MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Zarządzanie kryzysowe i rola adwokata na przykładzie wycieku informacji w Capcom

General Corporate

Zarządzanie kryzysowe i rola adwokata na przykładzie wycieku informacji w Capcom

Wyciek informacji z Capcomu, który miał miejsce w listopadzie 2020 roku (2020 rok według kalendarza gregoriańskiego), był spowodowany ransomware’em na zamówienie, a możliwe jest, że doszło do wycieku nawet do 390 tysięcy danych osobowych.

Oczywiście, lepiej, aby incydenty nie miały miejsca, a najważniejsze jest stworzenie systemu, który zapobiega ich wystąpieniu. Niemniej jednak, niezależnie od tego, jakie środki zostaną podjęte, niemożliwe jest całkowite zredukowanie prawdopodobieństwa ich wystąpienia do zera.

Jeśli taki incydent miałby miejsce, jakie środki i badania powinny być podjęte natychmiast po jego wystąpieniu, kiedy i jak powinny być one ogłoszone?

W tym artykule, z perspektywy zarządzania kryzysowego w przypadku incydentu “wycieku danych osobowych spowodowanego przez malware”, omówimy wyciek informacji z Capcomu w porządku chronologicznym, aby nauczyć się odpowiedniego systemu zarządzania kryzysowego na podstawie reakcji firmy.

※Adwokaci mają wysokie obowiązki poufności zgodnie z japońskim prawem adwokackim w odniesieniu do spraw, w których faktycznie uczestniczyli jako adwokaci. Ten artykuł przedstawia opinie adwokata na podstawie informacji ogólnodostępnych, dotyczących przeszłych incydentów, w których nasza kancelaria nie uczestniczyła.

Wykrycie incydentu i początkowa reakcja

Incydent został potwierdzony 2 listopada 2020 roku.

W tym momencie stwierdzono awarię połączenia z systemem wewnętrznym, podjęto działania w celu odcięcia systemu i zrozumienia skali szkód.

Tego samego dnia okazało się, że przyczyną awarii było szyfrowanie plików na urządzeniach sieciowych spowodowane atakiem ransomware.

Na uszkodzonym terminalu odkryto groźbę od grupy nazywającej się “Ragnar Locker”.

W tym momencie Capcom zgłosił incydent do policji w prefekturze Osaka i poprosił zewnętrzne firmy o pomoc w przywracaniu systemu.

Podczas incydentu, pilne przywrócenie systemu jest oczywiście niezbędne dla kontynuacji działalności firmy. Jednakże, jeśli potwierdzono atak ransomware, jest to tzw. nielegalny dostęp, który jest bardzo prawdopodobnie działaniem zabronionym przez Japońską Ustawę o Zakazie Nielegalnego Dostępu.

Zanim potwierdzi się wyciek poufnych informacji, w tym danych osobowych, i zanim zidentyfikuje się drogę wtargnięcia, ważne jest, aby jak najszybciej zgłosić incydent policji.

Zarządzanie kryzysowe przed ujawnieniem wycieku informacji

A następnie, dwa dni po incydencie, 4 listopada, Capcom wydał pierwszy komunikat prasowy, “Informacja o wystąpieniu awarii systemu spowodowanej nieautoryzowanym dostępem”.

Potwierdziliśmy, że do tej awarii doszło w wyniku nieautoryzowanego dostępu od strony trzeciej, i od tego dnia częściowo wstrzymaliśmy działanie naszej wewnętrznej sieci. Przepraszamy za wszelkie niedogodności, które mogą to spowodować dla wszystkich zainteresowanych. Na tę chwilę nie potwierdziliśmy żadnego wycieku informacji klientów itp.

Informacja o wystąpieniu awarii systemu spowodowanej nieautoryzowanym dostępem [ja]

Na tym etapie mówimy tylko o “nieautoryzowanym dostępie” i “wystąpieniu awarii systemu”, a wyciek informacji nie został jeszcze ujawniony.

Informacje prasowe po wykryciu wycieku informacji

Liczba potencjalnie wyciekłych danych osobowych

Wyciek informacji został wykryty 12 listopada.

