MONOLITH LAW OFFICE+81-3-6262-3248Hverdager 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Lærer om krisehåndtering og advokatens rolle fra informasjonslekkasjen ved Keio University (Keio University)

General Corporate

Lærer om krisehåndtering og advokatens rolle fra informasjonslekkasjen ved Keio University (Keio University)

Informasjonslekkasjer på grunn av uautorisert tilgang skjer ikke bare i bedrifter, men også i utdanningssektoren, selv om responsen ser ut til å være litt forskjellig fra bedrifter.

Spesielt når det gjelder personlig informasjon, er studenter og lærere ofte i sentrum, så offentliggjøring av informasjon i tilfelle en informasjonslekkasje hendelse har en tendens til å være begrenset til et bestemt omfang.

Imidlertid, når det gjelder personvern, er det ingen forskjell mellom bedrifter og skoler, og grunnleggende krisehåndtering i tilfelle informasjonslekkasje er den samme.

Derfor vil vi i denne artikkelen forklare nøkkelpunktene i krisehåndteringssystemet basert på responsen til informasjonslekkasjehendelsen ved Keio University Shonan Fujisawa Campus (heretter, Keio SFC) fra perspektivet av krisehåndtering for hendelser med lekkasje av personlig informasjon på grunn av uautorisert tilgang.

Oversikt over informasjonslekkasjen ved Keio SFC (Keio Shonan Fujisawa Campus)

Hovedinnholdet i informasjonslekkasjen som oppstod ved Keio SFC på grunn av uautorisert tilgang er som følger:

  • Oppdagelsen av lekkasjen: Muligheten for informasjonslekkasje gjennom uautorisert tilgang til undervisningsstøttesystemet (SFC-SFS) ble oppdaget tidlig om morgenen den 29. september 2020.
    ※ SFC-SFS er et system med funksjoner som masse-e-post til studenter, nedlasting av studentlister, registrering av rapporter og oppgaver, mottak av innsendinger, registrering av karakterer (kommentarer), inntasting og visning av kommentarer til undervisningsundersøkelser.
  • Årsaken til lekkasjen: ID-ene og passordene til 19 systembrukere ble stjålet, og en tredjepart misbrukte dem for å bryte seg inn i systemet. Sårbarheten i SFC-SFS anses som hovedårsaken.
  • Omfanget av lekkasjen: Personlig informasjon om studenter og ansatte som ble administrert av Shonan Fujisawa Campus.
  • Innholdet i lekkasjen: I tillegg til “navn”, “adresse”, “konto navn”, “e-postadresse”, inkluderer studentinformasjon “ansiktsfoto”, “studentnummer”, “kredittinformasjon”, “dato for inntak”, mens ansattinformasjon inkluderer “ansattnummer”, “stilling”, “profil”, “personlig e-postdata”.
  • Antall lekkasjer: Det er mulig at omtrent 33 000 tilfeller har hatt informasjonslekkasje.

Avdekking av uautorisert tilgang og første respons

Rundt kl. 17:45 den 15. september, ble det oppdaget spor av sporadiske sårbarhetssøk mot SFC-SFS i IT-avdelingen ved Keio SFC.

I tillegg, på kvelden den 28. september, ble det oppdaget mistenkelig tilgang til SFC-SFS-systemet, og etter undersøkelser ble det på morgenen den 29. september avdekket en mulighet for informasjonslekkasje på grunn av uautorisert tilgang.

Keio SFC har startet følgende første respons fra dagen etter at de bekreftet sårbarhetssøk, som er et forvarsel om uautorisert tilgang:

  • Be om passordendring for alle brukere (16. september, 30. september)
  • Kontinuerlig overvåking av alle autentiseringssteder og autentiseringslogger (fra 16. september)
  • Begrense innlogging til felles beregningsserver fra utenfor skolen til bare offentlig nøkkelautentisering (16. september)
  • Stopp av webtjenester der sårbarhet er bekreftet, og reparasjon av sårbarhetssteder【Under utførelse】(Sekvensielt fra 16. september, SFC-SFS er 29. september)
  • Stopp av SFC-SFS-systemet (29. september)

Om Keio SFCs første respons

Når uautorisert tilgang blir oppdaget, er det grunnleggende å etablere en responsgruppe og håndtere første respons, men i dette tilfellet ser det ut til at IT-avdelingen ledet av Mr. Kunio, den permanente direktøren ved Keio Gijuku og Chief Information Officer og Chief Information Security Officer, fungerte som responsgruppen.

