MONOLITH LAW OFFICE+81-3-6262-3248Weekdagen 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Lessen in Crisisbeheer en de Rol van Advocaten uit de Informatielek van de Keio Universiteit

General Corporate

Lessen in Crisisbeheer en de Rol van Advocaten uit de Informatielek van de Keio Universiteit

Informatielekken door ongeoorloofde toegang komen niet alleen voor bij bedrijven, maar ook in het onderwijsveld, hoewel de reactie daarop enigszins verschilt van die van bedrijven.

Vooral met betrekking tot persoonlijke informatie, die voornamelijk bestaat uit studenten en onderwijzend personeel, is de openbaarmaking van informatie in het geval van een informatielekincident vaak beperkt tot een bepaald bereik.

Echter, er is geen verschil tussen bedrijven en scholen als het gaat om de bescherming van persoonlijke informatie, en de basisprincipes van crisisbeheer bij informatielekken zijn hetzelfde.

In dit artikel zullen we de belangrijkste punten van crisisbeheer bespreken, gebaseerd op de reactie op het informatielekincident op de Shonan Fujisawa Campus van Keio University (hierna Keio SFC) vanuit het perspectief van crisisbeheer bij incidenten van informatielekken door ongeoorloofde toegang.

Overzicht van het informatie lek incident bij Keio SFC

De belangrijkste details van het informatie lek veroorzaakt door ongeautoriseerde toegang bij Keio SFC zijn als volgt:

  • Ontdekking van het lek: In de vroege ochtend van 29 september 2020 werd de mogelijkheid van een informatie lek door ongeautoriseerde toegang tot het onderwijsondersteuningssysteem (SFC-SFS) ontdekt.
    ※ Het SFC-SFS is een systeem met functies zoals bulk e-mails naar studenten, downloaden van studentenlijsten, registratie van rapporten en opdrachten, ontvangst van inzendingen, registratie van cijfers (opmerkingen), invoer en bekijken van opmerkingen over klasse enquêtes.
  • Oorzaak van het lek: De ID’s en wachtwoorden van 19 systeemgebruikers werden gestolen en door een derde partij misbruikt om het systeem binnen te dringen. De kwetsbaarheid van SFC-SFS wordt beschouwd als de belangrijkste oorzaak.
  • Omvang van het lek: Persoonlijke informatie van studenten en personeel beheerd door de Shonan Fujisawa Campus.
  • Inhoud van het lek: Naast “naam”, “adres”, “accountnaam” en “e-mailadres”, omvat het in het geval van studenten “gezichtsfoto”, “studentnummer”, “creditverwervingsinformatie”, “datum van toelating”, en in het geval van personeel “personeelsnummer”, “positie”, “profiel”, “persoonlijke e-mailgegevens”.
  • Aantal lekken: Er is een mogelijkheid van informatie lekken in ongeveer 33.000 gevallen.

Ontdekking van ongeoorloofde toegang en initiële reactie

Op 15 september om ongeveer 17:45 uur werd er bewijs gevonden van sporadische kwetsbaarheidsscans op het SFC-SFS systeem binnen de IT-afdeling van Keio SFC.

Verder, op de avond van 28 september, werd er verdachte toegang tot het SFC-SFS systeem gedetecteerd en na onderzoek bleek in de vroege ochtend van 29 september dat er mogelijk informatie was gelekt door ongeoorloofde toegang.

Keio SFC heeft de volgende initiële reacties gestart vanaf de dag na de bevestiging van de kwetsbaarheidsscans, die een voorbode zijn van ongeoorloofde toegang:

  • Verzoek om wachtwoordwijziging voor alle gebruikers (16 september, 30 september)
  • Voortdurende monitoring van alle authenticatiepunten en authenticatielogboeken, etc. (vanaf 16 september)
  • Beperking van inloggen op de gedeelde server van buiten de school tot alleen openbare sleutelauthenticatie (16 september)
  • Stopzetting van webdiensten waarbij kwetsbaarheden zijn bevestigd en reparatie van kwetsbare punten【in uitvoering】(vanaf 16 september, SFC-SFS op 29 september)
  • Stopzetting van het SFC-SFS systeem (29 september)

Over de initiële reactie van Keio SFC

Wanneer ongeoorloofde toegang wordt ontdekt, is het gebruikelijk om een reactieteam op te zetten om de initiële reactie te leiden. In dit geval lijkt de IT-afdeling, geleid door de heer Kunio, de permanente directeur en Chief Information Officer en Chief Information Security Officer van Keio University, te hebben gefunctioneerd als het reactieteam.

