Zarządzanie kryzysowe i rola adwokata na przykładzie wycieku informacji na Uniwersytecie Keio
Wyciek informacji spowodowany nielegalnym dostępem występuje nie tylko w firmach, ale także w środowisku edukacyjnym, jednak odpowiedź na to wydaje się nieco różnić od tej stosowanej w firmach.
Szczególnie w przypadku informacji osobowych, które są głównie skoncentrowane na studentach i personelu, tendencja jest taka, że publikacja informacji w przypadku incydentu wycieku informacji jest ograniczona do określonego zakresu.
Jednakże, zarówno firmy jak i szkoły nie różnią się pod względem ochrony informacji osobowych, a podstawy zarządzania kryzysowego w przypadku wycieku informacji są takie same.
W związku z tym, tym razem, z perspektywy zarządzania kryzysowego w przypadku incydentu polegającego na wycieku informacji osobowych spowodowanym nielegalnym dostępem, wyjaśnimy kluczowe punkty systemu zarządzania kryzysowego na podstawie reakcji na incydent wycieku informacji na kampusie Shonan Fujisawa Uniwersytetu Keio (zwanej dalej Keio SFC).
Podsumowanie incydentu związane z wyciekiem informacji na Keio SFC
Główne punkty dotyczące wycieku informacji spowodowanego nieautoryzowanym dostępem, który miał miejsce na Keio SFC, są następujące:
- Odkrycie wycieku: W nocy 29 września 2020 roku odkryto możliwość wycieku informacji spowodowanego nieautoryzowanym dostępem do systemu wsparcia dla zajęć (SFC-SFS)※.
※SFC-SFS to system, który posiada funkcje takie jak: wysyłanie masowych e-maili do uczestników kursu, pobieranie listy uczestników kursu, rejestracja zadań i raportów, przyjmowanie zgłoszeń, rejestracja ocen (komentarzy), wprowadzanie i przeglądanie komentarzy do ankiety na temat zajęć. - Przyczyna wycieku: 19 identyfikatorów i haseł użytkowników systemu zostało skradzionych, a następnie wykorzystanych przez osoby trzecie do nielegalnego dostępu do systemu. Uważa się, że główną przyczyną była podatność systemu SFC-SFS.
- Zakres wycieku: Dane osobowe studentów i personelu zarządzane przez kampus Shonan Fujisawa.
- Zawartość wycieku: Oprócz “nazwiska”, “adresu”, “nazwy konta” i “adresu e-mail”, w przypadku studentów zawierało to również “zdjęcie twarzy”, “numer indeksu”, “informacje o zdobytych kredytach”, “data rozpoczęcia studiów”, a w przypadku personelu “numer pracownika”, “stanowisko”, “profil”, “dane osobiste e-mail”.
- Liczba przypadków wycieku: Możliwość wycieku informacji dotyczy około 33 000 przypadków.
Wykrycie nieautoryzowanego dostępu i pierwsze reakcje
15 września o godzinie 17:45, w dziale IT Keio SFC, stwierdzono ślady sporadycznego skanowania podatności systemu SFC-SFS.
Następnie, wieczorem 28 września, wykryto podejrzane działania w systemie SFC-SFS. Po przeprowadzeniu śledztwa, wczesnym rankiem 29 września, stwierdzono możliwość wycieku informacji spowodowanego nieautoryzowanym dostępem.
Keio SFC rozpoczęło następujące działania zaraz po wykryciu skanowania podatności, które jest oznaką nieautoryzowanego dostępu:
- Poproszenie wszystkich użytkowników o zmianę hasła (16 września, 30 września)
- Ciągłe monitorowanie wszystkich punktów uwierzytelniania i logów uwierzytelniania (od 16 września)
- Ograniczenie logowania do wspólnego serwera obliczeniowego z zewnątrz tylko do uwierzytelniania kluczem publicznym (16 września)
- Zatrzymanie usług internetowych, w których stwierdzono podatności, i naprawa miejsc podatności (w trakcie realizacji) (od 16 września, SFC-SFS 29 września)
- Zatrzymanie systemu SFC-SFS (29 września)
O pierwszych reakcjach Keio SFC
Podstawowym działaniem po wykryciu nieautoryzowanego dostępu jest utworzenie zespołu zarządzania kryzysowego. W tym przypadku, wydaje się, że dział IT pod kierownictwem pana Kuniyo, Członka Stałego Zarządu Keio i Najwyższego Oficera ds. Informacji i Bezpieczeństwa Informacji, pełnił rolę zespołu zarządzania kryzysowego.
