MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Zarządzanie kryzysowe i rola adwokata na przykładzie wycieku 650 000 informacji w firmie Tōken Corp.

General Corporate

Zarządzanie kryzysowe i rola adwokata na przykładzie wycieku 650 000 informacji w firmie Tōken Corp.

1 kwietnia 2005 roku (rok 2005 w kalendarzu gregoriańskim) w pełni weszła w życie Japońska Ustawa o Ochronie Danych Osobowych. Mimo że przedsiębiorstwa zajmujące się przetwarzaniem danych osobowych są zobowiązane do podjęcia środków zabezpieczających, incydenty związane z wyciekiem danych osobowych nadal mają miejsce.

W przypadku wystąpienia incydentu związanego z wyciekiem informacji, szczególnie ważne są procedury reagowania i szybkość działania. W szczególności w małych i średnich przedsiębiorstwach, które nie mają specjalistów ds. bezpieczeństwa informacji, może wystąpić sytuacja, w której nie jest możliwe natychmiastowe podjęcie decyzji o odpowiednim działaniu.

W związku z tym, na podstawie reakcji korporacji Tōken na incydent związany z wyciekiem informacji, omówimy system zarządzania kryzysowego w przypadku wycieku informacji.

Podsumowanie wycieku informacji

Główne informacje dotyczące wycieku informacji spowodowanego nieautoryzowanym dostępem, który miał miejsce w firmie Tōken Corporation, są następujące:

  • Data zdarzenia: od 20 sierpnia do 12 września 2020 roku (24 dni)
  • Data wykrycia: 20 października 2020 roku
  • Przyczyna: Nieautoryzowany dostęp do serwera przechowującego różne informacje użytkowników z głównej strony grupy
  • Osoby dotknięte: osoby kontaktujące się ze stroną firmy z grupy, członkowie, osoby aplikujące do różnych kampanii
  • Informacje: “Adres e-mail”, “Imię i nazwisko”, “Adres”, “Numer telefonu”, “Hasło”, “Płeć”, “Data urodzenia” itp.
  • Liczba przypadków: Możliwy wyciek dotyczy 657 096 przypadków danych osobowych

Odkrycie nieautoryzowanego dostępu i pierwsze reakcje

20 października 2020 roku, podczas rutynowej kontroli strony internetowej, firma Tōken Corporation odkryła nieautoryzowany dostęp do swojej strony “Nasurak Kitchen”. Podjęto następujące działania:

  • Jako pilną reakcję na zagrożenie bezpieczeństwa, zamknięto stronę “Nasurak Kitchen” i wstrzymano wszelkie usługi oferowane przez tę stronę.
  • Utworzono “Biuro ds. Bezpieczeństwa Informacji” i skonsultowano się z zewnętrznymi organami trzecimi.
  • Do 11 listopada przeprowadzono badanie wszystkich stron internetowych grupy, podjęto tymczasowe działania w celu naprawy identyfikowanych luk w zabezpieczeniach i ustalono maksymalną liczbę i rodzaj wycieków informacji.

Kluczowe punkty pierwszej reakcji

Jeśli potwierdzi się ryzyko wycieku informacji z powodu nieautoryzowanego dostępu, należy natychmiast podjąć następujące działania, aby zapobiec rozszerzeniu się szkód, powstaniu szkód wtórnych i powtórzeniu incydentu:

  • Potwierdzenie faktów (przyczyny nieautoryzowanego dostępu, ścieżki itp.)
  • Zatrzymanie urządzeń lub stron, które były przedmiotem nieautoryzowanego dostępu
  • Odłączenie urządzeń lub stron, które były przedmiotem nieautoryzowanego dostępu, od sieci

W tym momencie należy zwrócić uwagę na to, aby nie podejmować nieprzemyślanych działań i nie usuwać dowodów pozostawionych w systemie, ale podjąć środki mające na celu zachowanie dowodów.

Informacje prasowe po wykryciu wycieku informacji

Pierwsze ogłoszenie zostało opublikowane 17 listopada 2020 roku na stronie internetowej korporacji Tōken (japońska firma budowlana).

Ogłoszenie zawierało szczegółowe informacje na temat nieautoryzowanego dostępu, przyszłych środków zaradczych, a także “Q&A dotyczące incydentu wycieku informacji spowodowanego nieautoryzowanym dostępem”.

Korporacja Tōken oraz nasze spółki zależne (zwane dalej “naszą grupą”) potwierdziły 20 października 2020 roku, że nasza sieć została naruszona przez nieautoryzowany dostęp osób trzecich, co mogło skutkować wyciekiem do zewnętrznych źródeł danych osobowych, takich jak zapytania do Home Mate (japoński serwis nieruchomości) prowadzonego przez naszą grupę, informacje o członkach spółek zależnych i informacje o osobach aplikujących do różnych kampanii.

O wycieku danych osobowych spowodowanym nieautoryzowanym dostępem[ja]

Na stronie internetowej, do której prowadzi powyższy link, “Q&A dotyczące incydentu wycieku informacji spowodowanego nieautoryzowanym dostępem”[ja] zawiera następujące informacje:

Na temat treści wyciekłych informacji

Q Jakie informacje wyciekły tym razem?
A Uważamy, że “imię”, “adres”, “numer telefonu”, “adres e-mail” i “hasło” mogły wyciec na wszystkich stronach, które prowadzimy, w tym nasze spółki zależne.

