Mengambil Pelajaran dari Kebocoran Maklumat Capcom: Pengurusan Krisis dan Peranan Peguam
Kebocoran maklumat Capcom yang berlaku pada November 2020 (Tahun 2020 mengikut Kalendar Gregorian) adalah disebabkan oleh ransomware jenis tempahan khusus, dan ada kemungkinan sebanyak 390,000 rekod maklumat peribadi telah bocor.
Walaupun adalah lebih baik jika insiden seperti ini tidak berlaku dan penting untuk menyiapkan sistem yang dapat mengelakkan kejadian tersebut, namun tidak mungkin untuk mengurangkan kebarangkalian berlakunya insiden kepada sifar, tidak kira sistem apa yang diletakkan.
Jika insiden seperti ini berlaku, apa langkah-langkah dan siasatan yang perlu diambil sebaik sahaja insiden berlaku, dan bila dan bagaimana ia harus diumumkan?
Dalam artikel ini, kami akan menerangkan secara kronologi tentang insiden kebocoran maklumat peribadi oleh malware, dari perspektif pengurusan krisis, untuk belajar tentang sistem pengurusan krisis yang sepatutnya dari respons Capcom terhadap insiden kebocoran maklumat.
※Peguam mempunyai tanggungjawab kerahsiaan yang tinggi di bawah Undang-Undang Peguam Jepun (Japanese Lawyers Act) berkenaan dengan kes yang mereka terlibat secara langsung sebagai peguam. Artikel ini adalah pendapat sebagai peguam berdasarkan maklumat yang telah umum dikenali tentang kes masa lalu yang firma kami tidak terlibat.
Pendedahan Insiden dan Tindakan Awal
Insiden ini disahkan berlaku pada 2 November 2020.
Pada masa ini, gangguan sambungan ke sistem dalaman telah disahkan, dan tindakan untuk memutuskan sistem dan memahami keadaan kerosakan telah diambil.
Pada hari yang sama, penyebab gangguan itu dikenal pasti sebagai enkripsi fail pada peralatan dalam rangkaian akibat serangan perisian tebusan.
Mesej ugutan dari kumpulan yang dikenali sebagai ‘Ragnar Locker’ telah ditemui pada terminal yang terjejas.
Pada masa ini, Capcom telah membuat laporan kepada Polis Prefektur Osaka dan meminta bantuan pemulihan dari syarikat luar.
Semasa insiden berlaku, adalah penting untuk segera memulihkan sistem untuk kesinambungan perniagaan syarikat. Walau bagaimanapun, jika serangan perisian tebusan telah disahkan, ini adalah akses tidak sah yang dikenali, dan kemungkinan besar adalah tindakan yang dilarang oleh Undang-Undang Larangan Akses Tidak Sah Jepun.
Sebelum kebocoran maklumat sulit termasuk maklumat peribadi disahkan, dan sebelum laluan serangan dikenal pasti, adalah penting untuk membuat laporan kepada polis dengan segera.
Pengurusan Krisis Sebelum Penzahiran Kebocoran Maklumat
Pada hari kedua selepas kejadian, iaitu pada 4 November, Capcom mengeluarkan siaran akhbar pertama mereka, “Pemberitahuan Mengenai Gangguan Sistem Akibat Akses Tidak Sah”.
Kami telah mengesahkan bahawa akses tidak sah telah dilakukan oleh pihak ketiga terhadap sistem kami, dan kami telah menangguhkan sebahagian operasi rangkaian dalaman kami sejak hari itu. Kami memohon maaf kerana menyebabkan kesulitan yang besar kepada semua pihak yang terlibat. Pada masa ini, kami belum mengesahkan kebocoran maklumat pelanggan dan sebagainya.
Pemberitahuan Mengenai Gangguan Sistem Akibat Akses Tidak Sah
Pada masa ini, ia masih dianggap sebagai “gangguan sistem” yang disebabkan oleh “akses tidak sah”, dan kebocoran maklumat belum dikesan.
Siaran Akhbar Selepas Penzahiran Kebocoran Maklumat
Bilangan Kes Maklumat Peribadi yang Mungkin Bocor
Kebocoran maklumat dikesan pada 12 November.
9 kes maklumat peribadi dan sebahagian maklumat syarikat telah disahkan bocor.
Pada hari berikutnya, Capcom telah merujuk kepada syarikat keselamatan utama untuk menyiasat punca dan pada 16 November, mereka mengumumkan siaran akhbar yang mengesahkan kebocoran maklumat.
