{"id":61571,"date":"2023-12-08T20:55:32","date_gmt":"2023-12-08T11:55:32","guid":{"rendered":"https:\/\/monolith.law\/no\/?p=61571"},"modified":"2023-12-16T21:10:57","modified_gmt":"2023-12-16T12:10:57","slug":"capcom-information-leakage-crisis-management","status":"publish","type":"post","link":"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management","title":{"rendered":"L\u00e6rer fra Capcoms informasjonslekkasje: Krisestyring og advokatens rolle"},"content":{"rendered":"\n<p>Informasjonslekkasjen hos Capcom som skjedde i november 2020 (Gregoriansk kalender\u00e5r), var for\u00e5rsaket av skreddersydd ransomware, og det var en mulighet for at s\u00e5 mange som 390 000 personopplysninger kunne ha blitt lekket.<\/p>\n\n\n\n<p>Det er selvf\u00f8lgelig best om slike hendelser ikke skjer, og det er f\u00f8rst og fremst viktig \u00e5 etablere et system for \u00e5 forhindre dem. Men uansett hvilket system man har p\u00e5 plass, er det umulig \u00e5 redusere sannsynligheten for at de oppst\u00e5r til null.<\/p>\n\n\n\n<p>Hvis en slik hendelse skulle oppst\u00e5, hva slags tiltak og unders\u00f8kelser b\u00f8r man gjennomf\u00f8re umiddelbart etterp\u00e5, og n\u00e5r og hvordan b\u00f8r man kunngj\u00f8re det?<\/p>\n\n\n\n<p>I denne artikkelen vil vi forklare Capcoms informasjonslekkasje i kronologisk rekkef\u00f8lge, for \u00e5 l\u00e6re om den n\u00f8dvendige kriseh\u00e5ndteringsstrukturen fra selskapets respons p\u00e5 en &#8220;hendelse med personopplysninger lekket av malware&#8221;.<\/p>\n\n\n\n<p class=\"has-very-light-gray-background-color has-background\">\u203bAdvokater har en streng taushetsplikt i henhold til den japanske advokatloven om saker de faktisk har v\u00e6rt involvert i som advokater. Denne artikkelen gir advokatens synspunkter basert p\u00e5 offentlig tilgjengelig informasjon om tidligere saker som v\u00e5rt firma ikke har v\u00e6rt involvert i.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Avdekking_av_hendelsen_og_tidlig_respons\" title=\"Avdekking av hendelsen og tidlig respons\">Avdekking av hendelsen og tidlig respons<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Krisekommunikasjon_for_avsloring_av_informasjonslekkasje\" title=\"Krisekommunikasjon f\u00f8r avsl\u00f8ring av informasjonslekkasje\">Krisekommunikasjon f\u00f8r avsl\u00f8ring av informasjonslekkasje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Pressemelding_etter_avsloring_av_informasjonslekkasje\" title=\"Pressemelding etter avsl\u00f8ring av informasjonslekkasje\">Pressemelding etter avsl\u00f8ring av informasjonslekkasje<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Antall_personopplysninger_som_kan_vaere_lekket_etc\" title=\"Antall personopplysninger som kan v\u00e6re lekket, etc.\">Antall personopplysninger som kan v\u00e6re lekket, etc.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Om_det_har_lekket_ut_kredittkortinformasjon_og_hvordan_det_handteres_etc\" title=\"Om det har lekket ut kredittkortinformasjon og hvordan det h\u00e5ndteres, etc.\">Om det har lekket ut kredittkortinformasjon og hvordan det h\u00e5ndteres, etc.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Veiledning_og_rad_fra_eksterne_advokater_etc\" title=\"Veiledning og r\u00e5d fra eksterne advokater, etc.\">Veiledning og r\u00e5d fra eksterne advokater, etc.