Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Il ruolo della gestione delle crisi e degli avvocati appreso dalla fuga di informazioni di Capcom

Il ruolo della gestione delle crisi e degli avvocati appreso dalla fuga di informazioni di Capcom

General Corporate

Il ruolo della gestione delle crisi e degli avvocati appreso dalla fuga di informazioni di Capcom

La fuga di informazioni di Capcom avvenuta nel novembre 2020 (anno 2 dell’era Reiwa) è stata causata da un ransomware su misura, con la possibilità di aver esposto fino a 390.000 dati personali.

Naturalmente, sarebbe meglio se tali incidenti non accadessero, e la prima cosa importante è mettere in atto un sistema per prevenirli. Tuttavia, non importa quale sistema si adotti, è impossibile ridurre completamente a zero la probabilità di tali eventi.

Nel caso in cui un tale incidente dovesse verificarsi, quali misure e indagini dovrebbero essere intraprese immediatamente dopo, e quando e come dovrebbero essere annunciate?

In questo articolo, dal punto di vista della gestione delle crisi per “incidenti di fuga di informazioni personali causati da malware”, spiegheremo in ordine cronologico l’incidente di fuga di informazioni di Capcom, per imparare il sistema di gestione delle crisi che dovrebbe essere in atto dalla risposta dell’azienda.

※Gli avvocati hanno un alto dovere di riservatezza secondo la legge giapponese sugli avvocati per i casi in cui sono effettivamente coinvolti come avvocati. Questo articolo esprime l’opinione dell’avvocato sulla base delle informazioni pubblicamente disponibili su casi passati in cui il nostro studio non è stato coinvolto.

Rivelazione dell’incidente e risposta iniziale

L’incidente è stato confermato il 2 novembre 2020.

A questo punto, è stato confermato un guasto di connessione al sistema interno, e sono state avviate le azioni per isolare il sistema e comprendere l’entità del danno.

Lo stesso giorno, è stato scoperto che la causa del guasto era la crittografia dei file su dispositivi di rete a causa di un attacco ransomware.

Sui terminali danneggiati, è stato scoperto un messaggio di minaccia da un gruppo che si fa chiamare “Ragnar Locker”.

A questo punto, Capcom ha segnalato l’incidente alla polizia della prefettura di Osaka e ha richiesto il supporto per il recupero a un’azienda esterna.

È ovviamente necessario affrettarsi a ripristinare il sistema al momento dell’incidente per la continuità delle operazioni aziendali. Tuttavia, se si conferma un attacco ransomware, è molto probabile che si tratti di un accesso non autorizzato, un’azione proibita dalla legge giapponese contro l’accesso non autorizzato.

Prima che venga confermata la fuga di informazioni riservate, tra cui informazioni personali, e prima che venga identificato il percorso di intrusione, è importante segnalare rapidamente l’incidente alla polizia.

Gestione della crisi prima della scoperta della fuga di informazioni

Il giorno successivo all’incidente, il 4 novembre, Capcom ha rilasciato il suo primo comunicato stampa, intitolato “Annuncio riguardante l’insorgenza di un malfunzionamento del sistema dovuto ad accesso non autorizzato”.

Abbiamo confermato che questo malfunzionamento è stato causato da un accesso non autorizzato da parte di terzi, e abbiamo sospeso parzialmente l’operatività della nostra rete interna dallo stesso giorno. Ci scusiamo profondamente per l’enorme inconveniente che questo causerà a tutte le parti coinvolte. Allo stato attuale, non abbiamo confermato alcuna fuga di informazioni del cliente.

Annuncio riguardante l’insorgenza di un malfunzionamento del sistema dovuto ad accesso non autorizzato [ja]

A questo punto, si tratta solo di un “malfunzionamento del sistema” causato da un “accesso non autorizzato”, e la fuga di informazioni non è ancora stata scoperta.

Comunicato stampa dopo la scoperta di una fuga di informazioni

Numero di informazioni personali potenzialmente esposte

La fuga di informazioni è stata scoperta il 12 novembre.

Sono state confermate 9 fughe di informazioni personali e alcune informazioni aziendali.

Il giorno successivo, Capcom ha avviato un’indagine per determinare la causa con una grande azienda specializzata in sicurezza, e il 16 novembre ha rilasciato un comunicato stampa confermando la fuga di informazioni.