Pada ketika ini, mereka telah:
- Mengesahkan maklumat yang bocor
- Mengenal pasti maklumat yang mungkin bocor
dan membezakan antara:
- Maklumat peribadi (pelanggan & rakan niaga)
- Maklumat peribadi (pekerja dan pihak berkepentingan)
- Maklumat syarikat (maklumat jualan, maklumat rakan niaga, bahan pemasaran, bahan pembangunan, dll.)
dan telah menerbitkan jumlah kes secara kasar.
Pada ketika ini, mereka telah mengumumkan bahawa “sehingga kira-kira 350,000 kes maklumat peribadi pelanggan mungkin telah bocor”.
Kebocoran Maklumat Kad Kredit dan Tindakan
Selain itu, pada masa yang sama, mereka juga menyatakan:
Sekadar makluman, semua pembayaran kami untuk penjualan dalam talian dan sebagainya dilakukan melalui pihak ketiga, jadi kami tidak menyimpan maklumat kad kredit dan tiada maklumat kad kredit yang bocor.
Pemberitahuan dan Permohonan Maaf Mengenai Kebocoran Maklumat Akibat Akses Tidak Sah
dan juga menyebut tentang:
- Tindakan terhadap individu yang maklumat peribadinya telah disahkan bocor dan mereka yang mungkin terlibat
- Perjalanan penemuan dan tindakan
- Tindakan masa depan
dan telah menerbitkan maklumat tersebut.
Panduan dan Nasihat dari Peguam Luar dan lain-lain
Dalam siaran akhbar tersebut, mereka juga menyatakan:
Kami telah melaporkan situasi kepada syarikat perisian utama, vendor keselamatan utama, dan peguam luar yang berpengalaman dalam keselamatan siber, dan mendapatkan panduan dan nasihat. Kami akan memulakan hubungan dengan individu yang maklumatnya telah disahkan bocor dan pihak yang berkepentingan, dan akan terus menyiasat maklumat yang mungkin telah dicuri.
Pemberitahuan dan Permohonan Maaf Mengenai Kebocoran Maklumat Akibat Akses Tidak Sah
Mereka juga telah menyediakan “Hubungi Kami Mengenai Maklumat Peribadi” dan “Hubungi Kami Mengenai Kebocoran Maklumat Capcom” sebagai “Hubungi Kami Untuk Pengguna Permainan” dan “Hubungi Kami Secara Umum”, yang keduanya disediakan melalui talian bebas tol.
Dan, dari ketika kebocoran sebahagian maklumat dikesan hingga siaran akhbar mengenai kebocoran maklumat diterbitkan, ia mengambil masa 4 hari.
Ini dianggap sebagai tempoh yang diperlukan untuk melakukan verifikasi maklumat yang agak terperinci dan membuat keputusan mengenai tindakan masa depan.
Kebocoran Maklumat Peribadi dan Pengurusan Krisis
Berbeza dengan laporan pertama mengenai “Kegagalan Sistem”, laporan kedua yang menyatakan “sebanyak 350,000 rekod maklumat peribadi pelanggan mungkin telah bocor” akan mendapat liputan dari pelbagai media.
Capcom telah menerima serangan akses tidak sah melalui ransomware tempahan dari pihak ketiga, yang mengakibatkan maklumat peribadi yang dimiliki oleh kumpulan syarikat tersebut bocor. Pada 16 November, maklumat yang mungkin telah bocor, termasuk pelanggan dan rakan niaga, adalah sebanyak kira-kira 350,000 rekod. Dokumen perniagaan dan dokumen pembangunan juga mungkin telah bocor.
Capcom, kebocoran maklumat peribadi sebanyak 350,000 rekod akibat akses tidak sah “Tiada gangguan kepada permainan” – BCN+R
Walau bagaimanapun, pada masa siaran pers, maklumat seperti “perjalanan penemuan dan tindakan” dan “tindakan masa depan” juga telah diterbitkan. Oleh itu, artikel di atas juga disimpulkan dengan ayat seperti, “Pada masa akan datang, mereka akan bekerjasama dengan pihak berkuasa polis dan menubuhkan organisasi penasihat berkaitan keselamatan sistem oleh pakar luar, dan berusaha untuk mencegah kejadian yang sama berulang. Mereka menegaskan bahawa tidak ada kerugian yang akan meluas kepada pengguna atau luar syarikat melalui sambungan internet untuk bermain permainan syarikat atau akses ke laman web syarikat. Selain itu, mereka menyeru pengguna yang mungkin telah bocor maklumat peribadi mereka untuk berhati-hati kerana mungkin ada kemungkinan menerima pos yang tidak dikenali atau menerima panggilan yang mencurigakan.”