<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Personvernbrudd_og_krisehandtering\" title=\"Personvernbrudd og kriseh\u00e5ndtering\">Personvernbrudd og kriseh\u00e5ndtering<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Mulighet_for_lekkasje_av_jobbsokerinformasjon\" title=\"Mulighet for lekkasje av jobbs\u00f8kerinformasjon\">Mulighet for lekkasje av jobbs\u00f8kerinformasjon<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Oppstart_av_sikkerhetstilsynskomiteen_inkludert_advokater\" title=\"Oppstart av sikkerhetstilsynskomiteen, inkludert advokater\">Oppstart av sikkerhetstilsynskomiteen, inkludert advokater<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Offentliggjoring_av_den_tredje_pressemeldingen\" title=\"Offentliggj\u00f8ring av den tredje pressemeldingen\">Offentliggj\u00f8ring av den tredje pressemeldingen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Om_muligheten_for_lekkasje_av_personlig_informasjon_fra_jobbsokere\" title=\"Om muligheten for lekkasje av personlig informasjon fra jobbs\u00f8kere\">Om muligheten for lekkasje av personlig informasjon fra jobbs\u00f8kere<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Krisekommunikasjon_basert_pa_undersokelsesresultater\" title=\"Krisekommunikasjon basert p\u00e5 unders\u00f8kelsesresultater\">Krisekommunikasjon basert p\u00e5 unders\u00f8kelsesresultater<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Offentliggjoring_av_den_fjerde_pressemeldingen\" title=\"Offentliggj\u00f8ring av den fjerde pressemeldingen\">Offentliggj\u00f8ring av den fjerde pressemeldingen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Rapporter_og_respons_om_losepenger\" title=\"Rapporter og respons om l\u00f8sepenger\">Rapporter og respons om l\u00f8sepenger<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Utgivelse_pa_relaterte_nettsteder_osv\" title=\"Utgivelse p\u00e5 relaterte nettsteder osv.\">Utgivelse p\u00e5 relaterte nettsteder osv.<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/monolith.law\/no\/general-corporate\/capcom-information-leakage-crisis-management\/#Oppsummering\" title=\"Oppsummering\">Oppsummering<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Avdekking_av_hendelsen_og_tidlig_respons\"><\/span>Avdekking av hendelsen og tidlig respons<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Hendelsen ble bekreftet den 2. november 2020.<\/p>\n\n\n\n<p>P\u00e5 dette tidspunktet ble det bekreftet en tilkoblingsfeil til bedriftssystemet, og tiltak for \u00e5 isolere systemet og forst\u00e5 skadeomfanget ble iverksatt.<\/p>\n\n\n\n<p>Samme dag ble det avdekket at \u00e5rsaken til feilen var kryptering av filer p\u00e5 nettverksutstyr som f\u00f8lge av et ransomware-angrep.<\/p>\n\n\n\n<p>P\u00e5 de ber\u00f8rte terminalene ble det oppdaget trusselmeldinger fra en gruppe som kaller seg &#8220;Ragnar Locker&#8221;.<\/p>\n\n\n\n<p>P\u00e5 dette tidspunktet hadde Capcom rapportert til politiet i Osaka og bedt om gjenopprettingsst\u00f8tte fra eksterne selskaper.<\/p>\n\n\n\n<p>N\u00e5r en hendelse oppst\u00e5r, er det selvf\u00f8lgelig n\u00f8dvendig for bedriftens kontinuitet \u00e5 raskt gjenopprette systemet. Imidlertid, hvis et ransomware-angrep er bekreftet, er det sv\u00e6rt sannsynlig at det er en s\u00e5kalt ulovlig tilgang, en handling som er forbudt under den japanske &#8220;Ulovlig tilgangsforbud-loven&#8221;.<\/p>\n\n\n\n<p>F\u00f8r det bekreftes at konfidensiell informasjon, inkludert personlig informasjon, har lekket, og f\u00f8r inntrengningsruten er identifisert, er det viktig \u00e5 raskt rapportere til politiet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Krisekommunikasjon_for_avsloring_av_informasjonslekkasje\"><\/span>Krisekommunikasjon f\u00f8r avsl\u00f8ring av informasjonslekkasje<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2021\/05\/capcom-information-leakage-crisis-management1.jpg\" alt=\"\" class=\"wp-image-33052\" \/><\/figure>\n\n\n\n<p>Og dagen etter hendelsen, den 4. november, offentliggjorde Capcom sin f\u00f8rste pressemelding, &#8220;Kunngj\u00f8ring om systemfeil for\u00e5rsaket av uautorisert tilgang&#8221;. <\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Vi har bekreftet at denne feilen skyldes uautorisert tilgang fra en tredjepart, og vi har delvis suspendert driften av v\u00e5rt interne nettverk fra samme dag. Vi beklager dypt for de store ulempene dette vil for\u00e5rsake for alle involverte. Videre er det p\u00e5 dette tidspunktet ikke bekreftet noen lekkasje av kundeinformasjon osv.