Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Il ruolo della gestione delle crisi e degli avvocati appreso dalla fuga di informazioni dell'Università Keio

Il ruolo della gestione delle crisi e degli avvocati appreso dalla fuga di informazioni dell'Università Keio

General Corporate

Il ruolo della gestione delle crisi e degli avvocati appreso dalla fuga di informazioni dell'Università Keio

Le perdite di informazioni dovute ad accessi non autorizzati non si verificano solo nelle aziende, ma anche nel contesto educativo, tuttavia, sembra che la risposta a tali incidenti differisca leggermente da quella delle aziende.

In particolare, per quanto riguarda le informazioni personali, gli studenti e il personale docente sono spesso al centro di tali incidenti, quindi quando si verifica una perdita di informazioni, la divulgazione delle informazioni tende ad essere limitata a un certo ambito.

Tuttavia, non ci sono differenze tra le aziende e le scuole in termini di protezione delle informazioni personali, e i principi fondamentali della gestione delle crisi in caso di perdita di informazioni rimangono gli stessi.

Quindi, in questa occasione, spiegheremo i punti chiave del sistema di gestione delle crisi basandoci sulla risposta all’incidente di perdita di informazioni presso il campus di Shonan Fujisawa dell’Università Keio (di seguito, Keio SFC) in relazione agli incidenti di perdita di informazioni personali dovuti ad accessi non autorizzati.

Riassunto dell’incidente di fuga di informazioni alla Keio SFC

Il contenuto principale relativo alla fuga di informazioni causata da accessi non autorizzati che si è verificata alla Keio SFC è il seguente:

  • Scoperta della fuga: Nelle prime ore del 29 settembre 2020 (anno 2 dell’era Reiwa), è stata rilevata la possibilità di una fuga di informazioni a causa di un accesso non autorizzato al sistema di supporto didattico (SFC-SFS).
    ※ Il SFC-SFS è un sistema che dispone di funzioni come l’invio di e-mail a tutti gli studenti, il download dell’elenco degli studenti, la registrazione di relazioni e compiti, la ricezione di consegne, la registrazione dei voti (commenti), l’inserimento e la visualizzazione di commenti sulle indagini didattiche.
  • Causa della fuga: Le ID e le password di 19 utenti del sistema sono state rubate e utilizzate in modo improprio da terzi per accedere al sistema. Si ritiene che la vulnerabilità del SFC-SFS sia la causa principale.
  • Ambito della fuga: Informazioni personali di studenti e personale gestite dal campus di Shonan Fujisawa
  • Contenuto della fuga: Oltre a “nome”, “indirizzo”, “nome utente”, “indirizzo e-mail”, nel caso degli studenti sono inclusi “foto del viso”, “numero di matricola”, “informazioni sull’acquisizione di crediti”, “data di ammissione”, mentre per il personale sono inclusi “numero del personale”, “posizione”, “profilo”, “dati di posta elettronica personale”.
  • Numero di fughe: Il numero di possibili fughe di informazioni è di circa 33.000

Rilevazione di accesso non autorizzato e risposta iniziale

Il 15 settembre alle 17:45, il dipartimento IT di Keio SFC ha rilevato tracce di scansione di vulnerabilità sporadica sul sistema SFC-SFS.

Inoltre, la sera del 28 settembre, abbiamo rilevato un accesso sospetto al sistema SFC-SFS e, a seguito di un’indagine, abbiamo scoperto la possibilità di una fuga di informazioni dovuta ad un accesso non autorizzato nelle prime ore del 29 settembre.

