Leren van crisisbeheer en de rol van advocaten uit het voorbeeld van de informatie lek van 650.000 gevallen bij de Japanse 'Touken Corporation
Op 1 april 2005 (Heisei 17) werd de Japanse Wet Bescherming Persoonsgegevens volledig van kracht. Hoewel bedrijven die persoonlijke informatie verwerken verplicht zijn om veiligheidsmaatregelen te nemen, blijven er incidenten van datalekken plaatsvinden.
Wat vooral belangrijk is in het geval van een datalek, is de procedure en snelheid van de reactie. Vooral bij kleine en middelgrote bedrijven die geen gespecialiseerd personeel voor informatiebeveiliging hebben, kan het voorkomen dat ze niet direct weten hoe ze moeten reageren.
Daarom zullen we in dit artikel, gebaseerd op de reactie van de Tokken Corporation op hun datalek, uitleg geven over het crisismanagement systeem bij datalekken.
Overzicht van Informatielek
De belangrijkste details van het informatielek veroorzaakt door ongeautoriseerde toegang bij de Japanse Tokken Corporation zijn als volgt:
- Periode van incident: 24 dagen, van 20 augustus 2020 tot 12 september 2020
- Ontdekking: 20 oktober 2020
- Oorzaak: Ongeautoriseerde toegang tot de server waarop diverse gebruikersinformatie werd opgeslagen, afkomstig van de groepswebsite
- Betrokkenen: Personen die contact hebben opgenomen met de websites van de groepsbedrijven, leden, en deelnemers aan diverse campagnes
- Informatie: “E-mailadres”, “Naam”, “Adres”, “Telefoonnummer”, “Wachtwoord”, “Geslacht”, “Geboortedatum”, enz.
- Aantal gevallen: Er is een mogelijkheid van informatielek in totaal 657.096 persoonlijke gegevens
Ontdekking van ongeoorloofde toegang en initiële reactie
Op 20 oktober 2020 ontdekte de Tokken Corporation tijdens een routinecontrole van hun website ongeoorloofde toegang tot hun beheerde site ‘Nasluck Kitchen’ en nam de volgende initiële maatregelen.
- Als een noodbeveiligingsmaatregel werd ‘Nasluck Kitchen’ gesloten en werden alle diensten van de site stopgezet.
- Er werd een ‘Informatiebeveiligingsmaatregelen Hoofdkwartier’ opgericht en er werd advies ingewonnen bij externe derde partijen.
- Tot 11 november werd een onderzoek uitgevoerd naar alle websites van de groep, tijdelijke kwetsbaarheden werden aangepakt en het maximale aantal en de items van lekken werden vastgesteld.
Belangrijke punten bij de initiële reactie
Als het risico van informatie lekken door ongeoorloofde toegang wordt bevestigd, moeten onmiddellijk de volgende maatregelen worden genomen om verdere schade, secundaire schade en herhaling te voorkomen.
- Bevestiging van de feiten (oorzaak van ongeoorloofde toegang, route, enz.)
- Stopzetting van de apparatuur of site die ongeoorloofde toegang heeft gehad
- Ontkoppeling van de apparatuur of site die ongeoorloofde toegang heeft gehad van het netwerk
Wat hierbij belangrijk is, is dat je geen onnodige acties onderneemt en maatregelen neemt om bewijsmateriaal te bewaren, zodat je geen bewijsmateriaal dat op het systeem is achtergelaten, wist.
Persbericht na ontdekking van informatie lek
De eerste openbaarmaking vond plaats op 17 november 2020 (Heisei 32) op de homepage van de Tokken Corporation.
De openbaarmaking omvatte een gedetailleerde beschrijving van de ongeoorloofde toegang, toekomstige maatregelen en andere informatie die nodig werd geacht in de vorm van een ‘V&A over het informatie lek door ongeoorloofde toegang’.
De Tokken Corporation en onze groepsbedrijven (hierna onze groep genoemd) hebben op 20 oktober 2020 (Heisei 32) bevestigd dat ons netwerk het doelwit was van ongeoorloofde toegang door derden, en dat er mogelijk persoonlijke informatie, zoals vragen aan Home Mate, die door onze groep wordt beheerd, ledeninformatie van groepsbedrijven en informatie van degenen die zich hebben aangemeld voor verschillende campagnes, naar buiten is gelekt.
Over het lekken van persoonlijke informatie door ongeoorloofde toegang[ja]
In de bovenstaande webpagina gelinkt, zijn de volgende details opgenomen in de ‘V&A over het informatie lek door ongeoorloofde toegang'[ja].
Over de inhoud van de gelekte informatie
V Wat is de informatie die deze keer is gelekt?