<\/p>\n\n\n\n<p><\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/201104.html\">Kunngj\u00f8ring om systemfeil for\u00e5rsaket av uautorisert tilgang <\/a><\/cite><\/blockquote>\n\n\n\n<p>P\u00e5 dette tidspunktet var det bare en &#8220;systemfeil&#8221; for\u00e5rsaket av &#8220;uautorisert tilgang&#8221;, og informasjonslekkasjen hadde enn\u00e5 ikke blitt avsl\u00f8rt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Pressemelding_etter_avsloring_av_informasjonslekkasje\"><\/span>Pressemelding etter avsl\u00f8ring av informasjonslekkasje<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Antall_personopplysninger_som_kan_vaere_lekket_etc\"><\/span>Antall personopplysninger som kan v\u00e6re lekket, etc.<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Informasjonslekkasjen ble oppdaget den 12. november.<\/p>\n\n\n\n<p>Det ble bekreftet at personopplysninger fra 9 personer og noen bedriftsinformasjon hadde lekket ut.<\/p>\n\n\n\n<p>Dagen etter kontaktet Capcom et stort sikkerhetsselskap for \u00e5 unders\u00f8ke \u00e5rsaken, og den 16. november offentliggjorde de en pressemelding som bekreftet lekkasjen av informasjon.<\/p>\n\n\n\n<p>P\u00e5 dette tidspunktet,<\/p>\n\n\n\n<ul>\n<li>Informasjon der lekkasjen ble bekreftet<\/li>\n\n\n\n<li>Informasjon som kan ha lekket ut<\/li>\n<\/ul>\n\n\n\n<p>ble skilt ut, og for hver av dem,<\/p>\n\n\n\n<ul>\n<li>Personopplysninger (kunder, forretningspartnere, etc.)<\/li>\n\n\n\n<li>Personopplysninger (ansatte og relaterte parter)<\/li>\n\n\n\n<li>Bedriftsinformasjon (salgsinformasjon, forretningspartnerinformasjon, salgsmateriell, utviklingsmateriell, etc.)<\/li>\n<\/ul>\n\n\n\n<p>ble skilt ut, og det ble publisert et grovt antall.<\/p>\n\n\n\n<p>P\u00e5 dette tidspunktet ble det offentliggjort at &#8220;det er en mulighet for at opptil omtrent 350 000 kundepersonopplysninger kan ha lekket ut&#8221;.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Om_det_har_lekket_ut_kredittkortinformasjon_og_hvordan_det_handteres_etc\"><\/span>Om det har lekket ut kredittkortinformasjon og hvordan det h\u00e5ndteres, etc.<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>I tillegg, samtidig,<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>For \u00f8vrig har vi outsourcet all betaling i netthandel, etc., s\u00e5 vi har ikke kredittkortinformasjon, og det har ikke lekket ut kredittkortinformasjon.<\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/201116.html\">Melding og unnskyldning om informasjonslekkasje p\u00e5 grunn av uautorisert tilgang<\/a> <\/cite><\/blockquote>\n\n\n\n<p>ble det nevnt om det har lekket ut kredittkortinformasjon, og i tillegg,<\/p>\n\n\n\n<ul>\n<li>Hvordan de h\u00e5ndterer personer som har bekreftet at deres personopplysninger har lekket ut og de som kan ha det<\/li>\n\n\n\n<li>Hvordan de oppdaget og h\u00e5ndterte det<\/li>\n\n\n\n<li>Hvordan de vil h\u00e5ndtere det i fremtiden<\/li>\n<\/ul>\n\n\n\n<p>ble slik informasjon offentliggjort.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Veiledning_og_rad_fra_eksterne_advokater_etc\"><\/span>Veiledning og r\u00e5d fra eksterne advokater, etc.