Keio SFC ha iniziato le seguenti risposte iniziali dal giorno successivo alla rilevazione della scansione di vulnerabilità, un presagio di accesso non autorizzato:

  • Richiesta di cambio password a tutti gli utenti (16 settembre, 30 settembre)
  • Monitoraggio continuo di tutti i punti di autenticazione e dei log di autenticazione (continuo dal 16 settembre)
  • Limitazione dell’accesso al server condiviso da fuori l’università solo all’autenticazione con chiave pubblica (16 settembre)
  • Sospensione dei servizi web in cui sono state rilevate vulnerabilità e correzione dei punti vulnerabili [in corso] (progressivo dal 16 settembre, SFC-SFS il 29 settembre)
  • Sospensione del sistema SFC-SFS (29 settembre)

Sulla risposta iniziale di Keio SFC

Quando si scopre un accesso non autorizzato, è fondamentale stabilire un quartier generale per la risposta iniziale, ma in questo caso sembra che il dipartimento IT, guidato dal signor Kunio, direttore permanente di Keio Gijuku e responsabile supremo delle informazioni e della sicurezza delle informazioni, abbia funzionato come quartier generale.

La cosa importante nella risposta iniziale è “isolare le informazioni”, “interrompere la rete” e “fermare il servizio” per prevenire l’espansione del danno e l’insorgenza di danni secondari. Tuttavia, nel caso di Keio SFC, poiché gli utenti del sistema sono limitati a studenti e personale, si dà priorità al cambio di password e alla limitazione del metodo di accesso.

Tuttavia, il fatto che abbiano iniziato a muoversi immediatamente dopo aver rilevato il presagio di un accesso non autorizzato e che abbiano sospeso il sistema SFC-SFS il 29 settembre, quando è stata scoperta la possibilità di una fuga di informazioni, può essere considerato una risposta appropriata alla gestione delle crisi.

Un punto di preoccupazione riguardo alla risposta iniziale di Keio SFC è se hanno segnalato alle autorità di supervisione e alla polizia dopo aver preso misure per preservare le prove contro l’accesso non autorizzato, che è un crimine. Tuttavia, non è possibile verificarlo poiché non vi è alcuna descrizione nei comunicati stampa o nei media.

Sulle notifiche agli interessati

Le notifiche agli studenti e al personale di Keio SFC sono state fatte come segue, in forma di email di comunicazione aziendale, e si ritiene che la prima email che ha menzionato la fuga di informazioni personali sia stata quella del 30 settembre.

Il 29 settembre, è stata inviata una notifica al personale di Keio SFC che il sistema SFC-SFS sarebbe stato sospeso a causa di un “grave problema”.

Il 30 settembre, è stato richiesto a tutti gli utenti di SFC-SFS di cambiare la loro password poiché c’era la possibilità che le “informazioni sull’account dell’utente” fossero state divulgate a causa di questo problema.

Inoltre, è stato notificato al personale che, a causa della sospensione di SFC-SFS, non sarebbe stato possibile contattare gli studenti che avevano selezionato i corsi come previsto, e che le lezioni sarebbero state sospese per un certo periodo di tempo.

J-CAST News, che ha sentito queste informazioni, ha condotto un’indagine e lo stesso giorno ha pubblicato un articolo intitolato “Grave problema con il sistema di lezioni a Keio SFC, l’inizio del semestre autunnale è ritardato di una settimana”, rendendo pubblica la fuga delle “informazioni sull’account dell’utente”.

Il 1° ottobre, sul sito web di Keio SFC, è stato annunciato agli studenti che il sistema SFC-SFS era stato sospeso il 29 settembre a causa della possibilità di un accesso non autorizzato, e che a causa di questo impatto, le lezioni sarebbero state sospese dal 1° al 7 ottobre. (※ Non c’è menzione della fuga di informazioni personali)

Comunicato stampa dopo la scoperta di una fuga di informazioni

La prima divulgazione pubblica riguardante la fuga di informazioni personali a seguito di un accesso non autorizzato è avvenuta il 10 novembre sul nostro sito web.