Dalam siaran pers selepas penemuan kebocoran maklumat peribadi, adalah penting untuk mendedahkan maklumat yang agak lengkap, termasuk “perjalanan penemuan dan tindakan” dan “tindakan masa depan”, seperti yang dinyatakan di atas.
Dan pada masa penemuan kebocoran maklumat peribadi,
- Syarikat perisian utama
- Vendor pakar keselamatan utama
- Peguam luar yang berpengalaman dalam keselamatan siber
adalah penting untuk membentuk pasukan pakar luar dan melaksanakan tindakan seperti menghubungi pelanggan yang maklumatnya telah bocor, pengurusan krisis PR, dan sebagainya, bersama-sama dengan tindakan IT murni seperti penyelidikan punca.
Selain itu, dalam kes syarikat tersenarai, penjelasan kepada pemegang saham dan sebagainya juga diperlukan sebagai sebahagian daripada pengurusan krisis PR ini.
Kemungkinan Kebocoran Maklumat Pemohon Pengambilan
Selain itu, dalam siaran pers yang diterbitkan, terdapat item yang disebut “Maklumat Pemohon Pengambilan (sekitar 125,000 kes)” di antara “Maklumat yang mungkin bocor” dan “Maklumat Peribadi (Pelanggan & Rakan Niaga) maksimum sekitar 350,000 kes”. Ada suara keraguan di SNS dan sebagainya berkenaan dengan hubungan ini, kerana Capcom telah mencatatkan bahawa mereka akan memusnahkan maklumat ini di laman web pengambilan mereka sendiri.
Capcom telah mencatatkan di laman web pengambilan mereka sendiri bahawa “Dokumen permohonan bagi mereka yang tidak diterima sebagai hasil daripada proses pengambilan, atau mereka yang menolak tawaran akan dimusnahkan dengan bertanggungjawab oleh syarikat kami selepas proses pengambilan”. Ada suara keraguan di Twitter berkenaan dengan fakta bahawa maklumat peribadi yang sepatutnya dimusnahkan tidak dimusnahkan. Capcom menjelaskan bahawa “Kami telah mendigitalkan resume pemohon dan menyimpannya untuk jangka masa tertentu”. Mereka meminta maaf kerana “Terdapat kekeliruan kerana tidak ada sebutan tentang pendigitan dan kekurangan dalam pengungkapan”. Sebagai alasan untuk penyimpanan, mereka menjelaskan bahawa “Ada pemohon yang memohon beberapa kali. Ini adalah untuk memeriksa sejarah permohonan sebelumnya dengan lancar”. Mereka mengatakan bahawa “Pada masa ini, tidak diketahui” berkenaan dengan sama ada semua data pemohon disimpan atau tidak.
Capcom, tidak memusnahkan dokumen permohonan bagi mereka yang tidak diterima. Walaupun dinyatakan di laman web pengambilan bahawa “bertanggungjawab untuk memusnahkan”, ada kemungkinan kebocoran maklumat akibat serangan siber – ITmedia NEWS
Adalah tidak diketahui sama ada Capcom telah meramalkan suara keraguan ini, tetapi jika ada “maklumat yang sepatutnya tidak ada (dan dianggap tidak ada sampai tahap tertentu)” di dalam syarikat, dan jika ada kemungkinan maklumat itu bocor, adalah lebih baik untuk mengeluarkan siaran pers setelah mempertimbangkan masalah ini terlebih dahulu.
Pelancaran Jawatankuasa Pengawasan Keselamatan termasuk Peguam
Pengumuman Siaran Pers Kali Ketiga
Capcom telah mengadakan mesyuarat persiapan untuk melancarkan ‘Jawatankuasa Pengawasan Keselamatan’, sebuah organisasi penasihat mengenai keselamatan sistem oleh pakar luar, pada 21 Disember.
