MONOLITH LAW OFFICE+81-3-6262-3248Weekdagen 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Lessen in Crisisbeheer en de Rol van Advocaten uit het Informatielek bij Capcom

General Corporate

Lessen in Crisisbeheer en de Rol van Advocaten uit het Informatielek bij Capcom

De informatie lek bij Capcom die plaatsvond in november 2020 (Gregoriaanse kalender) was het resultaat van op maat gemaakte ransomware, met de mogelijkheid van maximaal 390.000 persoonlijke gegevenslekken.

Incidenten zouden natuurlijk niet moeten plaatsvinden, en het is eerst en vooral belangrijk om een systeem op te zetten dat ze voorkomt. Maar hoe goed het systeem ook is, het is onmogelijk om de kans op incidenten volledig tot nul te reduceren.

Als zo’n incident toch gebeurt, wat voor maatregelen en onderzoeken moeten dan ondernomen worden, en wanneer en hoe moet het worden aangekondigd?

In dit artikel zullen we, vanuit het perspectief van crisismanagement voor incidenten van persoonlijke informatie lekken door malware, de informatie lek bij Capcom in chronologische volgorde bespreken om te leren over het juiste crisismanagement systeem vanuit hun reactie.

※Advocaten hebben een hoge vertrouwelijkheidsplicht onder de Japanse Advocatenwet voor zaken waarbij ze daadwerkelijk betrokken zijn als advocaat. Dit artikel is gebaseerd op algemeen beschikbare informatie over eerdere zaken waarbij ons kantoor niet betrokken was, en geeft de mening van een advocaat.

Ontdekking van het incident en initiële reactie

Het incident werd bevestigd op 2 november 2020.

Op dat moment werd een verbindingsstoring met het interne systeem bevestigd, en werden de afsluiting van het systeem en de start van het begrijpen van de schade uitgevoerd.

Op dezelfde dag werd ontdekt dat de oorzaak van de storing de versleuteling van bestanden op apparaten op het netwerk was door een ransomware-aanval.

Op de getroffen terminals werd een dreigend bericht ontdekt van een groep die zichzelf ‘Ragnar Locker’ noemt.

Op dit punt heeft Capcom melding gemaakt bij de politie van de prefectuur Osaka en hulp gevraagd aan externe bedrijven voor herstel.

Het is vanzelfsprekend noodzakelijk voor de continuïteit van het bedrijf om het systeem zo snel mogelijk te herstellen na een incident. Echter, als een aanval door ransomware is bevestigd, is het zeer waarschijnlijk dat dit een zogenaamde ongeoorloofde toegang is, een handeling die verboden is volgens de Japanse wet op het verbod van ongeoorloofde toegang.

Het is belangrijk om zo snel mogelijk melding te maken bij de politie, voordat de lekkage van vertrouwelijke informatie, inclusief persoonlijke informatie, wordt bevestigd en voordat de route van inbraak wordt geïdentificeerd.

Crisiscommunicatie vóór de ontdekking van informatie lekken

Op de dag na het incident, 4 november, publiceerde Capcom haar eerste persbericht, getiteld “Mededeling over systeemstoring veroorzaakt door ongeautoriseerde toegang”.

We hebben bevestigd dat er ongeautoriseerde toegang is geweest van een derde partij, wat heeft geleid tot deze storing. We hebben de werking van ons interne netwerk gedeeltelijk opgeschort vanaf dezelfde dag. We bieden onze diepste excuses aan voor het grote ongemak dat dit heeft veroorzaakt voor alle betrokkenen. Op dit moment is er geen lek van klantinformatie bevestigd.

Mededeling over systeemstoring veroorzaakt door ongeautoriseerde toegang [ja]

Op dit moment was er alleen sprake van een “systeemstoring” veroorzaakt door “ongeautoriseerde toegang”, en er was nog geen informatie lek ontdekt.

Persbericht na ontdekking van informatie lek

Aantal mogelijke gelekte persoonlijke gegevens, etc.

Het lek van informatie werd ontdekt op 12 november.