Questa volta, nel sistema di rete informativa del campus di Shonan Fujisawa (SFC-CNS) e nel sistema di supporto didattico (SFC-SFS), è stato scoperto che l’ID e la password di 19 utenti (personale docente) sono stati rubati in qualche modo, e che c’è la possibilità che le informazioni personali degli utenti siano state divulgate dal sistema a causa di un attacco che ha sfruttato una vulnerabilità nel sistema di supporto didattico (SFC-SFS) utilizzando queste informazioni. Ci scusiamo profondamente per il fatto che questa situazione si sia verificata e che abbia causato disagi e preoccupazioni a tutte le persone coinvolte. Al momento, non sono stati confermati danni secondari.

Keio Gijuku “Informazioni sulla fuga di informazioni personali a seguito di un accesso non autorizzato a SFC-CNS e SFC-SFS”[ja]

Questo comunicato stampa includeva anche informazioni dettagliate sui seguenti punti:

  • Contenuto delle informazioni personali che potrebbero essere state divulgate
  • Come è stata scoperta la fuga
  • Causa della fuga
  • Azioni intraprese dopo la scoperta
  • Situazione attuale
  • Misure per prevenire la ricorrenza

Questi punti coprono quasi tutti gli elementi necessari per un documento di divulgazione riguardante una fuga di informazioni.

Sul comunicato stampa di Keio SFC

Tempistica del comunicato stampa

Normalmente, Keio SFC avrebbe dovuto essere la prima a fare una dichiarazione pubblica, ma il fatto che l’abbia fatto 41 giorni dopo la segnalazione di J-CAST News è indubbiamente tardi.

Questo perché, in caso di fuga di informazioni personali, è necessario informare rapidamente la persona interessata per prevenire danni secondari.

Tuttavia, se al momento della richiesta di cambio password del 30 settembre hanno informato gli utenti sul contenuto specifico delle “informazioni dell’account dell’utente”, non ci sono problemi.

Attenzione alle frodi e ai comportamenti fastidiosi

Nel comunicato stampa dopo la scoperta della fuga di informazioni, è necessario fare una dichiarazione pubblica sulla fuga di informazioni che si è verificata, informare e scusarsi con la persona interessata se le informazioni personali sono state divulgate, e avvertire di prestare attenzione per evitare di diventare vittime di frodi e comportamenti fastidiosi.

Anche le informazioni all’interno di un campus chiuso possono essere abusate se vengono divulgate al mondo esterno, e nel caso in questione, è necessario avvertire delle frodi e dei comportamenti fastidiosi.

Il quartier generale centrale per la gestione delle crisi

Keio SFC ha descritto il quartier generale per le misure di prevenzione della recidiva nel suo comunicato stampa come segue:

Alla Keio University, alla luce di questo caso di accesso non autorizzato, ci impegneremo rapidamente in misure per prevenire la recidiva, come il controllo e il miglioramento della sicurezza delle applicazioni web e dei sistemi in tutta l’università, e la revisione del trattamento delle informazioni personali per proteggerle. Inoltre, dal 1° novembre 2020 (anno 2 dell’era Reiwa, 2020 nel calendario gregoriano), abbiamo istituito un CSIRT (Computer Security Incident Response Team) all’interno dell’università e stiamo lavorando per rafforzare ulteriormente la sicurezza in tutta l’università, creando un’organizzazione in grado di rispondere in modo completo alla sicurezza informatica e collaborando con organizzazioni specializzate esterne.

Keio University “Informazioni sulla fuga di informazioni personali a seguito di accesso non autorizzato a SFC-CNS e SFC-SFS”[ja]

Sembra che l’organizzazione interna di Keio SFC abbia svolto il ruolo del quartier generale per le misure iniziali in questo caso, ma il “CSIRT” istituito il 1° novembre 2020 è un’organizzazione che corrisponde al quartier generale centrale per la gestione delle crisi in caso di incidenti futuri e il rafforzamento della sicurezza.