Pada 12 Januari tahun berikutnya (2021), mereka mengumumkan siaran pers kali ketiga bertajuk ‘Pemberitahuan dan Permintaan Maaf Mengenai Kebocoran Maklumat Akibat Akses Tidak Sah【Laporan Ketiga】’,
Sebanyak 16,406 orang lagi telah disahkan bocor, menjadikan jumlah keseluruhan sejak kejadian ini berlaku adalah 16,415 orang. Selain itu, kami telah mengenal pasti bahawa maklumat peribadi pelanggan, rakan niaga, dan orang luar lain yang mungkin telah bocor adalah sebanyak kira-kira 390,000 orang (peningkatan kira-kira 40,000 orang dari sebelumnya).
Informasi yang dikemaskini seiring dengan kemajuan siasatan telah dipaparkan. Selain itu, selain fakta bahawa maklumat kad kredit tidak bocor,
Untuk bermain permainan kami melalui sambungan internet atau pembelian melalui muat turun, kami tidak menggunakan sistem yang diserang kali ini dari awal, tetapi menggunakan penghantaran luar atau server luar, dan masih sama sekarang. Oleh itu, tidak ada kaitan antara sambungan internet atau pembelian melalui muat turun untuk bermain permainan kami dan serangan siber terhadap sistem kami kali ini, dan tidak ada kerugian yang akan ditanggung oleh pelanggan.
Pemberitahuan dan Permintaan Maaf Mengenai Kebocoran Maklumat Akibat Akses Tidak Sah【Laporan Ketiga】 | Capcom Co., Ltd.
Penyataan ini juga telah dibuat.
Mengenai Kemungkinan Kebocoran Maklumat Peribadi Pelamar Pekerjaan
Selain itu, pada masa ini, sebagai ‘maklumat yang mungkin telah bocor yang baru dikenal pasti’, kemungkinan kebocoran ‘satu atau lebih daripada nama, alamat, nombor telefon, alamat e-mel, dll.’ maklumat peribadi ‘kira-kira 58,000 pelamar pekerjaan’ yang disebutkan di atas telah diumumkan.
Mengenai perkara ini,
Mengenai maklumat pelamar, pada bulan November, ia telah terbuka bahawa maklumat tersebut disimpan dan tidak dimusnahkan selepas penilaian, berkaitan dengan serangan siber terhadap syarikat tersebut. Pada mulanya, dalam ‘Pengendalian Maklumat Peribadi’ di laman web pengambilan pekerjaan, ia menyatakan, ‘Selepas penilaian, kami akan memusnahkannya dengan bertanggungjawab di syarikat kami.’ Kemudian, pada Disember 2020, frasa ‘Kerana kami menerima permohonan semula, kami mungkin menyimpan data permohonan yang telah kami digitalisasi dari media kertas yang kami terima untuk tujuan penggunaan seperti mengesahkan permohonan sebelumnya dengan lancar’ telah ditambah. Menurut syarikat tersebut, ‘Maklumat peribadi pelamar masih disimpan dalam sistem syarikat kami, dan operasi hampir tidak berubah sebelum akses tidak sah.’
Capcom, 16,000 Kebocoran Maklumat Peribadi Disahkan, 58,000 Kebocoran Maklumat Peribadi Mungkin Juga Dibuka, Serangan Siber November 2020 – ITmedia NEWS
Laporan ini telah dibuat.
Pengurusan Krisis Berdasarkan Keputusan Penyiasatan
Pengumuman Siaran Akhbar Keempat
Selepas itu, Capcom mengadakan Mesyuarat Jawatankuasa Pengawasan Keselamatan pertama pada 18 Januari, Mesyuarat Jawatankuasa Pengawasan Keselamatan kedua pada 25 Februari, dan Mesyuarat Jawatankuasa Pengawasan Keselamatan ketiga pada 26 Mac, dengan mengadakan Mesyuarat Jawatankuasa Pengawasan Keselamatan setiap bulan. Pada 31 Mac, mereka menerima laporan penyiasatan dari syarikat keselamatan utama dan laporan dari syarikat perisian utama.
Berdasarkan ini, pada 13 April, mereka mengumumkan siaran akhbar keempat yang bertajuk “Laporan Keputusan Penyiasatan Mengenai Akses Tidak Sah【Laporan Keempat】”.