Det som er viktig i første respons er å forhindre spredning av skade og forekomst av sekundær skade ved å “isolere informasjon”, “kutte nettverket” og “stopp tjenesten”, men i tilfellet Keio SFC, siden brukerne av systemet er begrenset til studenter og fakultetsmedlemmer, er det prioritert å endre passord og begrense innloggingsmetoder.

Imidlertid, det faktum at de begynte å bevege seg umiddelbart etter at de bekreftet forvarselet om uautorisert tilgang, og at de stoppet SFC-SFS-systemet den 29. september da muligheten for informasjonslekkasje ble avdekket, kan sies å være en passende krisehåndteringsrespons.

En bekymring om Keio SFCs første respons er om de rapporterte til tilsynsmyndigheter og politiet etter å ha tatt bevisbevaringstiltak mot uautorisert tilgang, som er en forbrytelse, men det kan ikke bekreftes fordi det ikke er noen beskrivelse i pressemeldinger eller medierapporter.

Om varsling til berørte parter

Varsling til studenter og fakultetsmedlemmer ved Keio SFC ble gjort i form av en forretningskontakt-e-post som følger, og det ser ut til at den første e-posten som nevnte lekkasje av personlig informasjon var den 30. september.

Den 29. september ble det varslet til ansatte ved Keio SFC at SFC-SFS ble stoppet på grunn av en “alvorlig feil”.

Den 30. september ble det bedt om passordendring for alle brukere av SFC-SFS, da det var en mulighet for at “brukerkontoopplysninger” kunne ha lekket på grunn av denne feilen.

I tillegg ble det varslet til ansatte at de ikke ville være i stand til å gjennomføre valg av studenter som tar kurs eller kontakte studenter som tar kurs som planlagt på grunn av stopp i SFC-SFS, og at de ville avlyse klasser for en viss periode.

J-CAST News, som hørte om denne informasjonen, intervjuet og publiserte en artikkel med tittelen “Alvorlig feil i undervisningssystemet ved Keio SFC, starten av høstsemesteret er en uke forsinket” samme dag, og “brukerkontoopplysninger” ble offentlig kjent.

Den 1. oktober ble det varslet på Keio SFCs nettside for studenter at SFC-SFS ble stoppet den 29. september på grunn av muligheten for uautorisert tilgang, og at klasser ville bli avlyst fra 1. til 7. oktober på grunn av denne innvirkningen. (※ Ingen omtale av personlig informasjonslekkasje)

Pressemelding etter avsløring av informasjonslekkasje

Den første offentlige kunngjøringen om personlig informasjonslekkasje som følge av uautorisert tilgang ble gjort den 10. november på vår nettside.

Denne gangen har det blitt oppdaget at ID-ene og passordene til 19 brukere (lærere og ansatte) av Shonan Fujisawa Campus’ informasjonsnettverkssystem (SFC-CNS) og undervisningsstøttesystem (SFC-SFS) har blitt stjålet på en eller annen måte, og at det har vært uautorisert tilgang fra utsiden ved bruk av disse, samt angrep som utnytter sårbarheter i undervisningsstøttesystemet (SFC-SFS), noe som kan ha ført til lekkasje av brukernes personlige informasjon fra systemet. Vi beklager dypt at denne situasjonen har oppstått og har forårsaket bekymring og ulempe for alle involverte. For øyeblikket er det ikke bekreftet noen sekundær skade.

Keio University “Om personlig informasjonslekkasje som følge av uautorisert tilgang til SFC-CNS og SFC-SFS”

Denne pressemeldingen inneholdt også detaljert informasjon om følgende punkter:

  • Innholdet i den personlige informasjonen som kan ha lekket
  • Hvordan lekkasjen ble oppdaget
  • Årsaken til lekkasjen
  • Respons etter oppdagelsen
  • Nåværende situasjon
  • Tiltak for å forhindre gjentakelse

Ovennevnte innhold dekker nesten alle elementene som er nødvendige for offentliggjøring av informasjon om informasjonslekkasjer.

Om Keio SFCs pressemelding

Tidspunktet for pressemeldingen

I utgangspunktet skulle Keio SFC ha offentliggjort dette selv først, men det kan ikke nektes at det var sent å offentliggjøre det 41 dager etter rapporteringen fra J-CAST News.