Potwierdzono wyciek 9 zestawów danych osobowych oraz niektórych informacji firmowych.

Następnego dnia, Capcom zwrócił się do czołowej firmy specjalizującej się w bezpieczeństwie z prośbą o zbadanie przyczyny, a 16 listopada opublikował informację prasową potwierdzającą wyciek informacji.

Na tym etapie,

  • potwierdzone wycieki informacji
  • potencjalne wycieki informacji

zostały rozróżnione, a także dla każdego z nich,

  • dane osobowe (klienci, kontrahenci, itp.)
  • dane osobowe (pracownicy i osoby związane)
  • informacje firmowe (informacje o sprzedaży, informacje o kontrahentach, materiały biznesowe, materiały rozwojowe, itp.)

zostały rozróżnione, a liczba przypadków została ogólnie określona.

Na tym etapie zostało ogłoszone, że “istnieje możliwość wycieku danych osobowych maksymalnie około 350 tysięcy klientów”.

Wyciek informacji o kartach kredytowych i odpowiednie działania

Równocześnie,

Chcielibyśmy zauważyć, że wszystkie nasze transakcje online są zlecone firmom zewnętrznym, więc nie przechowujemy informacji o kartach kredytowych, a więc nie doszło do wycieku takich informacji.

Informacja i przeprosiny dotyczące wycieku informacji spowodowanego nieautoryzowanym dostępem[ja]

odniesiono się do możliwości wycieku informacji o kartach kredytowych, a także,

  • działania wobec osób, u których potwierdzono wyciek danych osobowych oraz osób, u których istnieje taka możliwość
  • historia wykrycia i reakcji
  • przyszłe działania

te informacje zostały opublikowane.

Porady i wskazówki od zewnętrznych prawników itp.

W informacji prasowej,

Zgłosiliśmy sytuację do czołowej firmy produkującej oprogramowanie, czołowego dostawcy specjalizującego się w bezpieczeństwie oraz prawnika specjalizującego się w cyberbezpieczeństwie, i uzyskaliśmy ich porady i wskazówki. Rozpoczęliśmy kontakt z osobami, u których potwierdzono wyciek informacji, oraz z zainteresowanymi stronami, a także kontynuujemy śledztwo w sprawie informacji, które mogły zostać skradzione.

Informacja i przeprosiny dotyczące wycieku informacji spowodowanego nieautoryzowanym dostępem[ja]

zostało to również wyraźnie zaznaczone.

Ponadto, jako “miejsce kontaktowe dotyczące danych osobowych” i “specjalne miejsce kontaktowe dotyczące wycieku informacji Capcom”, “miejsce kontaktowe dla użytkowników gier” i “ogólne miejsce kontaktowe” zostały przygotowane jako bezpłatne numery telefonów.

Od momentu wykrycia co najmniej częściowego wycieku informacji do momentu opublikowania informacji prasowej o wycieku informacji minęły 4 dni.

Uważa się, że był to niezbędny okres na przeprowadzenie pewnego stopnia szczegółowej weryfikacji informacji i podjęcie decyzji dotyczących przyszłych działań.

Wyciek danych osobowych i zarządzanie kryzysowe

W przeciwieństwie do pierwszych informacji na temat “awarii systemu”, drugi raport mówiący o “możliwości wycieku danych osobowych maksymalnie 350 000 klientów” jest omawiany w wielu mediach.

Capcom padł ofiarą ataku ransomware na zamówienie od strony trzeciej, co spowodowało wyciek danych osobowych przechowywanych przez grupę firmy. Według stanu na 16 listopada, informacje, które mogły zostać wycieknięte, obejmują maksymalnie około 350 000 przypadków, w tym klientów i kontrahentów. Istnieje również możliwość wycieku materiałów biznesowych i rozwojowych.