Non è chiaro chi siano i membri del CSIRT, ma oltre alle misure di sicurezza del sistema, è necessario procedere simultaneamente con il contatto con gli utenti interessati, la segnalazione alle autorità di supervisione e alla polizia, la gestione dei media, l’esame della responsabilità legale, ecc. Pertanto, in generale, è necessaria la partecipazione delle seguenti organizzazioni terze esterne e specialisti.

  • Grandi aziende di software
  • Grandi fornitori specializzati in sicurezza
  • Avvocati esterni con profonda conoscenza della sicurezza informatica

Riassunto

Anche in casi come quello attuale, in cui si scopre una fuga di informazioni personali nel campo dell’educazione, è importante una corretta “risposta iniziale” e le “notifiche, rapporti e divulgazioni” centralizzate attorno al quartier generale delle misure, così come le successive “misure di sicurezza”.

In particolare, ciò che richiede velocità non è solo la risposta iniziale, ma anche le notifiche e i rapporti alle forze dell’ordine e alle agenzie governative correlate, le notifiche (scuse) all’individuo e la divulgazione al momento giusto.

Tuttavia, se si sbaglia la procedura o il metodo di gestione, si potrebbe essere soggetti a responsabilità per danni, quindi si consiglia di consultare un avvocato con una vasta conoscenza ed esperienza in materia di sicurezza informatica, invece di prendere decisioni da soli.

Se siete interessati alla gestione delle crisi durante la fuga di informazioni causata dal malware di Capcom, vi preghiamo di leggere l’articolo in cui ne parliamo in dettaglio.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Presentazione delle misure adottate dal nostro studio legale

Lo Studio Legale Monolis è un’agenzia legale con una forte specializzazione in IT, in particolare nell’intersezione tra Internet e legge. Nel nostro studio, effettuiamo controlli legali su una varietà di casi, dalle aziende quotate in primo piano sulla Borsa di Tokyo alle startup. Si prega di fare riferimento all’articolo sottostante.

creazionedicontratti
Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Spiegazione sulle 'Penalità' nella Legge sulla Protezione dei Dati Personali modificata nel 4° anno dell'era Reiwa (2022)

Spiegazione sulle 'Penalità' nella Legge sulla Protezione dei Dati Personali modificata nel 4° a.

General Corporate

Cosa sono le linee guida da seguire per la pubblicità di 'prodotti farmaceutici non medicinali giapponesi'

Cosa sono le linee guida da seguire per la pubblicità di 'prodotti farmaceutici non medicinali g.

General Corporate

Cosa è il periodo di validità del diritto di brevetto? Spiegazione dell'obiettivo della legge e della registrazione di estensione

Cosa è il periodo di validità del diritto di brevetto? Spiegazione dell'obiettivo della legge e .

General Corporate

Quali sono i punti da considerare nella creazione di una politica sulla privacy basata sulla 'Legge sulla protezione delle informazioni personali' giapponese?

Quali sono i punti da considerare nella creazione di una politica sulla privacy basata sulla 'Le.

General Corporate

Spiegazione sulla creazione e autenticazione della firma elettronica: Qual è la sua validità legale?

Spiegazione sulla creazione e autenticazione della firma elettronica: Qual è la sua validità leg.

General Corporate

Cosa è il dovere di riservatezza di un avvocato? Spiegazione dell'ambito di esclusione del dovere di riservatezza e delle relative sanzioni

Cosa è il dovere di riservatezza di un avvocato? Spiegazione dell'ambito di esclusione del dover.

General Corporate

Esempi stranieri e internazionali sulla regolazione legale delle ICO

Esempi stranieri e internazionali sulla regolazione legale delle ICO

General Corporate

Analisi approfondita del dovere di cautela e della responsabilità legale negli incidenti assistenziali

Analisi approfondita del dovere di cautela e della responsabilità legale negli incidenti assiste.

General Corporate

Spiegazione della clausola del diritto di conversione nei contratti di investimento per le startup

Spiegazione della clausola del diritto di conversione nei contratti di investimento per le start.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su