Română English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ro/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Zilele săptămânii 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Ce putem învăța despre gestionarea crizelor și rolul avocatului din scurgerea de informații a Capcom

Ce putem învăța despre gestionarea crizelor și rolul avocatului din scurgerea de informații a Capcom

General Corporate

Ce putem învăța despre gestionarea crizelor și rolul avocatului din scurgerea de informații a Capcom

În noiembrie 2020 (anul 2020 al calendarului gregorian), scurgerea de informații de la Capcom a fost cauzată de un ransomware personalizat, cu posibilitatea de a fi expus un număr maxim de 390.000 de înregistrări de informații personale.

Desigur, este mai bine să nu apară incidente și este important să se stabilească un sistem care să prevină apariția acestora. Cu toate acestea, indiferent de sistemul implementat, este imposibil să reducem probabilitatea de apariție la zero.

Dacă, totuși, un astfel de incident se produce, ce măsuri și investigații ar trebui să fie luate imediat după, și când și cum ar trebui să fie anunțate?

Prin urmare, în acest articol, vom examina scurgerea de informații de la Capcom din perspectiva gestionării crizelor în cazul unui “incident de scurgere de informații personale cauzat de malware”, pentru a învăța despre sistemul de gestionare a crizelor care ar trebui să fie în loc, folosind răspunsul companiei ca studiu de caz.

※Avocații au o obligație strictă de confidențialitate în ceea ce privește cazurile în care sunt implicați personal ca avocați. Acest articol exprimă opinia avocatului pe baza informațiilor publice despre cazuri în care firma noastră nu a fost implicată.

Descoperirea incidentului și răspunsul inițial

Incidentul a fost confirmat pe 2 noiembrie 2020.

La acel moment, s-a confirmat o defecțiune de conectare la sistemul intern, iar acțiunile de izolare a sistemului și de înțelegere a daunelor au fost inițiate.

Și în aceeași zi, s-a descoperit că cauza defecțiunii era criptarea fișierelor pe dispozitivele de pe rețea datorită unui atac de ransomware.

Pe terminalele afectate, s-a descoperit un mesaj de amenințare de la un grup care se numește “Ragnar Locker”.

La acest moment, Capcom a raportat incidentul la Poliția Prefecturii Osaka și a solicitat asistență pentru recuperare de la companii externe.

În momentul producerii unui incident, este evident necesar pentru continuarea afacerii unei companii să se grăbească recuperarea sistemului. Cu toate acestea, dacă se confirmă un atac de ransomware, acesta este ceea ce se numește acces neautorizat, și există o probabilitate foarte mare că este o acțiune interzisă de Legea japoneză privind interzicerea accesului neautorizat.

Înainte de a confirma scurgerea de informații confidențiale, inclusiv informații personale, și înainte de a identifica calea de intrare, este important să raportați rapid poliției.

Gestionarea crizei înainte de dezvăluirea scurgerii de informații

Și în ziua următoare incidentului, pe 4 noiembrie, Capcom a publicat primul său comunicat de presă, intitulat “Anunț privind apariția unei defecțiuni de sistem cauzate de accesul neautorizat”.

Am confirmat că această defecțiune a fost cauzată de un acces neautorizat din partea unei terțe părți și am suspendat parțial funcționarea rețelei interne începând cu aceeași zi. Ne cerem scuze profund pentru inconvenientul major cauzat tuturor celor implicați. De asemenea, la acest moment, nu s-a confirmat nicio scurgere de informații ale clienților etc.

Anunț privind apariția unei defecțiuni de sistem cauzate de accesul neautorizat [ja]

La acest moment, este vorba doar de “apariția unei defecțiuni de sistem” cauzată de “accesul neautorizat”, iar scurgerea de informații încă nu a fost dezvăluită.

Comunicat de presă după descoperirea scurgerii de informații

Numărul de informații personale care ar putea fi scurse

Scurgerea de informații a fost descoperită pe 12 noiembrie.

S-a confirmat scurgerea a 9 seturi de informații personale și a unei părți din informațiile companiei.

A doua zi, Capcom a solicitat o investigație pentru a determina cauza unei companii de securitate de top, iar pe 16 noiembrie, a publicat un comunicat de presă care confirma scurgerea de informații.

