Português English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_pt/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Dias da semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Aprender sobre gestão de crises e o papel dos advogados com o vazamento de informações da Universidade Keio

Aprender sobre gestão de crises e o papel dos advogados com o vazamento de informações da Universidade Keio

General Corporate

Aprender sobre gestão de crises e o papel dos advogados com o vazamento de informações da Universidade Keio

A fuga de informações devido a acessos não autorizados ocorre não apenas em empresas, mas também no ambiente educacional, embora a resposta pareça ser um pouco diferente das empresas.

Em particular, no que diz respeito a informações pessoais, os estudantes e funcionários são geralmente o foco, por isso, quando ocorre um incidente de fuga de informações, a divulgação de informações tende a ser realizada num âmbito limitado.

No entanto, a proteção de informações pessoais não muda, seja em empresas ou escolas, e os princípios básicos de gestão de crises em caso de fuga de informações são os mesmos.

Portanto, desta vez, a partir da perspectiva da gestão de crises em relação a incidentes de fuga de informações pessoais devido a acessos não autorizados, explicaremos os pontos chave do sistema de gestão de crises com base na resposta ao incidente de fuga de informações no campus de Shonan Fujisawa da Universidade Keio (doravante, Keio SFC).

Resumo do incidente de vazamento de informações na Keio SFC

O principal conteúdo relacionado ao vazamento de informações devido ao acesso não autorizado que ocorreu na Keio SFC é o seguinte:

  • Detecção do vazamento: A possibilidade de vazamento de informações devido ao acesso não autorizado ao sistema de apoio ao ensino (SFC-SFS) foi descoberta na madrugada de 29 de setembro de 2020.
    ※ O SFC-SFS é um sistema que possui funções como envio de e-mails em massa para estudantes, download de listas de estudantes, registro de relatórios e tarefas, recebimento de submissões, registro de notas (comentários), entrada e visualização de comentários de pesquisa de aulas.
  • Causa do vazamento: Os IDs e senhas de 19 usuários do sistema foram roubados e usados ​​indevidamente por terceiros para invadir o sistema. Acredita-se que a vulnerabilidade do SFC-SFS seja a principal causa.
  • Âmbito do vazamento: Informações pessoais de estudantes e funcionários gerenciados pelo Campus Shonan Fujisawa
  • Conteúdo do vazamento: Além de “nome”, “endereço”, “nome de usuário”, “endereço de e-mail”, no caso de estudantes, inclui “foto do rosto”, “número de matrícula”, “informações de crédito adquirido”, “data de admissão”, etc., e no caso de funcionários, inclui “número de funcionário”, “posição”, “perfil”, “dados de e-mail pessoal”, etc.
  • Número de casos de vazamento: O número de casos possíveis de vazamento de informações é de cerca de 33.000

Detecção de acesso não autorizado e resposta inicial

No dia 15 de setembro, por volta das 17:45, foram identificados indícios de exploração de vulnerabilidades no sistema SFC-SFS do departamento de TI da Keio SFC.

Além disso, na noite de 28 de setembro, foram detetados acessos suspeitos ao sistema SFC-SFS. Após investigação, na madrugada de 29 de setembro, foi confirmada a possibilidade de vazamento de informações devido a acesso não autorizado.

A Keio SFC iniciou as seguintes respostas iniciais no dia seguinte à confirmação da exploração de vulnerabilidades, um prenúncio de acesso não autorizado:

  • Solicitação de alteração de senha para todos os utilizadores (16 de setembro, 30 de setembro)
  • Monitorização contínua de todos os pontos de autenticação e logs de autenticação (continuando desde 16 de setembro)
  • Restrição do login ao servidor compartilhado a partir de fora da escola apenas para autenticação de chave pública (16 de setembro)
  • Desativação dos serviços web onde a vulnerabilidade foi confirmada e reparação dos pontos vulneráveis (em andamento) (sequencialmente desde 16 de setembro, SFC-SFS em 29 de setembro)
  • Desativação do sistema SFC-SFS (29 de setembro)

Sobre a resposta inicial da Keio SFC

Quando um acesso não autorizado é detectado, o procedimento padrão é estabelecer um quartel-general de contramedidas e lidar com a resposta inicial. No entanto, neste caso, parece que o departamento de TI, liderado pelo Sr. Kunio, Diretor Executivo Permanente da Keio Gijuku e Diretor de Informação e Segurança da Informação, funcionou como o quartel-general de contramedidas.

O importante na resposta inicial é prevenir a expansão do dano e a ocorrência de danos secundários, isolando as informações, cortando a rede e parando os serviços. No caso da Keio SFC, como os utilizadores do sistema são limitados a estudantes e funcionários, e não um número indeterminado de pessoas, a prioridade foi dada à alteração de senhas e à limitação do método de login.

No entanto, o fato de terem começado a agir imediatamente após a confirmação do prenúncio de acesso não autorizado, e de terem parado o sistema SFC-SFS em 29 de setembro, quando a possibilidade de vazamento de informações foi confirmada, pode ser considerado uma resposta adequada à gestão de crises.