Er is bevestigd dat er persoonlijke informatie van 9 personen en enkele bedrijfsinformatie is gelekt.

De volgende dag heeft Capcom een groot beveiligingsbedrijf benaderd voor een onderzoek naar de oorzaak, en op 16 november publiceerde het een persbericht waarin werd bevestigd dat er informatie was gelekt.

Op dat moment,

  • Bevestigde gelekte informatie
  • Informatie die mogelijk is gelekt

werden onderscheiden, en voor elk van hen,

  • Persoonlijke informatie (klanten, zakenpartners, etc.)
  • Persoonlijke informatie (medewerkers en betrokkenen)
  • Bedrijfsinformatie (verkoopinformatie, informatie over zakenpartners, verkoopdocumenten, ontwikkelingsdocumenten, etc.)

werden onderscheiden en het ruwe aantal werd gepubliceerd.

Op dit moment werd aangekondigd dat “er een mogelijkheid is dat maximaal ongeveer 350.000 klantgegevens zijn gelekt”.

Of er creditcardinformatie is gelekt en hoe hiermee om te gaan, etc.

Ook tegelijkertijd,

Overigens, aangezien ons bedrijf alle betalingen voor online verkoop, etc. uitbesteedt, hebben we geen creditcardinformatie en is er geen lek van creditcardinformatie.

Mededeling en verontschuldiging over het lekken van informatie door ongeoorloofde toegang[ja]

werd er commentaar gegeven op de vraag of er creditcardinformatie was gelekt, en verder,

  • Reactie op mensen bij wie persoonlijke informatie is gelekt en mensen bij wie dit mogelijk is
  • De geschiedenis van ontdekking en reactie
  • Toekomstige reacties

werd dergelijke informatie vrijgegeven.

Begeleiding en advies van externe advocaten, etc.

In het persbericht,

We hebben de situatie gerapporteerd aan een groot softwarebedrijf, een groot beveiligingsbedrijf en een externe advocaat met diepgaande kennis van cyberbeveiliging, en hebben begeleiding en advies gekregen. We zullen beginnen met het informeren van degenen bij wie de informatie is gelekt en de betrokken partijen, en we zullen doorgaan met het onderzoeken van informatie die mogelijk is gestolen.

Mededeling en verontschuldiging over het lekken van informatie door ongeoorloofde toegang[ja]

werd ook verklaard.

Ook werden er “Contactpunt voor vragen over persoonlijke informatie” en “Capcom Informatie Lek Speciaal Contactpunt” voorbereid als “Game Gebruiker Contactpunt” en “Algemeen Contactpunt”, beide met een gratis telefoonnummer.

En vanaf het moment dat ten minste een deel van de informatie lekte tot het moment dat het persbericht over het lek werd gepubliceerd, duurde het 4 dagen.

Dit wordt beschouwd als een noodzakelijke periode om een zekere mate van gedetailleerde informatie te verifiëren en beslissingen te nemen over toekomstige reacties, enz.

Persoonlijke Informatielekken en Crisisbeheer

In tegenstelling tot het eerste rapport over een “systeemstoring”, wordt het tweede rapport dat “er mogelijk tot 350.000 klantgegevens zijn gelekt” door meerdere media opgepikt.

Capcom heeft te maken gehad met een op maat gemaakte ransomware-aanval van een derde partij, wat heeft geleid tot het lekken van persoonlijke informatie die het bedrijf bezit. Op 16 november was er mogelijk informatie gelekt, inclusief klanten en handelspartners, tot een maximum van ongeveer 350.000 gevallen. Er is ook een mogelijkheid dat bedrijfsdocumenten en ontwikkelingsdocumenten zijn gelekt.