<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Og i pressemeldingen,<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Vi rapporterte situasjonen til et stort programvareselskap, en stor sikkerhetsspesialistleverand\u00f8r, og en ekstern advokat med dyp kunnskap om cybersikkerhet, og fikk veiledning og r\u00e5d. Vi vil begynne \u00e5 kontakte de som har bekreftet at informasjonen deres har lekket ut og de som er involvert, og vi vil fortsette \u00e5 unders\u00f8ke informasjonen som kan ha blitt stj\u00e5let.<\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/201116.html\">Melding og unnskyldning om informasjonslekkasje p\u00e5 grunn av uautorisert tilgang<\/a> <\/cite><\/blockquote>\n\n\n\n<p>ble ogs\u00e5 uttalt.<\/p>\n\n\n\n<p>I tillegg ble &#8220;Kontakt for personopplysninger&#8221; og &#8220;Capcom informasjonslekkasje spesifikk kontakt&#8221; forberedt som &#8220;Spillbruker kontakt&#8221; og &#8220;Generell kontakt&#8221;, begge med gratisnummer.<\/p>\n\n\n\n<p>Og det tok 4 dager fra det ble oppdaget at minst noe informasjon hadde lekket ut til pressemeldingen om informasjonslekkasjen ble offentliggjort.<\/p>\n\n\n\n<p>Dette er antatt \u00e5 v\u00e6re en n\u00f8dvendig periode for \u00e5 utf\u00f8re en viss grad av detaljert informasjonsverifisering og beslutningstaking om fremtidig h\u00e5ndtering, etc.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Personvernbrudd_og_krisehandtering\"><\/span>Personvernbrudd og kriseh\u00e5ndtering<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>I motsetning til den f\u00f8rste rapporten om &#8220;systemfeil&#8221;, vil den andre rapporten som sier &#8220;det er mulig at personlig informasjon om opptil 350 000 kunder har lekket ut&#8221;, bli omtalt i flere medier.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Capcom har blitt utsatt for et skreddersydd ransomware-angrep fra en tredjepart, og personlig informasjon som selskapsgruppen har, har lekket ut. Per 16. november er det mulig at informasjonen som kan ha lekket ut, inkludert kunder og forretningspartnere, kan v\u00e6re opptil omtrent 350 000 tilfeller. Det er ogs\u00e5 mulig at forretningsdokumenter og utviklingsdokumenter har lekket ut.<\/p>\n<cite><a href=\"https:\/\/www.bcnretail.com\/market\/detail\/20201118_200070.html\">Capcom, opptil 350 000 personopplysninger lekket ut i uautorisert tilgang &#8220;Ingen problemer med spill&#8221; &#8211; BCN+R<\/a><\/cite><\/blockquote>\n\n\n\n<p>Imidlertid, siden informasjon som &#8220;historien om oppdagelsen og responsen&#8221; og &#8220;fremtidige tiltak&#8221; ogs\u00e5 ble offentliggjort p\u00e5 tidspunktet for pressemeldingen, ble artikkelen ovenfor avsluttet med en setning som &#8220;I fremtiden vil de samarbeide med politimyndighetene, etablere en r\u00e5dgivende organisasjon for systemets sikkerhet av eksterne eksperter, og jobbe for \u00e5 forhindre at det skjer igjen. Det vil ikke v\u00e6re noen skade p\u00e5 brukere eller utenfor selskapet ved \u00e5 f\u00e5 tilgang til internett for \u00e5 spille selskapets spill eller tilgang til selskapets hjemmeside. Videre, for brukere som kan ha hatt personlig informasjon lekket ut, blir de oppfordret til \u00e5 v\u00e6re forsiktige da det kan v\u00e6re mulig at de mottar post de ikke kjenner til, eller mottar mistenkelige kontakter.&#8221;<\/p>\n\n\n\n<p>I en pressemelding etter at et personvernbrudd er oppdaget, kan det sies at det er viktig \u00e5 avsl\u00f8re en viss mengde informasjon, inkludert &#8220;historien om oppdagelsen og responsen&#8221; og &#8220;fremtidige tiltak&#8221;.