A questo punto,

  • Informazioni confermate come esposte
  • Informazioni potenzialmente esposte

sono state distinte, e per ciascuna di esse,

  • Informazioni personali (clienti, partner commerciali, ecc.)
  • Informazioni personali (dipendenti e affiliati)
  • Informazioni aziendali (informazioni sulle vendite, informazioni sui partner commerciali, materiali di vendita, materiali di sviluppo, ecc.)

sono state distinte e il numero approssimativo di ciascuna è stato pubblicato.

A questo punto, è stato reso pubblico che “c’è la possibilità di una fuga di informazioni personali di un massimo di circa 350.000 clienti”.

Presenza o meno di fuga di informazioni sulla carta di credito e relative misure

Inoltre, allo stesso tempo,

Tuttavia, poiché la nostra azienda affida tutti i pagamenti per le vendite online, ecc. a terzi, non deteniamo informazioni sulla carta di credito e non ci sono fughe di informazioni sulla carta di credito.

Avviso e scuse riguardanti la fuga di informazioni a causa di accesso non autorizzato[ja]

ha menzionato la presenza o meno di una fuga di informazioni sulla carta di credito, e inoltre,

  • Misure per le persone che hanno confermato la fuga di informazioni personali e quelle che potrebbero averlo fatto
  • Dettagli della scoperta e delle misure adottate
  • Misure future

ha rilasciato queste informazioni.

Consulenza e consigli da avvocati esterni, ecc.

E nel comunicato stampa,

Abbiamo riferito la situazione a una grande azienda di software, un grande fornitore specializzato in sicurezza e un avvocato esterno con una profonda conoscenza della sicurezza informatica, e abbiamo ottenuto la loro consulenza e consigli. Inizieremo a contattare coloro che hanno confermato la fuga di informazioni e le parti interessate, e continueremo a indagare sulle informazioni che potrebbero essere state rubate.

Avviso e scuse riguardanti la fuga di informazioni a causa di accesso non autorizzato[ja]

ha dichiarato questo.

Inoltre, sono stati preparati un “centro di contatto per le informazioni personali” e un “centro di contatto dedicato alla fuga di informazioni di Capcom”, entrambi con un numero verde, come “centro di contatto per gli utenti dei giochi” e “centro di contatto generale”.

E ci sono voluti 4 giorni dal momento in cui è stata scoperta la fuga di almeno alcune informazioni fino alla pubblicazione del comunicato stampa che conferma la fuga di informazioni.

Questo è probabilmente il tempo necessario per verificare le informazioni dettagliate sopra menzionate e prendere decisioni sulle future misure.

Violazione dei dati personali e gestione delle crisi

A differenza del primo rapporto sulla “malfunzionamento del sistema”, il secondo rapporto che afferma “potrebbero essere state violate fino a 350.000 informazioni personali dei clienti” viene riportato da vari media.

Capcom ha subito un attacco di accesso non autorizzato da ransomware su misura da terzi, e le informazioni personali detenute dal gruppo Capcom sono state violate. Al 16 novembre, le informazioni che potrebbero essere state violate includono fino a circa 350.000 casi, inclusi clienti e fornitori. C’è anche la possibilità che siano state violate materie prime commerciali e materiali di sviluppo.

Capcom, fino a 350.000 violazioni di informazioni personali a causa di accesso non autorizzato “Nessun problema con il gameplay” – BCN+R[ja]

Tuttavia, poiché le informazioni come “la storia della scoperta e della risposta” e “la risposta futura” erano state rese pubbliche al momento del comunicato stampa, l’articolo sopra citato si conclude con frasi come “In futuro, lavoreremo con le autorità di polizia e stabiliremo un’organizzazione di consulenza sulla sicurezza del sistema da esperti esterni per prevenire la ricorrenza. Non ci sarà alcun danno esteso agli utenti o all’esterno a causa dell’accesso a Internet per giocare ai giochi della società o all’accesso al sito web della società. Inoltre, per gli utenti che potrebbero aver avuto una violazione delle informazioni personali, stiamo chiedendo di fare attenzione poiché potrebbero ricevere posta sconosciuta o contatti sospetti.”

In un comunicato stampa dopo la scoperta della violazione delle informazioni personali, è importante rivelare informazioni piuttosto complete, comprese “la storia della scoperta e della risposta” e “la risposta futura”, come sopra.