Capcom, wyciek danych osobowych do 350 000 osób w wyniku nieautoryzowanego dostępu. “Brak problemów z grą” – BCN+R[ja]

Jednakże, w momencie wydania komunikatu prasowego, opublikowano również informacje na temat “przebiegu wykrycia i reakcji” oraz “przyszłych działań”, dlatego powyższy artykuł kończy się zdaniem: “W przyszłości firma zamierza współpracować z organami ścigania, a także utworzyć nową organizację doradczą ds. bezpieczeństwa systemów z udziałem zewnętrznych ekspertów, aby zapobiec powtórzeniu się incydentu. Twierdzi, że nie ma ryzyka rozszerzenia szkód na użytkowników i osoby spoza firmy poprzez dostęp do internetu w celu grania w gry firmy lub dostępu do strony internetowej firmy. Ponadto, wzywa użytkowników, którzy mogli być narażeni na wyciek danych osobowych, do zachowania ostrożności, ponieważ mogą otrzymać nieznane przesyłki pocztowe lub podejrzane kontakty.”

W komunikacie prasowym wydanym po odkryciu wycieku danych osobowych, ważne jest, aby ujawnić dość zorganizowane informacje, takie jak “przebieg wykrycia i reakcji” oraz “przyszłe działania”.

W momencie odkrycia wycieku danych osobowych, ważne jest, aby:

  • duże firmy oprogramowania
  • duże firmy specjalizujące się w bezpieczeństwie
  • zewnętrzni prawnicy specjalizujący się w cyberbezpieczeństwie

utworzyć zespół ekspertów zewnętrznych i równolegle z czysto IT-owymi środkami, takimi jak dochodzenie przyczyn, prowadzić działania takie jak kontakt z klientami, którzy mogli być narażeni na wyciek informacji, i zarządzanie kryzysowe.

Ponadto, w przypadku spółek publicznych, jako część zarządzania kryzysowego, konieczne jest również wyjaśnienie sytuacji akcjonariuszom.

Możliwość wycieku informacji o kandydatach do pracy

Wśród informacji, które mogły zostać ujawnione, jak podano w opublikowanym komunikacie prasowym, znajduje się “informacja o kandydatach do pracy (około 125 tysięcy przypadków)”. W związku z tym, że Capcom zadeklarował na swojej stronie rekrutacyjnej, że będzie niszczył te dane, pojawiły się pytania na temat tego na portalach społecznościowych.

Capcom zapewnił na swojej stronie rekrutacyjnej, że “dokumenty aplikacyjne osób, które nie zostały zatrudnione lub które odrzuciły ofertę pracy, zostaną odpowiedzialnie zniszczone po procesie rekrutacji”. Na Twitterze pojawiły się głosy kwestionujące, dlaczego informacje, które powinny zostać zniszczone, nie zostały zniszczone. Capcom przeprosił, tłumacząc, że “dane były cyfrowe i przechowywane przez pewien czas” i że “brak wzmianki o cyfryzacji i niedostateczne wyjaśnienie mogło prowadzić do nieporozumień”. Co do powodu przechowywania, wyjaśnili, że “niektórzy kandydaci aplikują wielokrotnie. Przechowywaliśmy dane, aby łatwo sprawdzić historię poprzednich aplikacji”. Na pytanie, czy wszystkie dane kandydatów były przechowywane, odpowiedzieli, że “nie jest to jasne w tym momencie”.

Capcom nie niszczy dokumentów aplikacyjnych osób, które nie zostały zatrudnione. Mimo zapewnienia na stronie rekrutacyjnej, że “niszczy odpowiedzialnie”, istnieje możliwość wycieku informacji w wyniku ataku cybernetycznego – ITmedia NEWS[ja]

Nie wiadomo, czy Capcom przewidział takie pytania, ale jeśli informacje, które nie powinny istnieć (i jest to do pewnego stopnia zrozumiałe), istnieją w firmie i mogły zostać ujawnione, lepiej byłoby wydać komunikat prasowy po przeprowadzeniu wcześniejszych rozważań na ten temat.

Założenie Komisji Nadzoru Bezpieczeństwa, w skład której wchodzi adwokat

Opublikowanie trzeciego komunikatu prasowego

Dodatkowo, 21 grudnia Capcom zorganizował spotkanie przygotowawcze w celu utworzenia “Komisji Nadzoru Bezpieczeństwa”, jako organizacji doradczej ds. bezpieczeństwa systemów, składającej się z ekspertów zewnętrznych.