<\/p>\n\n\n\n<p>Og n\u00e5r et personvernbrudd er oppdaget, er det viktig \u00e5 danne et team av eksterne eksperter, som:<\/p>\n\n\n\n<ul>\n<li>Store programvareselskaper<\/li>\n\n\n\n<li>Store sikkerhetsspesialistforhandlere<\/li>\n\n\n\n<li>Eksterne advokater med dyp kunnskap om cybersikkerhet<\/li>\n<\/ul>\n\n\n\n<p>Det er viktig \u00e5 g\u00e5 frem med \u00e5 kontakte kunder osv. hvor informasjonslekkasje er bekreftet, kriseh\u00e5ndtering PR, etc., parallelt med rene IT-tiltak som \u00e5rsaksunders\u00f8kelse.<\/p>\n\n\n\n<p>I tillegg, i tilfelle av b\u00f8rsnoterte selskaper, er det n\u00f8dvendig \u00e5 forklare aksjon\u00e6rer osv. som en del av denne kriseh\u00e5ndterings PR.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Mulighet_for_lekkasje_av_jobbsokerinformasjon\"><\/span>Mulighet for lekkasje av jobbs\u00f8kerinformasjon<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2021\/05\/capcom-information-leakage-crisis-management2.jpg\" alt=\"\" class=\"wp-image-33053\" \/><\/figure>\n\n\n\n<p>I tillegg har det blitt reist sp\u00f8rsm\u00e5l p\u00e5 sosiale medier i forbindelse med at Capcom nevnte &#8220;informasjon om jobbs\u00f8kere (omtrent 125 000)&#8221; i sin offentliggjorte pressemelding &#8220;Mulig lekkasje av informasjon&#8221; og &#8220;Personlig informasjon (kunder, forretningspartnere, etc.) opptil omtrent 350 000&#8221;. Dette er fordi Capcom hadde angitt p\u00e5 sin egen rekrutteringsside at de ville \u00f8delegge denne informasjonen.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Capcom hadde angitt p\u00e5 sin egen rekrutteringsside at &#8220;Vi vil \u00f8delegge s\u00f8knadsdokumentene til de som ikke ble ansatt eller som avslo jobbtilbudet etter intervjuet&#8221;. Det har blitt reist sp\u00f8rsm\u00e5l p\u00e5 Twitter om hvorfor personlig informasjon som skulle ha blitt \u00f8delagt, ikke ble det. Capcom forklarte at &#8220;Vi digitaliserte CV-er og andre dokumenter fra s\u00f8kere og lagret dem i en viss periode&#8221;. De beklaget og sa, &#8220;Det oppstod en misforst\u00e5else fordi vi ikke nevnte digitalisering, og uttrykket var utilstrekkelig&#8221;. Ang\u00e5ende grunnen til lagringen, forklarte de at &#8220;Noen s\u00f8kere s\u00f8ker flere ganger. Det var for \u00e5 kunne sjekke tidligere s\u00f8knadshistorikk jevnt&#8221;. Om de lagret data fra alle s\u00f8kere er &#8220;ukjent p\u00e5 dette tidspunktet&#8221;.<\/p>\n<cite><a href=\"https:\/\/www.itmedia.co.jp\/news\/articles\/2011\/20\/news141.html\">Capcom, \u00f8delegger ikke s\u00f8knadsdokumentene til de som ikke ble ansatt. Selv om det st\u00e5r &#8220;\u00d8delegger med ansvar&#8221; p\u00e5 rekrutteringssiden, er det mulighet for informasjonslekkasje p\u00e5 grunn av cyberangrep &#8211; ITmedia NEWS<\/a> <\/cite><\/blockquote>\n\n\n\n<p>Det er uklart om Capcom foruts\u00e5 at slike sp\u00f8rsm\u00e5l ville bli reist, men hvis det er mulig at informasjon som &#8220;egentlig ikke skulle eksistere (og det er forst\u00e5elig om det antas at det ikke gj\u00f8r det)&#8221; eksisterer internt og at det kan ha lekket ut, ville det v\u00e6rt bedre \u00e5 vurdere dette problemet p\u00e5 forh\u00e5nd og deretter utgi en pressemelding.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Oppstart_av_sikkerhetstilsynskomiteen_inkludert_advokater\"><\/span>Oppstart av sikkerhetstilsynskomiteen, inkludert advokater<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2021\/05\/capcom-information-leakage-crisis-management3.jpg\" alt=\"\" class=\"wp-image-33054\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Offentliggjoring_av_den_tredje_pressemeldingen\"><\/span>Offentliggj\u00f8ring av den tredje pressemeldingen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>I tillegg holdt Capcom et forberedende m\u00f8te den 21. desember for \u00e5 etablere en &#8220;Sikkerhetstilsynskomite&#8221; som en r\u00e5dgivende organisasjon for systemets sikkerhet, ledet av eksterne eksperter.