E al momento della scoperta della violazione delle informazioni personali,

  • Grandi aziende di software
  • Grandi fornitori specializzati in sicurezza
  • Avvocati esterni esperti in cybersecurity

È importante formare un team di esperti esterni come sopra e procedere con il contatto con i clienti la cui fuga di informazioni è stata confermata, la pubblicità di gestione delle crisi, ecc., parallelamente alle misure IT puramente causali.

Inoltre, nel caso di una società quotata, è necessario spiegare agli azionisti come parte di questa pubblicità di gestione delle crisi.

Possibilità di fuga di informazioni dei candidati

Inoltre, nel comunicato stampa pubblicato, che menziona la “possibilità di fuga di informazioni” e “informazioni personali (clienti, partner commerciali, ecc.) fino a circa 350.000”, c’è un punto riguardante “informazioni sui candidati (circa 125.000)”, e ci sono state voci di dubbio sui social media in relazione al fatto che Capcom aveva dichiarato sul suo sito di reclutamento che avrebbe distrutto tali informazioni.

Capcom aveva dichiarato sul suo sito di reclutamento che “dopo la selezione, distruggeremo responsabilmente le domande di coloro che non sono stati assunti o che hanno rifiutato l’offerta di lavoro”. Ci sono voci di dubbio su Twitter riguardo al fatto che le informazioni personali che avrebbero dovuto essere distrutte non lo erano. Capcom si è scusata, spiegando che “abbiamo digitalizzato i curriculum dei candidati e li abbiamo conservati per un certo periodo di tempo” e che “a causa della mancanza di riferimenti alla digitalizzazione, l’espressione era insufficiente e ha causato un malinteso”. Riguardo alla ragione della conservazione, hanno spiegato che “alcuni candidati si candidano più volte. Era per verificare facilmente la storia delle domande precedenti”. Riguardo al fatto che conservavano i dati di tutti i candidati, hanno dichiarato che “al momento non è chiaro”.

Capcom, non distrugge le domande di lavoro dei candidati non assunti. Anche se sul sito di reclutamento è scritto “distruggiamo con responsabilità”, c’è la possibilità di fuga di informazioni a seguito di un attacco informatico – ITmedia NEWS[ja]

Non è chiaro se Capcom avesse previsto queste voci di dubbio, ma se ci sono informazioni che “non dovrebbero esistere (e sarebbe comprensibile se fossero considerate tali)” all’interno dell’azienda e c’è la possibilità che queste siano state divulgate, sarebbe meglio rilasciare un comunicato stampa dopo aver considerato anche questo problema in anticipo.

Costituzione del Comitato di Supervisione della Sicurezza, incluso un avvocato

Pubblicazione del terzo comunicato stampa

Inoltre, Capcom ha tenuto una riunione preparatoria il 21 dicembre per la costituzione del “Comitato di Supervisione della Sicurezza”, un’organizzazione di consulenza sulla sicurezza dei sistemi guidata da esperti esterni.

L’anno successivo, il 12 gennaio 2021, ha pubblicato il terzo comunicato stampa intitolato “Annuncio e scuse riguardanti la fuga di informazioni a seguito di accesso non autorizzato【Terzo rapporto】”,

È stato confermato un ulteriore leak di 16.406 persone, portando il totale da quando è iniziato questo caso a 16.415 persone. Inoltre, è stato rilevato che il numero massimo di informazioni personali di clienti, partner commerciali e altre persone esterne che potrebbero essere state divulgate è di circa 390.000 persone (un aumento di circa 40.000 rispetto alla volta precedente).

Le informazioni sono state aggiornate in base all’andamento dell’indagine. Inoltre, oltre al fatto che le informazioni delle carte di credito non sono state divulgate,

Per quanto riguarda la connessione a Internet e l’acquisto tramite download necessari per giocare ai nostri giochi, non abbiamo mai utilizzato il sistema che è stato attaccato questa volta, ma abbiamo sempre utilizzato un server esterno o un server esterno. Pertanto, la connessione a Internet e l’acquisto tramite download necessari per giocare ai nostri giochi non hanno nulla a che fare con l’attacco cibernetico al nostro sistema questa volta, e non ci sarà alcun danno per i clienti.

Annuncio e scuse riguardanti la fuga di informazioni a seguito di accesso non autorizzato【Terzo rapporto】 | Capcom Co., Ltd. [ja]

È stata anche fatta questa dichiarazione.

