MONOLITH LAW OFFICE+81-3-6262-3248Hari Minggu 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Mengambil Iktibar Daripada Kebocoran Maklumat di Universiti Keio: Pengurusan Krisis dan Peranan Peguam

General Corporate

Mengambil Iktibar Daripada Kebocoran Maklumat di Universiti Keio: Pengurusan Krisis dan Peranan Peguam

Kebocoran maklumat akibat akses tidak sah bukan hanya berlaku dalam kalangan syarikat tetapi juga di tempat pendidikan, walaupun respons terhadapnya agak berbeza berbanding syarikat.

Khususnya berkenaan dengan maklumat peribadi, pelajar dan staf pengajar adalah yang terlibat secara langsung, jadi pendedahan maklumat apabila insiden kebocoran maklumat berlaku cenderung dibatasi kepada lingkungan tertentu.

Namun, perlindungan maklumat peribadi tidak berubah sama ada untuk syarikat atau sekolah, dan prinsip asas pengurusan krisis dalam kebocoran maklumat adalah sama.

Oleh itu, kali ini, dari perspektif pengurusan krisis terhadap insiden kebocoran maklumat peribadi akibat akses tidak sah, kami akan menjelaskan poin penting sistem pengurusan krisis berdasarkan respons terhadap insiden kebocoran maklumat di Kampus Shonan Fujisawa, Universiti Keio (selanjutnya, Keio SFC).

Ringkasan Insiden Kebocoran Maklumat di Keio SFC

Isi kandungan utama berkenaan kebocoran maklumat akibat akses tidak sah yang berlaku di Keio SFC adalah seperti berikut:

  • Pendedahan Kebocoran: Pada awal pagi 29 September 2020 (tahun 2020), kemungkinan kebocoran maklumat akibat akses tidak sah ke dalam Sistem Sokongan Pengajaran (SFC-SFS)※ telah dikesan.
    ※SFC-SFS adalah sistem yang mempunyai fungsi seperti penghantaran e-mel serentak kepada pelajar, muat turun senarai nama pelajar, pendaftaran tugasan/laporan, penerimaan penghantaran, pendaftaran keputusan (ulasan), input/kajian komen pengajaran dan lain-lain.
  • Penyebab Kebocoran: ID dan kata laluan 19 pengguna sistem telah dicuri dan digunakan secara tidak sah oleh pihak ketiga untuk menceroboh sistem. Kelemahan SFC-SFS dianggap sebagai penyebab utama.
  • Skop Kebocoran: Maklumat peribadi pelajar dan staf yang dikelola oleh Kampus Shonan Fujisawa.
  • Kandungan Kebocoran: Selain “nama”, “alamat”, “nama akaun”, dan “alamat e-mel”, maklumat lain seperti “gambar muka”, “nombor pelajar”, “maklumat pengambilan kredit”, dan “tarikh masuk” untuk pelajar, dan “nombor staf”, “jawatan”, “profil”, dan “data e-mel peribadi” untuk staf juga termasuk.
  • Bilangan Kebocoran: Kira-kira 33,000 kes yang mungkin mengalami kebocoran maklumat.

Pendedahan Akses Tidak Sah dan Tindakan Awal

Pada 15 September, sekitar jam 17:45, bukti penjelajahan kerentanan terhadap SFC-SFS telah ditemui secara sporadik di bahagian IT Keio SFC.

Lebih lanjut, pada malam 28 September, akses mencurigakan ke sistem SFC-SFS telah dikesan dan hasil siasatan menunjukkan kemungkinan kebocoran maklumat akibat akses tidak sah pada awal pagi 29 September.

Keio SFC telah memulakan tindakan awal berikut sehari selepas mengesahkan penjelajahan kerentanan, yang merupakan tanda awal akses tidak sah:

  • Meminta semua pengguna untuk menukar kata laluan mereka (16 September, 30 September)
  • Memantau semua titik pengesahan dan log pengesahan secara berterusan (berterusan sejak 16 September)
  • Menghadkan log masuk ke server komputasi bersama dari luar kampus hanya kepada pengesahan kunci awam (16 September)
  • Menghentikan perkhidmatan web yang kerentanannya telah disahkan dan membaiki titik kerentanan [sedang dijalankan] (berterusan sejak 16 September, SFC-SFS pada 29 September)
  • Menghentikan sistem SFC-SFS (29 September)

Tentang Tindakan Awal Keio SFC

Apabila akses tidak sah dikesan, adalah asas untuk menubuhkan pusat tindakan dan mengambil tindakan awal, tetapi dalam kes ini, bahagian IT yang dipimpin oleh Mr. Kunio, Ketua Pegawai Maklumat dan Ketua Pegawai Keselamatan Maklumat tetap Keio, berfungsi sebagai pusat tindakan.