A Wij geloven dat op alle sites die ons bedrijf beheert, inclusief onze groepsbedrijven, ‘naam’, ‘adres’, ‘telefoonnummer’, ‘e-mailadres’ en ‘wachtwoord’ zijn gelekt.
V Is er creditcardinformatie gelekt?
A Op de sites die ons bedrijf en onze groepsbedrijven beheren, bewaren we geen informatie zoals creditcardnummers of persoonlijke identificatienummers zoals ‘Mijn Nummer’ (Japanse sociale zekerheids- en belastingnummer), dus er is geen risico op lekken.
In de uitleg over de gelekte informatie kan onnodige angst en verwarring worden voorkomen door specifiek te vermelden welke informatie mogelijk is gelekt (1) en welke informatie niet in gevaar is (2).
Over toekomstige maatregelen
Q Is het veilig om de sites van de groepsbedrijven van Touken, inclusief die van ons, in de toekomst te blijven gebruiken?
A Voor alle sites die ons bedrijf, inclusief onze groepsbedrijven, beheert, is de beveiligingsversterking tegen soortgelijke ongeoorloofde toegang nu voltooid.
Q Hoe gaat u in de toekomst om met informatiebeheer?
A In de toekomst zullen we, indien nodig, controles ondergaan door externe onderzoeksinstellingen en als er kwetsbaarheden of dergelijke op de site worden gevonden, zullen we deze onmiddellijk corrigeren en streven naar strenger informatiebeheer.
In toekomstige maatregelen is het belangrijk om zorgvuldig uit te leggen over de beveiligingsrespons van de sites die gebruikers gebruikten, de mogelijkheid van hergebruik en het toekomstige informatiebeheersysteem.
Vragen en antwoorden over schadevergoedingen
Q Wordt er een verontschuldigingsbetaling of overlastvergoeding betaald aan degenen die getroffen zijn door het lekken van informatie?
A Op basis van de informatie die is gelekt door de ongeoorloofde toegang deze keer, zijn we niet van plan om een verontschuldigingsbetaling of overlastvergoeding te doen. Echter, als er financiële schade of dergelijke is ontstaan door dit informatielek en u concreet bewijs kunt voorleggen, neem dan contact op met ons ‘Persoonlijke Informatie Consultatiebureau’.
Q Er is een afschrijving waarvan ik me niet bewust ben. Kan ik een vergoeding krijgen?
A Als er een afschrijving is gedaan van de rekening die u bezit en u zich daar niet van bewust bent, vragen wij u vriendelijk om zelf direct contact op te nemen met het bedrijf dat de afschrijving heeft gedaan. Als echter wordt vastgesteld dat het informatielek deze keer heeft geleid tot een onbekende afschrijving, verzoeken wij u vriendelijk om ons ‘Persoonlijke Informatie Consultatiebureau’ hiervan op de hoogte te stellen, ook al is dit misschien wat lastig.
We hebben duidelijk gemaakt dat we geen verontschuldigingsbetaling of overlastvergoeding doen, maar dat we wel individueel overleggen over schadevergoedingen in het geval dat er financiële schade is ontstaan als gevolg van het lekken van informatie.
Twijfels over de timing van het eerste persbericht
Als het gaat om crisismanagement binnen een bedrijf, moeten we ons primair richten op ‘het beperken van de schade’, ‘het voorkomen van secundaire schade’ en ‘het voorkomen van herhaling’.
Dus, als er een informatie lek wordt ontdekt, is het belangrijk om zo snel mogelijk een eerste reactie te geven en de betrokkenen zo snel mogelijk op de hoogte te stellen.
De Q&A van de Japanse Tōken Corporation beantwoordt een breed scala aan verwachte vragen op een zorgvuldige manier, wat suggereert dat deze is opgesteld in nauwe samenwerking met experts zoals advocaten. Echter, er blijven vragen over de timing van de openbaarmaking, die plaatsvond ongeveer een maand na de ontdekking van de ongeoorloofde toegang.
Natuurlijk willen bedrijven hun bevindingen en maatregelen bekendmaken na een grondig onderzoek, maar hadden de volgende vier punten niet eerder moeten worden aangekondigd als eerste bericht?
- De ontdekking van het informatie lek en de vermoedelijke betrokkenen
- De inhoud van de gelekte persoonlijke informatie
- De afwezigheid van een mogelijk lek van kredietinformatie, zoals kaartnummers
- De toekomstige organisatiestructuur en planning
- Contactpunt voor vragen
Belangrijke punten voor kennisgeving, rapportage en openbaarmaking
Wanneer er informatie is gelekt, is het noodzakelijk om te overwegen om gebruikers, zakenpartners, toezichthoudende instanties, de politie, enz. te informeren, meldingen te doen en openbaar te maken via websites en de media, afhankelijk van de oorzaak en de inhoud van de informatie.