Sulla possibilità di fuga di informazioni personali dei candidati

Inoltre, in questa occasione, come “informazioni la cui fuga è stata confermata”, è stata annunciata la possibilità di fuga di informazioni personali di “circa 58.000 candidati”, specificamente “uno o più di nome, indirizzo, numero di telefono, indirizzo e-mail, ecc.”

A questo proposito,

Per quanto riguarda le informazioni dei candidati, è stato rivelato a novembre che l’azienda aveva conservato le informazioni anche dopo la selezione, in relazione all’attacco cibernetico all’azienda. Inizialmente, nel sito di reclutamento, era scritto “Dopo la selezione, distruggeremo le informazioni con responsabilità nella nostra azienda”. Poi, a dicembre 2020, è stata aggiunta la frase “A causa della possibilità di riapplicazione, potremmo conservare per un certo periodo di tempo i dati digitalizzati dei documenti di candidatura che abbiamo ricevuto, al fine di confermare facilmente le precedenti applicazioni, ecc.”. Secondo l’azienda, “Le informazioni personali dei candidati sono ancora conservate nel nostro sistema interno, e l’operazione non è cambiata molto rispetto a prima dell’accesso non autorizzato.

Capcom, conferma la fuga di informazioni personali di 16.000 persone. Anche la possibilità di fuga di altre 58.000 persone è stata rivelata nell’attacco cibernetico di novembre 2020 – ITmedia NEWS[ja]

È stato riportato.

Gestione delle crisi basata sui risultati dell’indagine

Pubblicazione del quarto comunicato stampa

In seguito, Capcom ha tenuto la prima riunione del Comitato di Supervisione della Sicurezza il 18 gennaio, la seconda il 25 febbraio e la terza il 26 marzo, mantenendo un ritmo mensile. Inoltre, il 31 marzo, ha ricevuto un rapporto di indagine da una grande azienda specializzata in sicurezza e un rapporto da una grande azienda di software.

In risposta a ciò, il 13 aprile, ha pubblicato il quarto comunicato stampa intitolato “Rapporto sui risultati dell’indagine sull’accesso non autorizzato [Quarto rapporto]”.

In questo, ha fornito una dettagliata spiegazione tecnica basata sui rapporti ricevuti, tra cui “Cronologia delle risposte”, “Cause e portata del danno” e “Misure per rafforzare la sicurezza per prevenire la ricorrenza”. Inoltre, ha citato l’istituzione del Comitato di Supervisione della Sicurezza, che include un avvocato specializzato in sicurezza informatica e leggi sulla protezione dei dati personali, come misura organizzativa.

Report e risposta sul riscatto

Da notare che il 1° marzo, è stato riportato che il gruppo di criminalità informatica “Ragnar Locker” ha richiesto un riscatto di circa 1,15 miliardi di yen a Capcom.

Il gruppo di criminalità informatica “Ragnar Locker” ha pubblicato file che sostiene di aver rubato dalle aziende sul suo sito web e ha richiesto un riscatto di 11 milioni di dollari in Bitcoin (circa 1,15 miliardi di yen), ma Capcom ha rifiutato di pagare al momento.

Capcom rifiuta di pagare 1,15 miliardi di yen! Perché non dovresti pagare il riscatto anche in caso di attacco ransomware | Misure di sicurezza nell’era del telelavoro | Diamond Online[ja]

In risposta a ciò, nel quarto comunicato stampa sopra menzionato, riguardo al riscatto, ha dichiarato:

Riconoscimento dell’importo del riscatto
Un file di messaggio dall’attaccante è rimasto sul dispositivo infettato dal ransomware, ed è vero che siamo stati richiesti di contattare l’attaccante per negoziare, ma non c’era alcuna menzione dell’importo del riscatto nel file. Come già riportato, abbiamo deciso di non negoziare con l’attaccante dopo aver consultato la polizia, e in realtà non abbiamo avuto alcun contatto (vedi il comunicato stampa del 16 novembre 2020), quindi non siamo a conoscenza dell’importo.

Rapporto sui risultati dell’indagine sull’accesso non autorizzato [Quarto rapporto] | Capcom Co., Ltd.[ja]

Questo sembra essere una risposta al fatto che l’importo specifico di “1,15 miliardi di yen” è stato rivelato nei rapporti sopra menzionati.