Yang penting dalam tindakan awal adalah untuk mencegah penyebaran kerugian dan kejadian kerugian sekunder dengan “pengasingan maklumat”, “penyekatan rangkaian”, dan “penghentian perkhidmatan”, tetapi dalam kes Keio SFC, pengguna sistemnya terhad kepada pelajar dan staf, jadi perubahan kata laluan dan pembatasan cara log masuk adalah keutamaan.

Walau bagaimanapun, fakta bahawa mereka bertindak segera setelah mengesahkan tanda-tanda akses tidak sah, dan bahawa mereka menghentikan sistem SFC-SFS pada 29 September apabila kemungkinan kebocoran maklumat dikesan, boleh dikatakan sebagai tindakan pengurusan krisis yang tepat.

Perkara yang menimbulkan kebimbangan mengenai tindakan awal Keio SFC adalah sama ada mereka telah melaporkan kepada agensi pengawasan dan polis setelah mengambil langkah-langkah untuk memelihara bukti terhadap akses tidak sah, yang merupakan jenayah, tetapi ini tidak dapat disahkan kerana tiada keterangan dalam siaran akhbar atau media berita.

Tentang Pemberitahuan kepada Pihak Berkepentingan

Pemberitahuan kepada pelajar dan staf Keio SFC dilakukan dalam bentuk e-mel komunikasi perniagaan seperti berikut, dan e-mel pertama yang menyentuh kebocoran maklumat peribadi adalah pada 30 September.

Pada 29 September, staf Keio SFC diberitahu bahawa “masalah serius” telah berlaku dan SFC-SFS telah dihentikan.

Pada 30 September, semua pengguna SFC-SFS diminta untuk menukar kata laluan mereka kerana “maklumat akaun pengguna” mungkin telah bocor akibat masalah ini.

Selain itu, staf diberitahu bahawa mereka tidak dapat menghubungi pelajar yang mendaftar atau memilih kursus seperti yang dijadualkan kerana penghentian SFC-SFS, dan mereka akan mengambil cuti untuk jangka masa tertentu.

J-CAST News, yang mendengar maklumat ini, membuat liputan dan pada hari yang sama menerbitkan artikel bertajuk “Masalah Serius dalam Sistem Kelas di Keio SFC, Permulaan Semester Musim Gugur Ditunda Seminggu”, dan “maklumat akaun pengguna” menjadi umum.

Pada 1 Oktober, Keio SFC memberitahu pelajar melalui laman webnya bahawa SFC-SFS telah dihentikan pada 29 September kerana kemungkinan akses tidak sah, dan akibatnya, kelas akan ditangguhkan dari 1 hingga 7 Oktober. (※ Tiada penjelasan mengenai kebocoran maklumat peribadi)

Siaran Akhbar Selepas Penzahiran Kebocoran Maklumat

Pendedahan pertama mengenai kebocoran maklumat peribadi akibat akses tidak sah telah dilakukan pada 10 November melalui laman web kami.

Kali ini, dalam Sistem Rangkaian Maklumat Kampus Shonan Fujisawa (SFC-CNS) dan Sistem Sokongan Pengajaran (SFC-SFS), ID dan kata laluan 19 pengguna (staf pengajar) sistem telah dicuri melalui beberapa cara, dan akses tidak sah dari luar menggunakan maklumat tersebut serta serangan yang memanfaatkan kelemahan Sistem Sokongan Pengajaran (SFC-SFS) telah mengakibatkan kemungkinan kebocoran maklumat peribadi pengguna dari sistem tersebut. Kami ingin memohon maaf dengan tulus atas kesulitan dan kebimbangan yang telah ditimbulkan kepada semua pihak yang terlibat akibat kejadian ini. Sehingga kini, tiada kesan sekunder yang telah dikenal pasti.

Keio Gijuku “Mengenai Kebocoran Maklumat Peribadi Akibat Akses Tidak Sah ke SFC-CNS dan SFC-SFS”

Siaran akhbar ini juga mengandungi maklumat terperinci mengenai perkara-perkara berikut:

  • Kandungan maklumat peribadi yang mungkin telah bocor
  • Bagaimana kebocoran itu dikesan
  • Sebab kebocoran berlaku
  • Tindakan selepas penemuan
  • Situasi semasa
  • Langkah-langkah pencegahan berulang

Isi kandungan di atas hampir merangkumi semua item yang diperlukan dalam bahan pendedahan mengenai kebocoran maklumat.

Mengenai Siaran Akhbar Keio SFC

Masa Siaran Akhbar

Sebenarnya, Keio SFC sepatutnya membuat pendedahan sendiri pada mulanya, tetapi kenyataannya adalah mereka membuat pendedahan 41 hari selepas laporan berita J-CAST, yang tidak dapat dinafikan adalah lambat.