Capcom, maximaal 350.000 persoonlijke gegevens gelekt door ongeoorloofde toegang “Geen problemen met gameplay” – BCN+R[ja]

Echter, op het moment van het persbericht was er ook informatie vrijgegeven over “de ontdekking en reactie” en “toekomstige reacties”, dus het bovenstaande artikel eindigt met een verklaring als: “In de toekomst zullen we samenwerken met de politie en een nieuwe adviesorganisatie voor systeembeveiliging opzetten met externe experts om herhaling te voorkomen. Er zal geen verdere schade aan gebruikers of buitenstaanders zijn door toegang tot het internet om onze games te spelen of toegang tot onze website. Bovendien, voor gebruikers die mogelijk hun persoonlijke informatie hebben gelekt, is er een mogelijkheid dat ze onverwachte post ontvangen of verdachte contacten krijgen, dus we roepen op tot voorzichtigheid.”

In een persbericht na de ontdekking van een lek van persoonlijke informatie, is het belangrijk om een zekere mate van uitgebreide informatie te onthullen, inclusief “de ontdekking en reactie” en “toekomstige reacties”, zoals hierboven vermeld.

En op het moment dat een lek van persoonlijke informatie wordt ontdekt, is het belangrijk om een team van externe experts te vormen, waaronder:

  • Grote softwarebedrijven
  • Grote beveiligingsspecialistische leveranciers
  • Externe advocaten met diepgaande kennis van cyberbeveiliging

En om naast de zuiver IT-gerichte maatregelen zoals het onderzoeken van de oorzaak, ook contact op te nemen met klanten waarvan is bevestigd dat hun informatie is gelekt, en crisisbeheer PR te implementeren.

Bovendien, in het geval van beursgenoteerde bedrijven, is het noodzakelijk om als onderdeel van deze crisisbeheer PR ook uitleg te geven aan aandeelhouders en dergelijke.

Mogelijke lek van sollicitantinformatie

In het gepubliceerde persbericht ‘Mogelijk gelekte informatie’ en ‘Persoonlijke informatie (klanten, zakenpartners, etc.) maximaal ongeveer 350.000 items’, was er een item genaamd ‘Sollicitantinformatie (ongeveer 125.000 items)’. Er waren vragen op sociale media over de relatie met het feit dat Capcom had aangegeven op hun eigen wervingssite dat ze deze zouden vernietigen.

Over de sollicitantinformatie had Capcom op hun eigen wervingssite aangegeven dat “sollicitatiedocumenten van mensen die niet zijn aangenomen of die een aanbod hebben afgewezen, verantwoordelijk zullen worden vernietigd na de selectie”. Er zijn vragen op Twitter over het feit dat persoonlijke informatie die eigenlijk vernietigd had moeten worden, niet vernietigd was. Capcom verontschuldigde zich en legde uit dat ze “de cv’s van sollicitanten hadden gedigitaliseerd en voor een bepaalde periode hadden bewaard”. Ze verontschuldigden zich en zeiden dat er een misverstand was ontstaan omdat er geen vermelding was van digitalisering en de uitdrukking onvoldoende was. Over het beheer van de gegevens zeiden ze: “Er zijn mensen die meerdere keren solliciteren. Het was om de sollicitatiegeschiedenis soepel te kunnen controleren”. Ze zeiden dat het op dit moment onduidelijk is of ze alle sollicitantgegevens hebben bewaard.

Capcom, niet vernietigen van sollicitatiedocumenten van niet-aangenomen sollicitanten. Hoewel het op de wervingspagina staat dat ze “verantwoordelijk zullen worden vernietigd”, is er een mogelijkheid van informatielek door cyberaanval – ITmedia NEWS[ja]

Het is onduidelijk of Capcom dit soort vragen had voorzien, maar als er informatie in het bedrijf aanwezig is die eigenlijk niet zou moeten bestaan (en het is tot op zekere hoogte onvermijdelijk dat dit wordt aangenomen), en er is een mogelijkheid dat deze is gelekt, dan zou het beter zijn geweest om een persbericht uit te geven na het overwegen van dit probleem op voorhand.

Oprichting van de Beveiligingscommissie, inclusief advocaten

Publicatie van het derde persbericht

Capcom heeft verder op 21 december een voorbereidende vergadering gehouden voor de oprichting van de ‘Beveiligingscommissie’, een adviesorganisatie voor systeembeveiliging door externe experts.