Ważne jest, aby podczas pierwszych reakcji “izolować informacje”, “blokować sieć” i “zatrzymać usługi” w celu zapobiegania rozprzestrzenianiu się szkód i powstawaniu szkód wtórnych. W przypadku Keio SFC, ze względu na to, że użytkownikami systemu są głównie studenci i personel, priorytetem jest zmiana haseł i ograniczenie metod logowania.
Jednakże, fakt, że podjęto działania natychmiast po wykryciu oznak nieautoryzowanego dostępu, a także zatrzymanie systemu SFC-SFS 29 września, kiedy stwierdzono możliwość wycieku informacji, można uznać za odpowiednie zarządzanie kryzysowe.
Co do pierwszych reakcji Keio SFC, niepokoi mnie, czy po podjęciu działań mających na celu zachowanie dowodów na nielegalny dostęp, zgłoszono to do odpowiednich organów nadzorczych i policji. Nie jest to jednak możliwe do potwierdzenia, ponieważ nie ma o tym żadnych informacji w komunikatach prasowych czy mediach.
O powiadamianiu zainteresowanych stron
Powiadomienia dla studentów i personelu Keio SFC zostały przekazane w formie e-maili z informacjami o pracy, a pierwsze wzmianki o wycieku danych osobowych pojawiły się prawdopodobnie w e-mailu z 30 września.
29 września, personel Keio SFC został poinformowany, że z powodu “poważnej awarii” system SFC-SFS zostanie zatrzymany.
30 września, wszystkim użytkownikom SFC-SFS zasugerowano zmianę hasła, ponieważ istniała możliwość, że “informacje o koncie użytkownika” mogły zostać ujawnione z powodu tej awarii.
Personel został również poinformowany, że z powodu zatrzymania SFC-SFS, nie będzie możliwe przeprowadzenie wyboru studentów i kontaktu ze studentami zgodnie z planem, co spowoduje przerwę w zajęciach na pewien czas.
J-CAST News dowiedział się o tych informacjach i tego samego dnia opublikował artykuł zatytułowany “Poważna awaria systemu zajęć w Keio SFC, początek semestru jesieni opóźniony o tydzień”, w którym ujawniono wyciek “informacji o koncie użytkownika”.
1 października, na stronie internetowej Keio SFC, studenci zostali poinformowani, że system SFC-SFS został zatrzymany 29 września z powodu możliwości nieautoryzowanego dostępu, a w związku z tym zajęcia zostaną zawieszone od 1 do 7 października. (Nie ma wzmianki o wycieku danych osobowych)
Informacja prasowa po wykryciu wycieku informacji
Pierwsze publiczne ogłoszenie o wycieku danych osobowych spowodowanym nieautoryzowanym dostępem miało miejsce 10 listopada na stronie internetowej.
Tym razem, w systemie sieci informacyjnej kampusu Shonan Fujisawa (SFC-CNS) oraz systemie wsparcia dydaktycznego (SFC-SFS), identyfikatory i hasła 19 użytkowników (pracowników naukowych) zostały skradzione w jakiś sposób, a następnie wykorzystane do nieautoryzowanego dostępu z zewnątrz i ataku wykorzystującego podatności systemu wsparcia dydaktycznego (SFC-SFS), co mogło skutkować wyciekiem danych osobowych użytkowników z tego systemu. Przepraszamy za wszelkie niedogodności i zmartwienia, które mogło to spowodować. Na razie nie stwierdzono żadnych wtórnych szkód.
Keio Gijuku “Wyciek danych osobowych spowodowany nieautoryzowanym dostępem do SFC-CNS i SFC-SFS”[ja]
W informacji prasowej zawarto również szczegółowe informacje na następujące tematy:
- Rodzaj danych osobowych, które mogły zostać ujawnione
- Okoliczności wykrycia wycieku
- Przyczyna wycieku
- Działania podjęte po wykryciu wycieku
- Aktualna sytuacja
- Środki zapobiegające powtórnemu wyciekowi
Powyższe punkty praktycznie wyczerpują listę elementów, które powinny znaleźć się w materiałach publicznych dotyczących wycieku informacji.
Informacja prasowa Keio SFC
Czas publikacji informacji prasowej
W normalnych okolicznościach, Keio SFC powinno było ogłosić to samodzielnie jako pierwsze, jednak fakt, że ogłosili to 41 dni po raporcie J-CAST News, jest nie do zaakceptowania.
Dlatego, że w przypadku wycieku danych osobowych, konieczne jest szybkie powiadomienie osoby, której dane wyciekły, aby zapobiec wtórnym szkodom.