Um ponto de preocupação em relação à resposta inicial da Keio SFC é se eles tomaram medidas para preservar as provas contra o acesso não autorizado, que é um crime, e se relataram o incidente às autoridades supervisoras e à polícia. No entanto, não foi possível confirmar isso, pois não há descrição em comunicados de imprensa ou meios de comunicação.

Sobre a notificação aos envolvidos

A notificação aos estudantes e funcionários da Keio SFC foi feita na forma de um e-mail de comunicação de negócios, e a primeira menção ao vazamento de informações pessoais parece ter sido no e-mail de 30 de setembro.

Em 29 de setembro, foi notificado aos funcionários da Keio SFC que o SFC-SFS seria desativado devido a um “problema sério”.

Em 30 de setembro, foi solicitado a todos os utilizadores do SFC-SFS que alterassem suas senhas, pois havia a possibilidade de que as “informações da conta do utilizador” tivessem vazado devido a este problema.

Além disso, foi notificado aos funcionários que, devido à paralisação do SFC-SFS, não seria possível realizar a seleção de estudantes matriculados e a comunicação com os estudantes matriculados conforme planejado, e que as aulas seriam canceladas por um certo período.

Ao ouvir esta informação, a J-CAST News realizou uma entrevista e publicou um artigo no mesmo dia intitulado “Problema sério no sistema de aulas da Keio SFC, início do semestre de outono atrasado em uma semana”, tornando público o vazamento das “informações da conta do utilizador”.

Em 1 de outubro, foi notificado no site da Keio SFC para os estudantes que o SFC-SFS foi desativado em 29 de setembro devido à possibilidade de acesso não autorizado, e que as aulas seriam canceladas de 1 a 7 de outubro devido a este impacto. (※ Não há menção ao vazamento de informações pessoais)

Comunicado de Imprensa após a Descoberta de Fuga de Informações

A primeira divulgação pública sobre a fuga de informações pessoais devido a acesso não autorizado ocorreu a 10 de novembro, no nosso site.

Recentemente, descobrimos que os IDs e as senhas de 19 utilizadores (funcionários) do Sistema de Rede de Informação do Campus de Shonan Fujisawa (SFC-CNS) e do Sistema de Apoio ao Ensino (SFC-SFS) foram roubados de alguma forma, e que houve um acesso não autorizado externo usando essas informações e um ataque explorando a vulnerabilidade do Sistema de Apoio ao Ensino (SFC-SFS), o que pode ter levado à fuga de informações pessoais dos utilizadores a partir deste sistema. Pedimos desculpas profundamente pelo inconveniente e preocupação que esta situação causou a todos os envolvidos. Até ao momento, não foram confirmados danos secundários.

Keio Gijuku “Sobre a fuga de informações pessoais devido ao acesso não autorizado ao SFC-CNS e SFC-SFS”[ja]

Este comunicado de imprensa também incluiu informações detalhadas sobre os seguintes pontos:

  • O conteúdo das informações pessoais que podem ter vazado
  • Como foi descoberta a fuga
  • A causa da fuga
  • Resposta após a descoberta
  • Situação atual
  • Medidas para prevenir a recorrência

Os pontos acima cobrem quase todos os itens necessários para um documento de divulgação sobre a fuga de informações.

Sobre o Comunicado de Imprensa da Keio SFC

Tempo do Comunicado de Imprensa

Originalmente, a Keio SFC deveria ter sido a primeira a divulgar, mas o facto de ter divulgado 41 dias após a reportagem da J-CAST News é inegavelmente tardio.

Isso porque, no caso de uma fuga de informações pessoais, é necessário notificar rapidamente a pessoa cujas informações vazaram para prevenir danos secundários.

No entanto, não há problema se eles informaram o conteúdo específico das “informações da conta do utilizador” quando solicitaram a alteração da senha a 30 de setembro.

Alerta sobre Fraudes e Atos Inconvenientes

No comunicado de imprensa após a descoberta da fuga de informações, é necessário divulgar a fuga de informações que ocorreu, notificar e pedir desculpas à pessoa cujas informações pessoais vazaram, e alertar para evitar ser vítima de fraudes e atos inconvenientes.

Se as informações dentro de um campus fechado vazarem para o mundo exterior, há uma possibilidade de serem mal utilizadas, e neste caso também é necessário um alerta contra fraudes e atos inconvenientes.

O Quartel-General de Medidas, o centro da resposta à crise

A Keio SFC descreveu o Quartel-General de Medidas na sua “Medida de Prevenção de Recorrência” do comunicado de imprensa da seguinte forma:

Na Keio University, tendo em conta o recente caso de acesso não autorizado, iremos empenhar-nos rapidamente em medidas para prevenir a recorrência, tais como a verificação e melhoria da segurança de aplicações web e sistemas em toda a universidade, e a revisão do tratamento de informações pessoais para protegê-las. Além disso, estabelecemos a CSIRT (Equipa de Resposta a Incidentes de Segurança da Informação) na universidade a partir de 1 de Novembro de 2020 (Ano 2 da Era Reiwa), e iremos trabalhar para fortalecer a segurança em toda a universidade, enquanto construímos uma organização que pode responder de forma abrangente à cibersegurança, em colaboração com instituições especializadas externas.