Op 12 januari van het volgende jaar 2021 publiceerde het bedrijf het derde persbericht, getiteld “Kennisgeving en verontschuldiging voor informatie lekken door ongeautoriseerde toegang [Derde rapport]”,

Het lek van nog eens 16.406 mensen is bevestigd, waardoor het totaal aantal mensen dat sinds het begin van dit incident is getroffen, op 16.415 komt. Bovendien is gebleken dat het maximale aantal externe personen, zoals klanten en handelspartners, wiens persoonlijke informatie mogelijk is gelekt, ongeveer 390.000 is (een toename van ongeveer 40.000 ten opzichte van de vorige keer).

De bijgewerkte informatie is gepubliceerd naarmate het onderzoek vordert. Bovendien, naast het feit dat er geen creditcardinformatie is gelekt,

De internetverbinding en aankopen die nodig zijn om onze games te spelen, maakten oorspronkelijk geen gebruik van het systeem dat deze keer werd aangevallen, en we gebruikten externe outsourcing of externe servers, wat nog steeds het geval is. Daarom is er geen verband tussen de internetverbinding en aankopen die nodig zijn om onze games te spelen en de cyberaanval op ons systeem deze keer, en er zal geen schade aan klanten zijn.

Kennisgeving en verontschuldiging voor informatie lekken door ongeautoriseerde toegang [Derde rapport] | Capcom Co., Ltd. [ja]

Dit is ook vermeld.

Over de mogelijkheid van het lekken van persoonlijke informatie van sollicitanten

Ook bij deze gelegenheid werd de mogelijkheid van het lekken van persoonlijke informatie van “ongeveer 58.000 sollicitanten” die hierboven zijn genoemd, specifiek “een of meer van naam, adres, telefoonnummer, e-mailadres, enz.” gepubliceerd als “informatie waarvan het lekken nieuw is bevestigd”.

Over dit punt,

Met betrekking tot sollicitantinformatie werd in november ontdekt dat het bedrijf de informatie na de selectie niet had vernietigd en had bewaard in verband met de cyberaanval op het bedrijf. In de oorspronkelijke “Behandeling van persoonlijke informatie” op de wervingssite stond: “Na de selectie zullen we deze verantwoordelijk vernietigen”. Later, in december 2020, werd de zin “Vanwege het accepteren van herhaalde aanvragen, kunnen we de gegevens van de aanvraagdocumenten, die de papieren media die we hebben ontvangen, digitaliseren en voor een bepaalde periode bewaren om eerdere aanvragen soepel te controleren, enz.” toegevoegd. Volgens het bedrijf, “De persoonlijke informatie van de sollicitanten wordt nog steeds opgeslagen in ons interne systeem, en de werking is bijna onveranderd ten opzichte van voor de ongeautoriseerde toegang.

Capcom bevestigt het lekken van persoonlijke informatie van 16.000 mensen, en onthult ook de mogelijkheid van het lekken van 58.000 mensen in de cyberaanval van november 2020 – ITmedia NEWS [ja]

Dit is gemeld.

Crisismanagement en public relations op basis van onderzoeksresultaten

Vierde persbericht gepubliceerd

Daarna hield Capcom op 18 januari de eerste beveiligingstoezichtscommissie, op 25 februari de tweede beveiligingstoezichtscommissie en op 26 maart de derde beveiligingstoezichtscommissie, met een maandelijks tempo van beveiligingstoezichtscommissies. Bovendien ontving het op 31 maart een onderzoeksrapport van een groot beveiligingsbedrijf en een rapport van een groot softwarebedrijf.

Naar aanleiding hiervan publiceerde het op 13 april het vierde persbericht, getiteld “Rapport over de resultaten van het onderzoek naar ongeautoriseerde toegang [Vierde rapport]”.

In dit rapport geeft het een gedetailleerde technische uitleg, die lijkt te zijn gebaseerd op bovengenoemde rapporten, over de “geschiedenis van de reactie”, “oorzaak en reikwijdte van de schade” en “maatregelen om de beveiliging te versterken om herhaling te voorkomen”. Bovendien noemt het onder andere de oprichting van een beveiligingstoezichtscommissie, inclusief een advocaat die een expert is in cyberbeveiliging en de Japanse wet op de bescherming van persoonsgegevens.