Jednakże, jeżeli podczas prośby o zmianę hasła 30 września poinformowano o konkretnych szczegółach “informacji o koncie użytkownika”, to nie ma problemu.
Ostrzeżenie przed oszustwami i działaniami drażniącymi
W informacji prasowej po wykryciu wycieku informacji, należy ogłosić fakt wycieku informacji, poinformować i przeprosić osobę, której dane osobowe zostały ujawnione, oraz ostrzec przed możliwością oszustw i działań drażniących.
Jeżeli informacje z zamkniętego kampusu wyciekły na zewnątrz, istnieje ryzyko ich nadużycia, a w tym przypadku konieczne jest ostrzeżenie przed oszustwami i działaniami drażniącymi.
Siedziba główna jako centrum zarządzania kryzysowego
Keio SFC opisuje siedzibę główną w swoim komunikacie prasowym na temat “środków zapobiegających powtórzeniu” następująco:
W Keio Gijuku, w związku z tym incydentem nieautoryzowanego dostępu, natychmiast podejmiemy działania mające na celu zapobieganie powtórzeniu, takie jak sprawdzanie i poprawianie bezpieczeństwa aplikacji internetowych i systemów na całym uniwersytecie, przeglądanie sposobów obsługi informacji osobistych itp. Ponadto, z dniem 1 listopada 2020 roku (rok 2020 według kalendarza gregoriańskiego), utworzyliśmy wewnątrz uczelni CSIRT (Zespół ds. Reagowania na Incydenty Bezpieczeństwa Informacji), i będziemy dążyć do dalszego zwiększenia bezpieczeństwa na całym uniwersytecie, tworząc organizację, która może podejmować kompleksowe działania w zakresie cyberbezpieczeństwa, a także współpracując z zewnętrznymi specjalistycznymi instytucjami.
Wygląda na to, że wstępna reakcja na ten incydent była realizowana przez wewnętrzną organizację Keio SFC, która pełniła rolę siedziby głównej. Jednak “CSIRT”, który został utworzony 1 listopada 2020 roku, jest organizacją odpowiadającą za siedzibę główną, która stanie się centrum zarządzania kryzysowego w przypadku wzmocnienia bezpieczeństwa i przyszłych incydentów.
Nie jest jasne, kto jest członkiem CSIRT, ale oprócz środków bezpieczeństwa systemu, konieczne jest jednoczesne prowadzenie działań takich jak kontakt z użytkownikami, raportowanie do organów nadzorczych i policji, obsługa mediów, rozważanie odpowiedzialności prawnej itp. Dlatego zazwyczaj wymagane jest udział następujących zewnętrznych organów trzecich i ekspertów:
- duże firmy oprogramowania
- duzi dostawcy specjalizujący się w bezpieczeństwie
- zewnętrzni prawnicy specjalizujący się w cyberbezpieczeństwie
Podsumowanie
Nawet w przypadku, gdy, jak w tym przypadku, wykryto wyciek informacji osobistych w środowisku edukacyjnym, ważne są odpowiednie “pierwsze reakcje” oraz “powiadomienia, raporty i publikacje” skoncentrowane wokół sztabu kryzysowego, a także “środki bezpieczeństwa” po tym.
Szczególnie szybkość jest wymagana nie tylko w pierwszej reakcji, ale także w powiadomieniach i raportach do policji i odpowiednich agencji rządowych, powiadomieniach do osoby zainteresowanej (przeprosiny) oraz publikacji w odpowiednim momencie.
Jednakże, jeśli popełnisz błąd w procedurach lub sposobach radzenia sobie z sytuacją, możesz być pociągnięty do odpowiedzialności odszkodowawczej, dlatego zalecamy konsultację z prawnikiem o bogatych wiedzy i doświadczeniu w zakresie cyberbezpieczeństwa, zamiast podejmować decyzje na własną rękę.
Jeśli jesteś zainteresowany zarządzaniem kryzysowym podczas wycieku informacji spowodowanego przez malware Capcom, zapraszamy do zapoznania się z naszym artykułem, w którym omawiamy ten temat szczegółowo.
https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]
Informacje o środkach podjętych przez naszą kancelarię
Kancelaria prawna Monolis specjalizuje się w IT, a w szczególności w prawie internetowym. W naszej kancelarii przeprowadzamy kontrole prawne dla różnych spraw, od firm notowanych na pierwszym rynku Giełdy Papierów Wartościowych w Tokio (Tokyo Stock Exchange Prime) do startupów. Proszę zapoznać się z poniższym artykułem.