Rilascio su siti correlati, ecc.

Inoltre, Capcom, lo stesso giorno, non solo sul suo sito aziendale, ma anche su siti come “CAPCOM: Shadaloo Combat Research Institute” (sito correlato a Street Fighter 5) e “CAPCOM ONLINE GAMES”, ha pubblicato pagine come:

[Aggiornamento] Avviso riguardo al malfunzionamento del sistema di gruppo
Grazie per l’utilizzo di “Capcom Online Games (COG)”. Abbiamo pubblicato le ultime informazioni sul malfunzionamento del sistema del nostro gruppo causato da un accesso non autorizzato da parte di terzi nelle prime ore del 2 novembre 2020. Per i dettagli, si prega di controllare qui.

Dettagli dell’avviso | Capcom Online Games[ja]

Ha pubblicato pagine come questa.

Come era stato rivelato nelle prime fasi della fuga di informazioni, si trattava di un caso in cui “si utilizzava un server esterno o si affidava a terzi”, e “non c’era alcuna relazione tra l’attacco informatico al nostro sistema e la connessione a Internet o l’acquisto di download per giocare ai giochi, e non ci sarebbe stato alcun danno per i clienti”, ma

Si ritiene che al momento della segnalazione dei risultati dell’indagine, ha pubblicato nuovamente un comunicato su ciascun sito per non causare ansia agli utenti.

Riassunto

Come abbiamo visto, nei casi in cui si verifica una fuga di informazioni personali su larga scala, è importante:

  • Segnalare prontamente l’incidente alla polizia
  • Preparare un sistema per segnalare la situazione e ottenere consulenza e orientamento da “avvocati esterni esperti in sicurezza informatica”
  • Gestione della comunicazione di crisi da parte del team sopra menzionato

E, una volta che si è raccolta una certa quantità di informazioni,

  • Formare un comitato di supervisione della sicurezza, incluso un avvocato

Possiamo dire che è importante gestire la crisi in modo rapido e organizzato.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Cinque punti da controllare per stipulare un corretto contratto di consulenza per le M&A

Cinque punti da controllare per stipulare un corretto contratto di consulenza per le M&A

General Corporate

Cosa bisogna considerare quando si pubblicizzano prodotti che promettono di prevenire il nuovo coronavirus? Spiegazione della 'Legge Giapponese sulla Regolamentazione dei Premi e delle Pubblicità

Cosa bisogna considerare quando si pubblicizzano prodotti che promettono di prevenire il nuovo c.

General Corporate

Punti chiave da conoscere per stipulare un contratto di ricerca e sviluppo congiunto

Punti chiave da conoscere per stipulare un contratto di ricerca e sviluppo congiunto

General Corporate

Cosa sono le espressioni non consentite nella pubblicità dei supplementi? Spiegazione di tre leggi giapponesi che richiedono attenzione

Cosa sono le espressioni non consentite nella pubblicità dei supplementi? Spiegazione di tre leg.

General Corporate

Quali sono i punti da considerare nella creazione di una politica sulla privacy basata sulla 'Legge sulla protezione delle informazioni personali' giapponese?

Quali sono i punti da considerare nella creazione di una politica sulla privacy basata sulla 'Le.

General Corporate

Cosa sono le linee guida da seguire per la pubblicità di 'prodotti farmaceutici non medicinali giapponesi'

Cosa sono le linee guida da seguire per la pubblicità di 'prodotti farmaceutici non medicinali g.

General Corporate

【In vigore da ottobre (Reiwa 6) 2023】Vantaggi e svantaggi della non divulgazione dell'indirizzo del rappresentante legale nelle registrazioni aziendali: una spiegazione dettagliata

【In vigore da ottobre (Reiwa 6) 2023】Vantaggi e svantaggi della non divulgazione dell'indirizzo .

General Corporate

Casi in cui i punti emessi autonomamente rientrano nei metodi di pagamento anticipato della 'Legge Giapponese sui Pagamenti di Fondi'

Casi in cui i punti emessi autonomamente rientrano nei metodi di pagamento anticipato della 'Leg.

General Corporate

Cosa sono le ore medie necessarie per i servizi legali a tariffa oraria, come la creazione di contratti

Cosa sono le ore medie necessarie per i servizi legali a tariffa oraria, come la creazione di co.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su