Keio University “Sobre a fuga de informações pessoais devido ao acesso não autorizado ao SFC-CNS e SFC-SFS”[ja]

Parece que a resposta inicial a este caso foi realizada pela organização interna da Keio SFC, que desempenhou o papel do Quartel-General de Medidas, mas a “CSIRT”, estabelecida em 1 de Novembro de 2020 (Ano 2 da Era Reiwa), é uma organização que corresponde ao Quartel-General de Medidas, que será o centro da resposta à crise quando ocorrer um incidente de segurança no futuro.

Os membros da CSIRT são desconhecidos, mas além das medidas de segurança do sistema, é necessário proceder simultaneamente com o contacto com os utilizadores alvo, relatórios a agências de supervisão e à polícia, resposta aos media, e consideração da responsabilidade legal. Portanto, geralmente é necessário a participação das seguintes organizações terceiras externas e especialistas:

  • Grandes empresas de software
  • Grandes fornecedores especializados em segurança
  • Advogados externos com profundo conhecimento em cibersegurança

Resumo

Mesmo em casos como este, onde ocorre uma fuga de informação pessoal no campo da educação, é importante uma resposta inicial adequada e medidas de segurança centradas no “notificação, relatório e divulgação” do quartel-general de estratégia, bem como as medidas de segurança subsequentes.

O que é particularmente exigido em termos de velocidade não é apenas a resposta inicial, mas também a notificação e o relatório às autoridades policiais e agências governamentais relevantes, a notificação (pedido de desculpas) à pessoa em questão e a divulgação no momento certo.

No entanto, se os procedimentos e métodos de tratamento estiverem errados, pode haver a possibilidade de ser responsabilizado por danos, por isso recomendamos que avance com a consulta prévia a um advogado com amplo conhecimento e experiência em cibersegurança, em vez de tomar uma decisão por si mesmo.

Se estiver interessado na gestão de crises durante o vazamento de informações causado pelo malware da Capcom, por favor, veja o artigo em detalhe.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Apresentação das medidas tomadas pelo nosso escritório

O escritório de advocacia Monolith é especializado em IT, particularmente na intersecção entre a Internet e a lei. No nosso escritório, realizamos verificações legais para uma variedade de casos, desde empresas listadas na Primeira Seção da Bolsa de Valores de Tóquio até startups. Por favor, consulte o artigo abaixo.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Quando é que o GDPR se aplica extraterritorialmente? Explicação dos métodos de resposta

Quando é que o GDPR se aplica extraterritorialmente? Explicação dos métodos de resposta

General Corporate

Conteúdo da revisão da Lei Japonesa de Dispositivos Médicos e Farmacêuticos no primeiro ano da era Reiwa (2019) ~ A natureza das farmácias e farmacêuticos, sistema de multas ~

Conteúdo da revisão da Lei Japonesa de Dispositivos Médicos e Farmacêuticos no primeiro ano da e.

General Corporate

Regulamentação legal sobre atividades de publicidade e promoção de células-tronco na área médica

Regulamentação legal sobre atividades de publicidade e promoção de células-tronco na área médica

General Corporate

Pode-se reconhecer direitos autorais numa ideia? A linha de fronteira entre expressão e ideia

Pode-se reconhecer direitos autorais numa ideia? A linha de fronteira entre expressão e ideia

General Corporate

O que é a Lei de Segurança de Dados Chinesa? Explicação das medidas que as empresas japonesas devem tomar

O que é a Lei de Segurança de Dados Chinesa? Explicação das medidas que as empresas japonesas de.

General Corporate

Comentários também se tornam alvo da regulação da 'Lei Japonesa de Medicamentos e Dispositivos Médicos'? Explicação das leis relacionadas

Comentários também se tornam alvo da regulação da 'Lei Japonesa de Medicamentos e Dispositivos M.

General Corporate

Violação de direitos autorais por imagem: 'Mercado de compensação por danos' e explicação de dois precedentes

Violação de direitos autorais por imagem: 'Mercado de compensação por danos' e explicação de doi.

General Corporate

A 'Lei de Limitação de Responsabilidade dos Provedores' torna-se 'Lei de Medidas para Plataformas de Distribuição de Informação (Lei JōPura)' - Explicação dos pontos da revisão

A 'Lei de Limitação de Responsabilidade dos Provedores' torna-se 'Lei de Medidas para Plataforma.

General Corporate

Explicação sobre a criação e autenticação de assinaturas eletrónicas: Qual é o seu poder legal?

Explicação sobre a criação e autenticação de assinaturas eletrónicas: Qual é o seu poder legal?

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retornar ao topo