Następnie, 12 stycznia 2021 roku, opublikowano trzeci komunikat prasowy zatytułowany “Informacja i przeprosiny dotyczące wycieku informacji spowodowanego nieautoryzowanym dostępem【Trzeci raport】”, w którym stwierdzono:

Stwierdzono nowy wyciek dotyczący 16 406 osób, co daje łączną liczbę 16 415 osób od momentu wystąpienia tego incydentu. Ponadto, maksymalna liczba osób, które mogły być dotknięte wyciekiem, w tym nasi klienci i partnerzy biznesowi, wynosi około 390 000 (wzrost o około 40 000 od ostatniego raportu).

Informacje te zostały zaktualizowane wraz z postępem śledztwa. Dodatkowo, potwierdzono, że informacje o kartach kredytowych nie zostały ujawnione, a także:

System, który został zaatakowany tym razem, nie był używany do połączeń internetowych lub zakupów do gry. Zamiast tego, korzystaliśmy z zewnętrznych usług lub oddzielnych serwerów, co nadal jest praktykowane. Dlatego nie ma żadnego związku między atakiem cybernetycznym na nasz system a połączeniem internetowym lub zakupem do gry, a klienci nie poniosą żadnych strat.

Informacja i przeprosiny dotyczące wycieku informacji spowodowanego nieautoryzowanym dostępem【Trzeci raport】 | Capcom Co., Ltd. [ja]

Takie oświadczenie zostało również złożone.

O możliwości wycieku danych osobowych kandydatów do pracy

Podczas tego wydarzenia, jako “informacje, które mogły zostać ujawnione”, zostały opublikowane dane osobowe “około 58 000 kandydatów do pracy”, konkretnie “jedno lub więcej z następujących: imię i nazwisko, adres, numer telefonu, adres e-mail”.

W związku z tym:

W listopadzie ujawniono, że informacje o kandydatach nie zostały zniszczone po procesie rekrutacji, ale były przechowywane w związku z atakiem cybernetycznym na firmę. Początkowo, na stronie rekrutacji w sekcji “Ochrona danych osobowych” stwierdzono, że “po procesie rekrutacji, informacje zostaną zniszczone pod naszą odpowiedzialnością”. Jednak w grudniu 2020 roku dodano zdanie, że “ze względu na możliwość ponownego zgłoszenia, możemy przechowywać dane aplikacji, w tym skonwertowane na format cyfrowy, przez pewien czas, aby ułatwić sprawdzenie poprzednich aplikacji”. Według firmy, “informacje o kandydatach są nadal przechowywane w naszym systemie wewnętrznym, a operacje są prawie takie same jak przed nieautoryzowanym dostępem.

Capcom potwierdza wyciek danych osobowych 16 000 osób, dodatkowo możliwy wyciek danych 58 000 osób – atak cybernetyczny w listopadzie 2020 roku – ITmedia NEWS[ja]

Takie doniesienia zostały opublikowane.

Zarządzanie kryzysowe oparte na wynikach śledztwa

Publikacja czwartego komunikatu prasowego

Po tym, Capcom zorganizował pierwsze spotkanie Komitetu Nadzoru Bezpieczeństwa 18 stycznia, drugie spotkanie 25 lutego, trzecie spotkanie 26 marca, utrzymując miesięczny rytm spotkań Komitetu Nadzoru Bezpieczeństwa. 31 marca otrzymali raport śledczy od wiodącej firmy specjalizującej się w bezpieczeństwie oraz raport od wiodącej firmy oprogramowania.

Na podstawie tych informacji, 13 kwietnia, opublikowali czwarty komunikat prasowy zatytułowany “Raport na temat wyników śledztwa dotyczącego nieautoryzowanego dostępu【Czwarty raport】”.

W tym komunikacie, szczegółowo omówiono “Przebieg reakcji”, “Przyczyny i zakres szkód”, “Środki wzmocnienia bezpieczeństwa w celu zapobiegania powtórzeniu się incydentu”, na podstawie powyższych raportów i innych źródeł. Wśród środków organizacyjnych wymieniono utworzenie Komitetu Nadzoru Bezpieczeństwa, w skład którego wchodzi prawnik specjalizujący się w prawie ochrony cyberbezpieczeństwa i danych osobowych.