Ini kerana, dalam hal kebocoran maklumat peribadi, adalah penting untuk memberitahu individu yang terlibat tentang maklumat peribadi yang telah bocor secepat mungkin untuk mencegah kesan sekunder.

Walau bagaimanapun, jika mereka telah memberitahu tentang kandungan spesifik “maklumat akaun pengguna” semasa permintaan untuk menukar kata laluan pada 30 September, maka tidak ada masalah.

Mengingatkan tentang Penipuan dan Gangguan

Dalam siaran akhbar selepas penzahiran kebocoran maklumat, adalah penting untuk membuat pendedahan mengenai kebocoran maklumat yang berlaku, memberitahu dan meminta maaf kepada individu yang terlibat jika maklumat peribadi mereka telah bocor, dan mengingatkan mereka untuk berhati-hati terhadap penipuan dan gangguan.

Jika maklumat dari dalam kampus yang ditutup bocor ke dunia luar, ada kemungkinan ia akan disalahgunakan, dan dalam kes ini juga, adalah penting untuk mengingatkan tentang penipuan dan gangguan.

Pusat Tindakan Sebagai Tumpuan Dalam Menangani Krisis

Keio SFC telah menggambarkan tentang Pusat Tindakan dalam “Langkah-langkah Pencegahan Berulang” dalam siaran akhbar mereka seperti berikut:

Di Keio University, berdasarkan insiden akses tidak sah kali ini, kami akan segera mengambil tindakan untuk mencegah berulangnya insiden, seperti memeriksa dan memperbaiki keselamatan aplikasi web dan sistem di seluruh universiti, dan mengkaji semula cara menangani maklumat peribadi untuk melindunginya. Selain itu, pada 1 November 2020 (Tahun 2020 dalam Kalendar Gregorian), kami telah menubuhkan CSIRT (Pasukan Tindakan Insiden Keselamatan Maklumat) di dalam universiti, dan kami akan membina organisasi yang dapat merespon secara menyeluruh terhadap keselamatan siber, dan bekerjasama dengan institusi pakar luar, kami akan berusaha untuk memperkukuhkan lagi keselamatan di seluruh universiti.

Keio University “Mengenai Kebocoran Maklumat Peribadi Akibat Akses Tidak Sah ke SFC-CNS dan SFC-SFS”

Respon awal kepada isu ini tampaknya telah dilakukan oleh organisasi dalaman Keio SFC yang berfungsi sebagai Pusat Tindakan, tetapi “CSIRT” yang ditubuhkan pada 1 November 2020 adalah organisasi yang setara dengan Pusat Tindakan yang menjadi tumpuan dalam menangani krisis jika insiden berlaku di masa depan dan memperkukuhkan keselamatan.

Walaupun ahli-ahli CSIRT tidak diketahui, bukan sahaja perlu mengambil tindakan keselamatan sistem, tetapi juga perlu melakukan hubungan dengan pengguna yang terlibat, melaporkan kepada agensi pengawasan dan polis, menangani media, dan mempertimbangkan tanggungjawab undang-undang secara serentak. Oleh itu, biasanya diperlukan penyertaan agensi pihak ketiga luar dan pakar seperti berikut:

  • Syarikat perisian utama
  • Vendor pakar keselamatan utama
  • Peguam luar yang berpengalaman dalam keselamatan siber

Rumusan

Seperti dalam kes kali ini, walaupun penyebaran maklumat peribadi telah berlaku di tempat pendidikan, tindakan awal yang tepat dan ‘Pemberitahuan, Laporan, dan Pengumuman’ berpusat di pusat tindakan serta ‘Langkah-langkah Keselamatan’ selepas itu adalah penting.

Yang penting bukan hanya tindakan awal, tetapi juga pemberitahuan dan laporan kepada polis dan agensi kerajaan yang berkaitan, pemberitahuan (permintaan maaf) kepada individu yang terlibat, dan pengumuman pada masa yang tepat.

Namun, jika prosedur dan cara penyelesaian salah, anda mungkin akan dituntut untuk ganti rugi. Oleh itu, kami menyarankan anda untuk berunding dengan peguam yang berpengalaman dan berpengetahuan tentang keselamatan siber sebelum membuat keputusan sendiri.

Bagi mereka yang berminat tentang pengurusan krisis semasa kebocoran maklumat oleh perisian jahat Capcom, sila lihat artikel ini untuk keterangan lanjut.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Panduan Langkah-langkah oleh Firma Kami

Firma undang-undang Monolis adalah sebuah firma undang-undang yang memiliki kepakaran tinggi dalam bidang IT, khususnya internet dan undang-undang. Di firma kami, kami melakukan pemeriksaan undang-undang untuk pelbagai kes, dari organisasi bertaraf tinggi yang tersenarai di Bursa Saham Tokyo Prime hingga syarikat startup. Sila rujuk artikel di bawah.

contractcreation
Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Kembali ke Atas