Wat belangrijk is in de initiële reactie is het “isoleren van informatie”, “afsluiten van het netwerk” en “stopzetten van diensten” om de uitbreiding van de schade en het optreden van secundaire schade te voorkomen. In het geval van Keio SFC, omdat de gebruikers van het systeem niet onbepaald zijn, maar beperkt zijn tot studenten en personeel, wordt prioriteit gegeven aan het wijzigen van wachtwoorden en het beperken van inlogmethoden.

Echter, het feit dat ze onmiddellijk in actie kwamen toen ze de voorbode van ongeoorloofde toegang bevestigden, en dat ze het SFC-SFS systeem stopzetten op 29 september toen de mogelijkheid van informatie lekkage duidelijk werd, kan worden gezegd dat het een passende crisismanagementreactie was.

Een punt van zorg met betrekking tot de initiële reactie van Keio SFC is of ze bewijsbehoudsmaatregelen hebben genomen tegen de criminele ongeoorloofde toegang en of ze melding hebben gemaakt aan toezichthoudende instanties en de politie. Dit kan echter niet worden bevestigd omdat er geen beschrijving is in persberichten of nieuwsmedia.

Over de kennisgeving aan betrokken partijen

De kennisgeving aan studenten en personeel van Keio SFC werd gedaan in de vorm van een zakelijke mededeling per e-mail, en het lijkt erop dat de eerste e-mail die verwees naar het lekken van persoonlijke informatie op 30 september was.

Op 29 september werd aan het personeel van Keio SFC meegedeeld dat het SFC-SFS systeem werd stopgezet vanwege een “ernstig probleem”.

Op 30 september werd aan alle gebruikers van SFC-SFS gevraagd hun wachtwoord te wijzigen omdat er mogelijk “gebruikersaccountinformatie” was gelekt door dit probleem.

Ook werd aan het personeel meegedeeld dat de lessen voor een bepaalde periode zouden worden opgeschort omdat ze door de stopzetting van SFC-SFS niet in staat zouden zijn om de selectie van studenten die cursussen volgen en de communicatie met studenten die cursussen volgen zoals gepland uit te voeren.

Toen J-CAST News dit hoorde, publiceerden ze op dezelfde dag een artikel getiteld “Ernstig probleem met het lessysteem bij Keio SFC, start van het herfstsemester is een week vertraagd”, en de “gebruikersaccountinformatie” lekkage werd publiekelijk bekend.

Op 1 oktober werd op de website van Keio SFC aan de studenten meegedeeld dat het SFC-SFS systeem op 29 september was stopgezet vanwege de mogelijkheid van ongeoorloofde toegang, en dat de lessen zouden worden opgeschort van 1 tot 7 oktober vanwege deze impact. (※Er is geen vermelding van het lekken van persoonlijke informatie)

Persbericht na ontdekking van informatie lek

De eerste openbare bekendmaking van het lekken van persoonlijke informatie door ongeoorloofde toegang vond plaats op 10 november op onze website.

Onlangs is gebleken dat er mogelijk persoonlijke informatie is gelekt uit ons informatienetwerksysteem van de Shonan Fujisawa Campus (SFC-CNS) en ons ondersteuningssysteem voor lessen (SFC-SFS). Dit is gebeurd doordat de ID’s en wachtwoorden van 19 gebruikers (personeelsleden) van het systeem op de een of andere manier zijn gestolen en gebruikt voor ongeoorloofde toegang van buitenaf en aanvallen die de kwetsbaarheden van het ondersteuningssysteem voor lessen (SFC-SFS) hebben uitgebuit. We bieden onze diepste excuses aan voor het ongemak en de zorgen die dit incident heeft veroorzaakt. Op dit moment zijn er geen secundaire schadegevallen bevestigd.

Keio University “Over het lekken van persoonlijke informatie door ongeoorloofde toegang tot SFC-CNS en SFC-SFS”[ja]

Dit persbericht bevatte ook gedetailleerde informatie over de volgende zaken:

  • De inhoud van de mogelijk gelekte persoonlijke informatie
  • Hoe het lek werd ontdekt
  • De oorzaak van het lek
  • De reactie na de ontdekking
  • De huidige situatie
  • Maatregelen om herhaling te voorkomen

De bovenstaande inhoud dekt bijna alle items die nodig zijn voor openbaar materiaal met betrekking tot informatie lekken.

Over het persbericht van Keio SFC

Tijdstip van het persbericht

Normaal gesproken zou Keio SFC zelf als eerste moeten aankondigen, maar het feit dat ze dit 41 dagen na de rapportage van J-CAST News deden, kan niet anders dan te laat worden genoemd.

