serta meninjau kembali penanganan informasi pribadi untuk melindunginya. Selain itu, pada tanggal 1 November 2020 (Tahun 2020 dalam Kalender Gregorian), kami telah mendirikan CSIRT (Tim Penanganan Insiden Keamanan Informasi) di dalam universitas, dan kami akan membangun organisasi yang dapat menangani secara menyeluruh terhadap keamanan siber, sambil bekerja sama dengan lembaga profesional eksternal, kami akan berusaha untuk lebih memperkuat keamanan di seluruh universitas.
Keio University “Tentang Kebocoran Informasi Pribadi Akibat Akses Ilegal ke SFC-CNS dan SFC-SFS”[ja]
Respon awal terhadap masalah ini tampaknya telah dilakukan oleh organisasi internal Keio SFC yang langsung berperan sebagai pusat tindakan, namun “CSIRT” yang didirikan pada tanggal 1 November 2020 (Tahun 2020 dalam Kalender Gregorian) adalah organisasi yang setara dengan pusat tindakan yang menjadi inti penanganan krisis jika insiden terjadi di masa depan dan peningkatan keamanan.
Anggota CSIRT belum diketahui, namun, bukan hanya tindakan keamanan sistem, tetapi juga perlu untuk melakukan kontak dengan pengguna yang menjadi sasaran, pelaporan kepada otoritas pengawas dan polisi, penanganan media, dan peninjauan tanggung jawab hukum secara bersamaan, sehingga umumnya diperlukan partisipasi dari lembaga pihak ketiga eksternal dan ahli profesional berikut ini.
- Perusahaan perangkat lunak besar
- Vendor spesialis keamanan besar
- Pengacara eksternal yang memiliki pengetahuan mendalam tentang keamanan siber
Ringkasan
Meskipun dalam kasus seperti kali ini, bocornya informasi pribadi di lingkungan pendidikan terungkap, respons awal yang tepat dan ‘Pemberitahuan, Laporan, dan Pengumuman’ yang berpusat pada pusat tindakan, serta ‘Tindakan Keamanan’ setelahnya sangat penting.
Yang sangat dibutuhkan kecepatannya bukan hanya respons awal, tetapi juga pemberitahuan dan laporan kepada polisi dan lembaga terkait, pemberitahuan kepada individu (permintaan maaf), dan pengumuman pada waktu yang tepat.
Namun, jika Anda salah dalam prosedur atau cara penanganan, Anda mungkin akan dituntut tanggung jawab ganti rugi, jadi kami menyarankan Anda untuk berkonsultasi terlebih dahulu dengan pengacara yang memiliki pengetahuan dan pengalaman dalam keamanan siber, bukan membuat keputusan sendiri.
Jika Anda tertarik dalam manajemen krisis saat bocornya informasi oleh malware Capcom, silakan lihat artikel yang menjelaskan secara detail.
https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]
Panduan Strategi dari Kantor Kami
Kantor Hukum Monolis adalah kantor hukum yang memiliki keahlian tinggi dalam IT, khususnya internet dan hukum. Di kantor kami, kami melakukan pemeriksaan hukum untuk berbagai kasus, mulai dari perusahaan yang terdaftar di Tokyo Stock Exchange Prime hingga perusahaan rintisan. Silakan lihat artikel di bawah ini.