Raporty i reakcje dotyczące okupu

W międzyczasie, 1 marca, pojawiły się doniesienia, że grupa cyberprzestępcza “Ragnar Locker” zażądała od Capcomu okupu w wysokości około 1,15 miliarda jenów.

Grupa cyberprzestępcza “Ragnar Locker” opublikowała pliki, które twierdzi, że skradła od firm, na swojej stronie internetowej i zażądała 11 milionów dolarów (około 1,15 miliarda jenów) w bitcoinach jako okupu, ale Capcom odmówił zapłaty do tej pory.

Capcom odmawia zapłaty 1,15 miliarda jenów! Dlaczego nie powinniśmy płacić okupu za ataki ransomware | Środki bezpieczeństwa w erze pracy zdalnej | Diamond Online[ja]

W odpowiedzi na to, w czwartym komunikacie prasowym, odnosząc się do okupu, stwierdzono:

W sprawie świadomości kwoty okupu
Na urządzeniach zainfekowanych ransomware pozostał plik z wiadomością od atakującego, który faktycznie zażądał kontaktu w celu negocjacji, ale plik nie zawierał informacji o kwocie okupu. Jak wcześniej informowaliśmy, po konsultacjach z policją zdecydowaliśmy się nie prowadzić negocjacji z atakującym, więc nie mieliśmy żadnego kontaktu i nie znamy kwoty (patrz komunikat prasowy z 16 listopada 2020 roku).

Raport na temat wyników śledztwa dotyczącego nieautoryzowanego dostępu【Czwarty raport】 | Capcom Co., Ltd.[ja]

To oświadczenie wydaje się być reakcją na doniesienia, które podały konkretną kwotę “1,15 miliarda jenów”.

Publikacje na powiązanych stronach

Ponadto, tego samego dnia, Capcom opublikował na swojej stronie korporacyjnej oraz na innych stronach, takich jak “CAPCOM: Shadaloo Combat Research Institute” (strona powiązana ze Street Fighter 5) i “CAPCOM ONLINE GAMES”,

[Aktualizacja] Informacje na temat awarii systemu grupy
Dziękujemy za korzystanie z “Capcom Online Games (COG)”. Opublikowaliśmy najnowsze informacje na temat awarii systemu grupy spowodowanej nieautoryzowanym dostępem od osób trzecich, który rozpoczął się w nocy 2 listopada 2020 roku. Szczegóły można znaleźć tutaj.

Szczegóły informacji | Capcom Online Games[ja]

Strony takie jak ta.

Wyniki śledztwa wykazały, że jak wcześniej ujawniono, wyciek informacji nastąpił poprzez “zewnętrzne zlecenie lub korzystanie z zewnętrznego serwera”, a “atak cybernetyczny na nasz system nie ma nic wspólnego z połączeniem internetowym lub zakupem przez pobieranie potrzebnym do grania w grę, więc nie ma szkód dla klientów”, ale

W momencie zgłaszania wyników śledztwa, aby nie powodować niepokoju wśród użytkowników, ponownie opublikowano informacje na ten temat na każdej stronie.

Podsumowanie

Jak widać, w przypadku wystąpienia dużych wycieków danych osobowych, kluczowe jest:

  • szybkie zgłoszenie incydentu policji,
  • zgłoszenie sytuacji “zewnętrznym prawnikom specjalizującym się w cyberbezpieczeństwie” i uzyskanie od nich wskazówek i porad,
  • zarządzanie kryzysowe i komunikacja zewnętrzna prowadzona przez powyższy zespół.

Gdy już zgromadzimy pewną ilość informacji, ważne jest również:

  • utworzenie komitetu nadzoru bezpieczeństwa, w skład którego wchodzi prawnik.

Można więc powiedzieć, że szybkie i zorganizowane zarządzanie kryzysowe jest kluczowe.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Wróć do góry