Q Czy wyciekły informacje o karcie kredytowej?
A Na stronach prowadzonych przez naszą firmę, w tym nasze spółki zależne, nie przechowujemy żadnych informacji takich jak numery kart kredytowych czy numery identyfikacyjne osób, więc nie ma ryzyka wycieku.

W wyjaśnieniach dotyczących wycieku informacji, można uniknąć niepotrzebnego niepokoju i zamieszania, dzieląc informacje na ① te, które mogą wyciec, i ② te, które nie mają ryzyka wycieku, i wyjaśniając je konkretnie.

Na temat przyszłych środków zaradczych

Q Czy mogę nadal korzystać z witryn, w tym spółek zależnych Tōken, w przyszłości?
A Wszystkie strony prowadzone przez naszą firmę, w tym nasze spółki zależne, już zakończyły wzmocnienie bezpieczeństwa przeciwko podobnym nieautoryzowanym dostępom.

Q Jakie środki zaradcze dotyczące zarządzania informacjami planujecie podjąć w przyszłości?
A W przyszłości, w razie potrzeby, będziemy poddawać się kontroli przez zewnętrzne agencje badawcze, a jeśli zostaną znalezione jakiekolwiek luki w naszych stronach, natychmiast je naprawimy i będziemy dążyć do bardziej rygorystycznego zarządzania informacjami.

W przyszłych środkach zaradczych ważne jest, aby dokładnie wyjaśnić odpowiedź na bezpieczeństwo stron, które użytkownicy używali, możliwość ponownego użycia i przyszły system zarządzania informacjami.

Q&A na temat odszkodowań za szkody

Q Czy osoby, które ucierpiały z powodu wycieku informacji, otrzymają odszkodowanie, takie jak pieniądze za przeprosiny czy odszkodowanie za kłopoty?
A Na podstawie informacji, które wyciekły z powodu tego nieautoryzowanego dostępu, nie planujemy płacić pieniędzy za przeprosiny czy odszkodowania za kłopoty. Jednakże, jeśli w wyniku tego wycieku informacji klient poniesie jakiekolwiek straty finansowe i przedstawi konkretne dowody, prosimy o kontakt z naszym “Biurem ds. Konsultacji dotyczących Danych Osobowych”.

Q Zauważyłem nieznane obciążenie. Czy mogę otrzymać odszkodowanie?
A Jeśli z konta, które posiadasz, zostało dokonane nieznane obciążenie, prosimy o bezpośredni kontakt z firmą, która dokonała obciążenia. Ponadto, jeśli stwierdzono, że nieznane obciążenie jest wynikiem tego wycieku informacji, prosimy o zgłoszenie tego do naszego “Biura ds. Konsultacji dotyczących Danych Osobowych”, mimo że to może być kłopotliwe.

Chociaż nie planujemy płacić odszkodowania za przeprosiny czy kłopoty, jasno określamy naszą politykę dotyczącą odszkodowań za szkody finansowe spowodowane wyciekiem informacji na podstawie indywidualnych konsultacji.

Wątpliwości co do momentu pierwszego komunikatu prasowego

W zarządzaniu kryzysowym przedsiębiorstwa, musimy przede wszystkim myśleć o “zminimalizowaniu szkód”, “zapobieganiu wtórnym szkodom” i “zapobieganiu powtórzeniu się incydentu”.

Dlatego też, gdy wykryty zostanie wyciek informacji, ważne jest, aby jak najszybciej powiadomić zainteresowane strony po przeprowadzeniu początkowej reakcji.

Chociaż Q&A Tōken Corporation odpowiada dokładnie na przewidywane pytania na szeroką skalę, co sugeruje, że zostało starannie przygotowane w konsultacji z ekspertami, takimi jak prawnicy, pozostają wątpliwości co do ogłoszenia około miesiąca po wykryciu nieautoryzowanego dostępu.

Chociaż z pewnością firma chciałaby ogłosić to po przeprowadzeniu dochodzenia i podjęciu środków zaradczych, czy następujące cztery punkty nie powinny być ogłoszone wcześniej jako pierwsze raporty?

  • Wykrycie wycieku informacji i przewidywane osoby dotknięte
  • Treść wyciekłych danych osobowych
  • Brak możliwości wycieku informacji kredytowych, takich jak numery kart
  • Przyszły system i harmonogram
  • Punkt kontaktowy

Kluczowe aspekty powiadomień, zgłoszeń i publikacji

W przypadku wycieku informacji, w zależności od przyczyny i treści informacji, konieczne może być rozważenie powiadomienia użytkowników, partnerów handlowych itp., zgłoszenia do organów nadzorczych i policji, oraz publikacji na stronie internetowej lub w mediach.

W przypadku potencjalnej przestępczości

Jeśli istnieje możliwość, że nieautoryzowany dostęp jest przestępstwem, po zbadaniu faktów i podjęciu środków ochrony dowodów, należy jak najszybciej zgłosić to policji.