Berichtgeving en reactie op losgeld

Op 1 maart, tijdens deze periode, werd er gerapporteerd dat de eerder genoemde cybercriminele groep ‘Ragnar Locker’ ongeveer 1,15 miljard yen aan losgeld eiste van Capcom.

De cybercriminele groep ‘Ragnar Locker’ heeft bestanden gepubliceerd op hun eigen website die ze beweren te hebben gestolen van bedrijven, en eiste 11 miljoen dollar (ongeveer 1,15 miljard yen) in Bitcoin als losgeld, maar Capcom weigert op dit moment te betalen.

Capcom weigert 1,15 miljard yen te betalen! Redenen waarom losgeld niet moet worden betaald, zelfs in geval van ransomware schade | Beveiligingsmaatregelen in het tijdperk van telewerken | Diamond Online[ja]

In reactie hierop, in het bovengenoemde vierde persbericht over het losgeld,

Erkenning van het losgeldbedrag
Op de apparatuur die besmet is met ransomware is een berichtbestand van de aanvaller achtergelaten, en het is waar dat we gevraagd zijn om contact op te nemen voor onderhandelingen met de aanvaller, maar er was geen vermelding van het losgeldbedrag in het bestand. Zoals eerder gemeld, hebben we besloten om niet te onderhandelen met de aanvaller na overleg met de politie, en in feite hebben we helemaal geen contact opgenomen (zie het persbericht van 16 november 2020), dus we zijn ons niet bewust van het bedrag.

Rapport over de resultaten van het onderzoek naar ongeoorloofde toegang【Vierde rapport】 | Capcom Co., Ltd.[ja]

Ze hebben deze verklaring gepubliceerd. Het lijkt een reactie te zijn op het feit dat er een specifiek bedrag van “1,15 miljard yen” naar voren is gekomen in de bovengenoemde rapporten en dergelijke.

Release op gerelateerde sites, etc.

Daarnaast heeft Capcom op dezelfde dag ook op andere sites dan hun eigen bedrijfssite, zoals ‘CAPCOM: Shadaloo Fighter Research Institute’ (een site gerelateerd aan Street Fighter 5) en ‘CAPCOM ONLINE GAMES’, pagina’s gepubliceerd zoals:

[Vervolg] Mededeling over systeemstoring
Hartelijk dank voor uw voortdurende gebruik van “Capcom Online Games (COG)”. We hebben nieuwe informatie vrijgegeven over de systeemstoring veroorzaakt door ongeautoriseerde toegang van derden tot ons groepssysteem sinds de vroege ochtend van 2 november 2020 (2020年11月2日). Controleer hier voor meer details.

Mededeling Details | Capcom Online Games[ja]

Deze informatie lek, zoals eerder ontdekt, was er een die “gebruik maakte van externe outsourcing of aparte externe servers”, en “er was geen verband tussen de cyberaanval op ons systeem deze keer en de internetverbinding of aankopen via download om onze games te spelen, en er was geen schade aan onze klanten”, maar

Men denkt dat de release op elke site opnieuw werd aangekondigd om geen onrust of dergelijke bij de gebruikers te veroorzaken op het moment dat de onderzoeksresultaten werden gerapporteerd.

Samenvatting

Zoals we hebben gezien, in gevallen waarin er een grootschalig lek van persoonlijke informatie heeft plaatsgevonden, is het belangrijk om:

  • Onmiddellijk de politie te informeren bij het ontstaan van een incident
  • Een structuur op te zetten om rapporten en advies te ontvangen van ‘externe advocaten met diepgaande kennis van cyberbeveiliging’
  • Crisismanagement en public relations uit te voeren door het bovengenoemde team

En, wanneer er voldoende informatie beschikbaar is, is het belangrijk om:

  • Een beveiligingstoezichtscommissie, inclusief advocaten, op te zetten

Dit soort crisismanagement moet snel en georganiseerd worden uitgevoerd.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Terug naar boven