Dalam ini, mereka memberikan penjelasan teknikal terperinci berdasarkan laporan-laporan tersebut mengenai “Perjalanan Tindakan”, “Penyebab dan Skop Kerosakan”, dan “Langkah-langkah Pengukuhan Keselamatan untuk Mencegah Berlakunya Semula”, dan juga menyebutkan bahawa mereka telah menubuhkan Jawatankuasa Pengawasan Keselamatan yang termasuk seorang peguam yang merupakan pakar dalam undang-undang keselamatan siber dan perlindungan maklumat peribadi.
Laporan dan Tindakan Mengenai Tebusan
Pada 1 Mac, kumpulan jenayah siber yang disebut “Ragnar Locker” dilaporkan telah menuntut tebusan sebanyak kira-kira 1.15 bilion yen dari Capcom.
Kumpulan jenayah siber “Ragnar Locker” telah menerbitkan fail yang mereka dakwa dicuri dari syarikat dan menuntut 11 juta dolar Bitcoin (kira-kira 1.15 bilion yen) sebagai tebusan, tetapi Capcom telah menolak untuk membayar pada masa ini.
Capcom Menolak untuk Membayar 1.15 Bilion Yen! Alasan Mengapa Tebusan Tidak Harus Dibayar Meskipun Menjadi Mangsa Ransomware | Langkah-langkah Keselamatan dalam Era Telework | Diamond Online
Sebagai respons terhadap ini, dalam siaran akhbar keempat tersebut, mereka juga mengenai tebusan,
Mengenai pengenalan jumlah tebusan
Laporan Keputusan Penyiasatan Mengenai Akses Tidak Sah【Laporan Keempat】 | Capcom Co., Ltd.
Ada fail mesej dari penyerang yang ditinggalkan pada peranti yang dijangkiti ransomware, dan memang benar bahawa kami telah diminta untuk menghubungi untuk rundingan dengan penyerang, tetapi tidak ada sebutan tentang jumlah tebusan dalam fail tersebut. Seperti yang telah dilaporkan sebelum ini, kami telah memutuskan untuk tidak berunding dengan penyerang setelah berunding dengan polis, dan sebenarnya, kami tidak membuat sebarang hubungan (rujuk siaran akhbar yang dikeluarkan pada 16 November 2020), jadi kami tidak mengetahui jumlah tersebut.
Mereka telah mengeluarkan kenyataan ini. Ini mungkin sebagai respons terhadap jumlah yang spesifik “1.15 bilion yen” yang telah dikeluarkan dalam laporan dan sebagainya.
Penerbitan di Laman Web Berkaitan dan Sebagainya
Lebih jauh lagi, pada hari yang sama, Capcom juga,
[Laporan Lanjutan] Maklumat Mengenai Kerosakan Sistem Kumpulan
Terima kasih kerana menggunakan “Capcom Online Games (COG)” seperti biasa. Kami telah menerbitkan maklumat terkini mengenai kerosakan sistem kumpulan kami yang disebabkan oleh akses tidak sah dari pihak ketiga sejak awal pagi pada 2 November 2020. Sila semak butiran di sini. Maklumat Terperinci | Capcom Online Games
di laman web seperti “CAPCOM: Shadaloo Fighter Research Institute” (laman web berkaitan Street Fighter 5) dan “CAPCOM ONLINE GAMES”.
Penyebaran maklumat ini, seperti yang telah dikesan pada peringkat awal, adalah “menggunakan penghantaran luar atau menggunakan pelayan luar”, dan “tidak ada kaitan antara serangan siber terhadap sistem kami kali ini dan sambungan internet atau pembelian melalui muat turun untuk bermain permainan, dan tidak ada kerosakan yang akan menimpa pelanggan”, tetapi,
Di masa penyampaian keputusan penyiasatan, untuk tidak memberikan kebimbangan kepada pengguna, mereka mungkin telah menerbitkan siaran tersebut di dalam setiap laman web.
Rumusan
Seperti yang dinyatakan, dalam kes-kes kebocoran maklumat peribadi berskala besar, adalah penting untuk:
- Melaporkan segera kepada polis apabila insiden berlaku
- Melaporkan situasi kepada ‘Peguam Luar yang Pakar dalam Keselamatan Siber’ dan mendapatkan nasihat dan panduan
- Menjalankan pengurusan krisis dan hubungan awam oleh pasukan di atas
Setelah maklumat tertentu telah dikumpulkan, adalah penting untuk:
- Mengatur Jawatankuasa Pengawasan Keselamatan yang termasuk peguam
Anda boleh mengatakan bahawa adalah penting untuk mengurus krisis dengan cepat dan secara berorganisasi.