In geval van criminaliteit
Als er een mogelijkheid is van een misdrijf in verband met ongeoorloofde toegang, moet u na het onderzoeken van de feiten en het nemen van maatregelen om bewijs te bewaren, onmiddellijk de politie informeren.
In het geval van de Japanse Tokken Corporation, hebben ze schade gemeld aan de bevoegde autoriteiten, zoals het Ministerie van Land, Infrastructuur, Transport en Toerisme en het hoofdkantoor van de Aichi Prefectural Police, de dag nadat het onderzoek naar de websites van de hele groep was voltooid.
Als er een mogelijkheid is dat persoonlijke kredietinformatie is gelekt
Als er een mogelijkheid is dat My Number (Japanse sociale zekerheids- en belastingnummer), creditcardnummers, bankrekeningen, ID’s en wachtwoorden, enz. zijn gelekt, moet u de betrokkene onmiddellijk informeren en hen aansporen om deze te stoppen om verdere schade te voorkomen.
Als de schaal of het bereik van de impact groot is, of als het moeilijk is om individuele kennisgevingen te doen aan alle betrokken partijen
U zult openbaarmaking doen door middel van het publiceren van informatie op websites en het houden van persconferenties. Echter, als er een mogelijkheid is dat openbaarmaking kan leiden tot verdere schade, moet u overwegen wie en wanneer u openbaart.
Bovendien, het waarborgen van transparantie en het onthullen van feiten zo veel mogelijk bij het openbaar maken, zal leiden tot het vertrouwen van het bedrijf en zal ook helpen om verdere schade en soortgelijke incidenten te voorkomen.
Publicatie van het tweede persbericht
Op 9 februari 2021, na de start van het nieuwe jaar, heeft de Tōken Corporation een tweede rapport gepubliceerd op hun website over het lekken van persoonlijke informatie, waarin de gelekte items en het aantal lekken zijn gecorrigeerd.
Als resultaat van een nieuw onderzoek naar de gelekte items door een forensisch onderzoek van een derde partij, zijn er enkele verschillen geconstateerd. We vragen u vriendelijk om deze te controleren in Bijlage 1 ‘Items per site/service’. (Onderbreking) Het maximale aantal gelekte items is veranderd van 657.096 naar 655.488.
De inhoud is grotendeels hetzelfde als het eerste persbericht, met enkele toevoegingen zoals hoe om te gaan met spam en verdachte e-mails. Deze publicatie was de laatste.
Het centrum van crisisrespons: het actiehoofdkwartier
Na de ontdekking van ongeoorloofde toegang heeft de Tokken Corporation een ‘Informatiebeveiligingshoofdkwartier’ opgezet en werkt samen met externe derde partijen en de politie om herhaling te voorkomen.
De structuur van deze organisatie is onbekend, maar naast systeembeveiligingsmaatregelen is het noodzakelijk om tegelijkertijd contact op te nemen met de betrokken gebruikers, mediarespons, aandeelhoudersrespons en juridische verantwoordelijkheid te overwegen. Over het algemeen is de deelname van de volgende externe derde partijen en experts vereist:
- Grote softwarebedrijven
- Grote beveiligingsspecialistische leveranciers
- Externe advocaten met diepgaande kennis van cyberbeveiliging
Samenvatting
In gevallen zoals deze, waarbij er sprake is van een grootschalig lek van persoonlijke informatie van meer dan 650.000 gevallen, zijn ‘eerste reactie’ en maatregelen gecentreerd rond ‘melding, rapportage en openbaarmaking’ en ‘beveiligingsmaatregelen’ van cruciaal belang.
Wat vooral snelheid vereist, is niet alleen de eerste reactie, maar ook de melding en rapportage aan de politie en relevante overheidsinstanties, evenals de openbaarmaking aan betrokken partijen (persberichten).
Echter, als de aanpak verkeerd is, kan er ook sprake zijn van aansprakelijkheid voor schadevergoeding, dus het wordt aanbevolen om vooraf te overleggen met een advocaat die rijk is aan kennis en ervaring op het gebied van cyberbeveiliging, in plaats van zelf te oordelen.
Als u geïnteresseerd bent in crisismanagement tijdens het informatie lek veroorzaakt door Capcom’s malware, kunt u het in detail bekijken in het artikel.
https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]
Informatie over onze maatregelen
Monolis Law Firm is een advocatenkantoor met hoge expertise in IT, met name internet en recht. Ons kantoor maakt en beoordeelt contracten voor verschillende zaken, variërend van bedrijven genoteerd aan de Tokyo Stock Exchange Prime tot startende ondernemingen. Als u problemen ondervindt, raadpleeg dan het onderstaande artikel.