<\/p>\n\n\n\n<p>\u00c5ret etter, den 12. januar 2021, offentliggjorde de den tredje pressemeldingen, &#8220;Beklagelse og informasjon om informasjonslekkasje p\u00e5 grunn av uautorisert tilgang\u3010Tredje rapport\u3011&#8221;,<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Det ble bekreftet at ytterligere 16,406 personer hadde f\u00e5tt informasjonen sin lekket, noe som bringer det totale antallet til 16,415 personer siden hendelsen startet. I tillegg ble det avdekket at det potensielt kunne v\u00e6re s\u00e5 mange som 390,000 kunder og forretningspartnere (en \u00f8kning p\u00e5 omtrent 40,000 fra forrige gang) hvis personlige informasjon kan ha lekket.<\/p>\n<\/blockquote>\n\n\n\n<p>Oppdateringer p\u00e5 informasjonen ble publisert i takt med fremdriften i unders\u00f8kelsen. I tillegg til at det ble bekreftet at kredittkortinformasjon ikke hadde lekket, ble det ogs\u00e5 sagt at,<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>For \u00e5 spille v\u00e5re spill via internettforbindelse eller kj\u00f8pe dem via nedlasting, har vi alltid brukt et system som ikke var m\u00e5let for dette angrepet, og vi har brukt eksterne tjenester eller separate eksterne servere, som vi fortsatt gj\u00f8r. Derfor er det ingen forbindelse mellom dette cyberangrepet p\u00e5 v\u00e5rt system og din internettforbindelse eller kj\u00f8p via nedlasting for \u00e5 spille v\u00e5re spill, og det vil ikke p\u00e5f\u00f8re noen skade p\u00e5 v\u00e5re kunder.<\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/210112.html\">Beklagelse og informasjon om informasjonslekkasje p\u00e5 grunn av uautorisert tilgang\u3010Tredje rapport\u3011 | Capcom Co., Ltd. <\/a><\/cite><\/blockquote>\n\n\n\n<p>Dette ble ogs\u00e5 nevnt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Om_muligheten_for_lekkasje_av_personlig_informasjon_fra_jobbsokere\"><\/span>Om muligheten for lekkasje av personlig informasjon fra jobbs\u00f8kere<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>I tillegg ble det p\u00e5 dette tidspunktet offentliggjort at det var en mulighet for lekkasje av &#8220;personlig informasjon fra omtrent 58,000 jobbs\u00f8kere&#8221;, spesifikt &#8220;ett eller flere av f\u00f8lgende: navn, adresse, telefonnummer, e-postadresse&#8221; som &#8220;informasjon der lekkasjen ble bekreftet&#8221;.<\/p>\n\n\n\n<p>Om dette punktet,<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Det ble avsl\u00f8rt i november at selskapet hadde beholdt informasjonen etter utvelgelsen i forbindelse med cyberangrepet p\u00e5 selskapet, i stedet for \u00e5 \u00f8delegge den. I begynnelsen stod det i &#8220;H\u00e5ndtering av personlig informasjon&#8221; p\u00e5 rekrutteringsnettstedet at &#8220;Vi vil \u00f8delegge den ansvarlig etter utvelgelsen&#8221;. Senere, i desember 2020, ble det lagt til en setning som sa &#8220;P\u00e5 grunn av at vi aksepterer gjeninnsending, kan det hende at vi beholder digitaliserte s\u00f8knadsdokumenter for en viss periode for \u00e5 kunne bekrefte tidligere s\u00f8knader mer smidig&#8221;. If\u00f8lge selskapet, &#8220;er s\u00f8kerens personlige informasjon fortsatt lagret i v\u00e5rt interne system, og driften har nesten ikke endret seg siden f\u00f8r uautorisert tilgang.