W przypadku korporacji Tōken, zgłoszenie szkód do odpowiednich organów, takich jak Ministerstwo Infrastruktury, Transportu i Turystyki (japońskie: Kokudo Kōtsū-shō) oraz Prefekturalne Biuro Policji w Aichi, zostało złożone następnego dnia po zakończeniu badania całej strony internetowej grupy.

W przypadku potencjalnego wycieku informacji osobistych

W przypadku potencjalnego wycieku takich informacji jak numer My Number, numer karty kredytowej, numer konta bankowego, ID, hasło itp., konieczne jest jak najszybciej powiadomienie osoby, której dane dotyczą, i zachęcenie do zablokowania tych informacji, aby zapobiec dalszym szkodom.

W przypadku dużego zakresu lub skali wpływu, lub gdy indywidualne powiadomienie wszystkich zainteresowanych stron jest trudne

Informacje są publikowane na stronie internetowej lub podczas konferencji prasowej. Jednakże, jeśli istnieje ryzyko, że publikacja może prowadzić do rozszerzenia szkód, należy rozważyć moment i grupę docelową publikacji.

Ponadto, zapewnienie przejrzystości i ujawnienie jak największej ilości faktów podczas publikacji, przyczynia się do budowania zaufania do firmy, a także pomaga zapobiegać rozszerzaniu się szkód i powtarzaniu się podobnych incydentów.

Publikacja drugiego komunikatu prasowego

9 lutego 2021 roku, tuż po rozpoczęciu nowego roku, korporacja Tōken (Japońska Korporacja Tōken) opublikowała na swojej stronie internetowej drugi raport na temat wycieku danych osobowych, wprowadzając poprawki do informacji o rodzaju i liczbie wycieków.

W wyniku ponownego badania rodzaju wycieków przeprowadzonego przez niezależną instytucję forensyczną, stwierdzono pewne różnice. Prosimy o zapoznanie się z nimi w załączniku 1 “Informacje dotyczące poszczególnych stron i usług”. (…) Liczba wycieków wynosi teraz maksymalnie 655 488, w porównaniu do wcześniejszego szacunku 657 096.

Poza powyższymi poprawkami, treść była w dużej mierze taka sama jak w pierwszym komunikacie prasowym, z dodatkiem informacji na temat sposobów radzenia sobie z niechcianymi i podejrzanymi wiadomościami e-mail. Ten komunikat był ostatnim w tej sprawie.

Siedziba główna jako centrum zarządzania kryzysowego

Po wykryciu nieautoryzowanego dostępu, firma Tōken Corporation utworzyła “Departament Bezpieczeństwa Informacji”, który współpracuje z zewnętrznymi organami trzecimi i policją, dążąc do zapobiegania powtórzeniu incydentu.

Nie jest jasne, jak jest zorganizowana ta jednostka, ale oprócz środków bezpieczeństwa systemu, konieczne jest jednoczesne prowadzenie działań takich jak kontakt z użytkownikami, obsługa mediów, reakcja na akcjonariuszy, rozważanie odpowiedzialności prawnej. W związku z tym, zazwyczaj wymagane jest zaangażowanie następujących zewnętrznych organów trzecich i specjalistów:

  • duże firmy oprogramowania
  • duzi dostawcy specjalizujący się w bezpieczeństwie
  • zewnętrzni prawnicy specjalizujący się w cyberbezpieczeństwie

Podsumowanie

W przypadku, gdy, jak tym razem, wykryto wyciek dużej ilości danych osobowych, przekraczającej 650 tysięcy, kluczowe staje się “pierwsze reagowanie” oraz “powiadamianie, raportowanie i publikowanie” skoncentrowane wokół sztabu kryzysowego i “środki bezpieczeństwa”.

Szybkość jest wymagana nie tylko w pierwszej reakcji, ale także w powiadamianiu i raportowaniu do policji i odpowiednich agencji rządowych, a także w publikowaniu informacji dla zainteresowanych stron (przez komunikaty prasowe).

Jednakże, jeśli podejście do problemu jest błędne, istnieje ryzyko, że zostanie się pociągniętym do odpowiedzialności odszkodowawczej, dlatego zalecamy, aby nie podejmować decyzji samodzielnie, ale konsultować się z prawnikiem o bogatym doświadczeniu i wiedzy na temat cyberbezpieczeństwa.

Jeśli jesteś zainteresowany zarządzaniem kryzysowym w przypadku wycieku informacji spowodowanego przez złośliwe oprogramowanie Capcom, zapraszamy do zapoznania się z naszym artykułem, w którym omawiamy ten temat szczegółowo.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Informacje o środkach podjętych przez naszą kancelarię

Kancelaria prawna Monolis specjalizuje się w IT, zwłaszcza w aspektach prawnych internetu. W naszej kancelarii tworzymy i przeglądamy umowy dla różnych spraw, od firm notowanych na pierwszym rynku Giełdy Papierów Wartościowych w Tokio do startupów. Jeśli masz jakiekolwiek problemy, zapoznaj się z poniższym artykułem.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Wróć do góry