Dette er fordi det er nødvendig å skynde seg med å varsle personen om den lekkede personlige informasjonen for å forhindre sekundær skade i tilfelle personlig informasjonslekkasje.

Imidlertid, hvis de informerte om det spesifikke innholdet i “brukerens kontoinformasjon” da de ba om passordendring den 30. september, er det ikke noe problem.

Advarsel mot svindel og plagsom oppførsel

I en pressemelding etter avsløringen av informasjonslekkasjen, er det nødvendig å offentliggjøre informasjon om den oppståtte informasjonslekkasjen, informere personen om faktumet hvis personlig informasjon har lekket, be om unnskyldning, og advare mot svindel og plagsom oppførsel for å forhindre at de blir ofre.

Hvis informasjonen inne i den stengte campusen lekker ut til den ytre verden, er det en mulighet for misbruk, og i dette tilfellet er det også nødvendig med en advarsel mot svindel og plagsom oppførsel.

Kriseresponsens kjerne: Tiltaksgruppen

Keio SFC beskriver tiltaksgruppen i sin pressemelding om “forebyggende tiltak” som følger:

Ved Keio University vil vi, med tanke på denne uautoriserte tilgangshendelsen, raskt ta tak i tiltak for å forhindre gjentakelse, som sikkerhetssjekk og forbedring av webapplikasjoner og systemer på tvers av universitetet, og gjennomgang av håndtering av personopplysninger for å beskytte dem. I tillegg har vi etablert en CSIRT (Cyber Security Incident Response Team) på universitetet fra 1. november 2020 (Gregorian kalender), og vi vil arbeide for å styrke sikkerheten på tvers av universitetet, samtidig som vi bygger en organisasjon som kan håndtere omfattende cyber-sikkerhet, og samarbeider med eksterne spesialistorganisasjoner.

Keio University “Om lekkasje av personopplysninger på grunn av uautorisert tilgang til SFC-CNS og SFC-SFS”

Det ser ut til at den første responsen på denne saken ble håndtert av Keio SFCs interne organisasjon, som fungerte som tiltaksgruppen. Men “CSIRT”, som ble etablert 1. november 2020 (Gregorian kalender), er en organisasjon som tilsvarer tiltaksgruppen, som vil være kjernen i krisehåndteringen hvis det oppstår en hendelse i fremtiden.

Det er uklart hvem som er medlemmer av CSIRT, men siden det ikke bare er nødvendig med sikkerhetstiltak for systemet, men også samtidig kontakt med berørte brukere, rapportering til tilsynsmyndigheter og politi, håndtering av media, og vurdering av juridisk ansvar, er det generelt nødvendig med deltakelse fra følgende eksterne tredjepartsorganisasjoner og eksperter:

  • Store programvareselskaper
  • Store sikkerhetsspesialistfirmaer
  • Eksterne advokater med dyp kunnskap om cybersikkerhet

Oppsummering

Selv i tilfeller som dette, hvor det har blitt avslørt en lekkasje av personlig informasjon i utdanningssektoren, er det viktig med en passende ‘første respons’ og ‘varsling, rapportering og offentliggjøring’ sentrert rundt en responsgruppe, samt påfølgende ‘sikkerhetstiltak’.

Det som spesielt krever hastighet er ikke bare den første responsen, men også varsling og rapportering til politiet og relevante myndigheter, varsling (unnskyldning) til den berørte personen, og offentliggjøring på riktig tidspunkt.

Men hvis du gjør en feil i prosedyren eller hvordan du håndterer det, kan du bli holdt ansvarlig for skadeerstatning, så det anbefales å konsultere med en advokat med rikelig kunnskap og erfaring innen cybersikkerhet i stedet for å ta en beslutning på egen hånd.

Hvis du er interessert i krisehåndtering ved informasjonslekkasje forårsaket av Capcoms malware, vennligst se artikkelen for mer detaljert informasjon.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Introduksjon til tiltakene våre

Monolis Law Firm er et advokatfirma med høy ekspertise innen IT, spesielt internett og jus. Vi utfører juridiske kontroller for en rekke saker, fra selskaper notert på Tokyo Stock Exchange Prime til oppstartsbedrifter. Vennligst se artikkelen nedenfor for referanse.

contractcreation
Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Tilbake til toppen