<\/p>\n<cite><a href=\"https:\/\/www.itmedia.co.jp\/news\/articles\/2101\/13\/news075.html\">Capcom bekrefter lekkasje av personlig informasjon for 16,000 personer, og avsl\u00f8rer ogs\u00e5 muligheten for ytterligere 58,000 personer \u00e5 lekke i cyberangrepet i november 2020 &#8211; ITmedia NEWS<\/a> <\/cite><\/blockquote>\n\n\n\n<p>Dette ble rapportert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Krisekommunikasjon_basert_pa_undersokelsesresultater\"><\/span>Krisekommunikasjon basert p\u00e5 unders\u00f8kelsesresultater<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Offentliggjoring_av_den_fjerde_pressemeldingen\"><\/span>Offentliggj\u00f8ring av den fjerde pressemeldingen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Deretter holdt Capcom sitt f\u00f8rste sikkerhetstilsynsutvalg den 18. januar, det andre den 25. februar, og det tredje den 26. mars, og holdt sikkerhetstilsynsutvalg med en m\u00e5nedlig frekvens. I tillegg mottok de en unders\u00f8kelsesrapport fra et stort sikkerhetsspesialistselskap og en rapport fra et stort programvareselskap den 31. mars.<\/p>\n\n\n\n<p>Basert p\u00e5 dette, offentliggjorde de den fjerde pressemeldingen, &#8220;Rapport om resultater av unders\u00f8kelsen om uautorisert tilgang [Rapport nr. 4]&#8221; den 13. april.<\/p>\n\n\n\n<p>I denne pressemeldingen gir de en detaljert teknisk forklaring basert p\u00e5 rapportene nevnt ovenfor, inkludert en detaljert &#8220;historikk av respons&#8221;, &#8220;\u00e5rsak og omfang av skaden&#8221;, og &#8220;forbedringstiltak for \u00e5 forhindre gjentakelse&#8221;. De nevner ogs\u00e5 at de har etablert et sikkerhetstilsynsutvalg, inkludert en advokat som er ekspert p\u00e5 japansk cybersikkerhet og personvernlovgivning.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Rapporter_og_respons_om_losepenger\"><\/span>Rapporter og respons om l\u00f8sepenger<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2021\/05\/capcom-information-leakage-crisis-management4.jpg\" alt=\"\" class=\"wp-image-33055\" \/><\/figure>\n\n\n\n<p>For \u00f8vrig ble det den 1. mars rapportert at den ovennevnte cyberkriminelle gruppen &#8220;Ragnar Locker&#8221; hadde krevd omtrent 1,15 milliarder yen i l\u00f8sepenger fra Capcom.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Cyberkriminelle gruppen &#8220;Ragnar Locker&#8221; har publisert filer p\u00e5 sin egen nettside som de hevder er stj\u00e5let data fra selskaper, og har krevd 11 millioner dollar (omtrent 1,15 milliarder yen) i Bitcoin som l\u00f8sepenger. Capcom har imidlertid nektet \u00e5 betale p\u00e5 dette tidspunktet.<\/p>\n<cite><a href=\"https:\/\/diamond.jp\/articles\/-\/263660\">Capcom nekter \u00e5 betale 1,15 milliarder yen! Grunner til at l\u00f8sepenger ikke b\u00f8r betales selv ved ransomware-angrep | Sikkerhetstiltak i tele-arbeidstiden | Diamond Online<\/a> <\/cite><\/blockquote>\n\n\n\n<p>I lys av dette, i den fjerde pressemeldingen nevnt ovenfor, om l\u00f8sepenger, <\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Erkjennelse om l\u00f8sepengesummen<br>Det er sant at det var en meldingsfil fra angriperen igjen p\u00e5 utstyret som ble infisert med ransomware, og at vi ble bedt om \u00e5 ta kontakt for forhandlinger med angriperen. Imidlertid var det ingen omtale av l\u00f8sepengesummen i denne filen. Som tidligere rapportert, har vi bestemt oss for ikke \u00e5 forhandle med angriperen etter \u00e5 ha konsultert med politiet, og vi har faktisk ikke tatt noen kontakt (se pressemeldingen utgitt 16. november 2020), s\u00e5 vi er ikke klar over bel\u00f8pet.<\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/210413.html\">Rapport om resultater av unders\u00f8kelse om uautorisert tilgang\u3010Fjerde rapport\u3011 | Capcom Co., Ltd.<\/a> <\/cite><\/blockquote>\n\n\n\n<p>De har utstedt en slik uttalelse. Det antas \u00e5 v\u00e6re en respons p\u00e5 at en spesifikk sum p\u00e5 &#8220;1,15 milliarder yen&#8221; har kommet ut i rapporter som nevnt ovenfor.