Dit komt omdat bij het lekken van persoonlijke informatie, het noodzakelijk is om snel de betrokken personen te informeren om secundaire schade te voorkomen.

Echter, als ze tijdens het verzoek om wachtwoordwijziging op 30 september de specifieke inhoud van de “gebruikersaccountinformatie” hebben meegedeeld, is er geen probleem.

Waarschuwing voor fraude en overlast

In een persbericht na de ontdekking van een informatie lek, moet de gebeurtenis worden aangekondigd, en als persoonlijke informatie is gelekt, moet de betrokkene hiervan op de hoogte worden gesteld en excuses worden aangeboden. Daarnaast moet er een waarschuwing worden gegeven om te voorkomen dat men slachtoffer wordt van fraude en overlast.

Zelfs informatie binnen een gesloten campus kan worden misbruikt als deze naar de buitenwereld lekt, en in dit geval is een waarschuwing voor fraude en overlast ook noodzakelijk.

Het Crisisresponscentrum als kern

Keio SFC beschrijft in haar persbericht over ‘preventieve maatregelen’ het crisisresponscentrum als volgt:

Naar aanleiding van dit incident met ongeoorloofde toegang, zal Keio University zich snel inzetten voor maatregelen om herhaling te voorkomen, zoals het controleren en verbeteren van de beveiliging van webapplicaties en systemen, en het herzien van de behandeling van persoonlijke informatie om deze te beschermen. Bovendien hebben we op 1 november 2020 (2020年11月1日) een CSIRT (Computer Security Incident Response Team) opgericht binnen de universiteit, en we zullen werken aan het opzetten van een organisatie die een alomvattende aanpak van cyberbeveiliging kan bieden, terwijl we samenwerken met externe specialistische organisaties en streven naar verdere versterking van de beveiliging op universitair niveau.

Keio University “Over de lek van persoonlijke informatie door ongeoorloofde toegang tot SFC-CNS en SFC-SFS”[ja]

Het lijkt erop dat de interne organisatie van Keio SFC de rol van het crisisresponscentrum op zich heeft genomen in de eerste reactie op dit incident, maar het ‘CSIRT’ dat op 1 november 2020 (2020年11月1日) is opgericht, is een organisatie die overeenkomt met het crisisresponscentrum, dat de kern zal vormen van de crisisrespons als er in de toekomst incidenten plaatsvinden en de beveiliging versterkt.

Hoewel de leden van het CSIRT onbekend zijn, is het niet alleen nodig om maatregelen voor systeembeveiliging te nemen, maar ook om tegelijkertijd contact op te nemen met de betrokken gebruikers, rapporten in te dienen bij toezichthoudende instanties en de politie, om te gaan met de media, en om juridische verantwoordelijkheden te overwegen. Daarom is de deelname van de volgende externe derde partijen en experts over het algemeen noodzakelijk:

  • Grote softwarebedrijven
  • Grote beveiligingsspecialistische leveranciers
  • Externe advocaten met diepgaande kennis van cyberbeveiliging

Samenvatting

Zelfs in gevallen zoals deze, waarin een lek van persoonlijke informatie in het onderwijsveld aan het licht komt, zijn een passende ‘eerste reactie’ en ‘melding, rapportage en openbaarmaking’ gecentreerd rond het crisismanagementteam, evenals latere ‘beveiligingsmaatregelen’ belangrijk.

Wat vooral snelheid vereist, is niet alleen de eerste reactie, maar ook de melding en rapportage aan de politie en relevante overheidsinstanties, de melding (verontschuldiging) aan de betrokkene, en de openbaarmaking op het juiste moment.

Echter, als de procedures en maatregelen verkeerd worden uitgevoerd, kan er mogelijk aansprakelijkheid voor schadevergoeding ontstaan. Daarom raden we aan om niet op eigen houtje te oordelen, maar om vooraf te overleggen met een advocaat die veel kennis en ervaring heeft op het gebied van cyberbeveiliging.

Voor degenen die geïnteresseerd zijn in crisismanagement tijdens het informatie lek veroorzaakt door Capcom’s malware, hebben we een gedetailleerd artikel geschreven, dus neem ook daar een kijkje.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Informatie over onze aanpak

Monolis Law Firm is een advocatenkantoor met hoge expertise in IT, met name internet, en recht. Ons kantoor voert juridische controles uit voor een breed scala aan zaken, van bedrijven die genoteerd zijn aan de Tokyo Stock Exchange Prime tot startende ondernemingen. Zie het onderstaande artikel voor meer informatie.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Terug naar boven