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Utgivelse_pa_relaterte_nettsteder_osv\"><\/span>Utgivelse p\u00e5 relaterte nettsteder osv.<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>I tillegg har Capcom samme dag publisert p\u00e5 nettsteder utenfor sitt eget bedriftsnettsted, som &#8220;CAPCOM: Shadaloo Fighter Research Institute&#8221; (en Street Fighter 5-relatert side) og &#8220;CAPCOM ONLINE GAMES&#8221;.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n[Oppf\u00f8lging] Informasjon om systemfeil i gruppesystemet<br>Takk for at du alltid bruker &#8220;Capcom Online Games (COG)&#8221;. Vi har offentliggjort den nyeste informasjonen om systemfeilen i v\u00e5rt gruppesystem, som skyldes uautorisert tilgang fra tredjepart siden tidlig morgen 2. november 2020. Vennligst sjekk her for detaljer.<\/p>\n<cite><a href=\"https:\/\/www.capcom-onlinegames.jp\/pc\/info\/info.html?news_id=3447\">Informasjonsdetaljer | Capcom Online Games<\/a> <\/cite><\/blockquote>\n\n\n\n<p>Sider som dette er publisert.<\/p>\n\n\n\n<p>Denne informasjonslekkasjen, som ble oppdaget i en tidlig fase, involverte &#8220;bruk av eksterne entrepren\u00f8rer eller separate eksterne servere&#8221;, og det ble avdekket at &#8220;det er ingen forbindelse mellom denne cyberangrepet p\u00e5 v\u00e5rt system og internettforbindelsen eller kj\u00f8pene du gj\u00f8r for \u00e5 spille spillet, og det vil ikke p\u00e5f\u00f8re skade p\u00e5 kundene v\u00e5re&#8221;.<\/p>\n\n\n\n<p>Det antas at de publiserte en utgivelse om dette p\u00e5 hvert nettsted igjen for \u00e5 unng\u00e5 \u00e5 for\u00e5rsake bekymring blant brukerne n\u00e5r de rapporterte resultatene av unders\u00f8kelsen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Oppsummering\"><\/span>Oppsummering<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Som vi har sett, i tilfeller der det har oppst\u00e5tt en stor personlig informasjonslekkasje, er det viktig \u00e5:<\/p>\n\n\n\n<ul>\n<li>Raskt rapportere hendelsen til politiet<\/li>\n\n\n\n<li>Rapportere situasjonen til en &#8216;ekstern advokat med dyp kunnskap om cybersikkerhet&#8217; og f\u00e5 veiledning og r\u00e5d<\/li>\n\n\n\n<li>Ha krisekommunikasjon h\u00e5ndtert av det ovennevnte teamet<\/li>\n<\/ul>\n\n\n\n<p>Og n\u00e5r en viss mengde informasjon har blitt samlet,<\/p>\n\n\n\n<ul>\n<li>Sette sammen en sikkerhetsoverv\u00e5kningskomit\u00e9, inkludert advokater<\/li>\n<\/ul>\n\n\n\n<p>Det kan sies at det er viktig \u00e5 h\u00e5ndtere kriseh\u00e5ndtering raskt og organisert.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Informasjonslekkasjen hos Capcom som skjedde i november 2020 (Gregoriansk kalender\u00e5r), var for\u00e5rsaket av skreddersydd ransomware, og det var en mulighet for at s\u00e5 mange som 390 000 personopplysninger  [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":62432,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[24,29],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts\/61571"}],"collection":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/comments?post=61571"}],"version-history":[{"count":2,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts\/61571\/revisions"}],"predecessor-version":[{"id":62431,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts\/61571\/revisions\/62431"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/media\/62432"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/media?parent=61571"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/categories?post=61571"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/tags?post=61571"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}