La acel moment,

  • Informațiile confirmate ca fiind scurse
  • Informațiile care ar putea fi scurse

au fost diferențiate, iar pentru fiecare,

  • Informații personale (clienți, parteneri de afaceri, etc.)
  • Informații personale (angajați și persoane asociate)
  • Informații corporative (informații despre vânzări, informații despre parteneri de afaceri, materiale de vânzări, materiale de dezvoltare, etc.)

au fost diferențiate și numărul aproximativ a fost publicat.

La acel moment, a fost anunțat că “există posibilitatea de scurgere a informațiilor personale ale aproximativ 350.000 de clienți”.

Existența și măsurile de scurgere a informațiilor despre cardurile de credit

În același timp,

De asemenea, toate plățile pentru vânzările online etc. sunt externalizate de compania noastră, deci nu deținem informații despre cardurile de credit și nu există scurgeri de informații despre cardurile de credit.

Anunț și scuze privind scurgerea de informații cauzată de accesul neautorizat[ja]

a fost menționată existența scurgerii de informații despre cardurile de credit, și în plus,

  • Măsurile pentru persoanele cărora li s-a confirmat scurgerea de informații personale și pentru cele care ar putea fi afectate
  • Detaliile descoperirii și măsurile luate
  • Măsurile viitoare

au fost publicate.

Îndrumare și sfaturi de la avocați externi, etc.

În comunicatul de presă,

Am raportat situația unei companii de software de top, unui furnizor de securitate de top și unui avocat extern cu o cunoaștere profundă a securității cibernetice și am obținut îndrumare și sfaturi. Vom începe să contactăm persoanele cărora li s-a confirmat scurgerea de informații și părțile interesate și vom continua să investigăm informațiile care ar putea fi furate.

Anunț și scuze privind scurgerea de informații cauzată de accesul neautorizat[ja]

a fost declarat.

De asemenea, “Centrul de contact pentru informații personale” și “Centrul de contact dedicat scurgerii de informații Capcom” au fost pregătite ca “Centrul de contact pentru utilizatorii de jocuri” și “Centrul de contact general”, ambele fiind numere gratuite.

Și, cel puțin o parte din informațiile scurse au fost descoperite, iar până la publicarea comunicatului de presă care anunța scurgerea de informații, au trecut 4 zile.

Se crede că acesta a fost un timp necesar pentru a verifica informațiile detaliate menționate mai sus și pentru a lua decizii cu privire la măsurile viitoare.

Scurgeri de informații personale și managementul crizelor

Spre deosebire de primul raport despre “defecțiuni ale sistemului”, al doilea raport care afirmă că “există posibilitatea ca până la 350.000 de informații personale ale clienților să fi fost scurse” este preluat de mai multe media.

Capcom a fost victima unui atac de acces neautorizat prin ransomware personalizat de la terți, rezultând în scurgerea de informații personale deținute de grupul companiei. La data de 16 noiembrie, informațiile care ar putea fi scurse, inclusiv clienții și partenerii de afaceri, se ridică la un maxim de aproximativ 350.000. Există și posibilitatea ca materialele de vânzări și de dezvoltare să fi fost scurse.

Capcom, scurgere de informații personale de până la 350.000 prin acces neautorizat. “Niciun impediment în joc” – BCN+R[ja]

Însă, deoarece la momentul comunicatului de presă au fost publicate și informații despre “descoperire și răspuns” și “răspunsul viitor”, articolul de mai sus se încheie cu fraze precum “În viitor, vor colabora cu autoritățile de poliție și vor înființa o organizație consultativă privind securitatea sistemului cu experți externi, pentru a preveni recurența. Se afirmă că nu există niciun risc de extindere a daunelor către utilizatori sau în afara companiei prin accesul la internet necesar pentru a juca jocurile companiei sau prin accesul la site-ul web al companiei. În plus, se face apel la utilizatorii care ar putea avea informațiile personale scurse să fie atenți la posibilitatea primirii de corespondență neașteptată sau a unor contacte suspecte.”

În comunicatele de presă după descoperirea scurgerii de informații personale, este important să se dezvăluie informații destul de cuprinzătoare, inclusiv “descoperire și răspuns” și “răspunsul viitor”, așa cum s-a menționat mai sus.

Și atunci când se descoperă o scurgere de informații personale,

  • companii mari de software
  • furnizori specializați în securitate
  • avocați externi cu cunoștințe aprofundate în securitatea cibernetică

este important să se formeze o echipă de experți externi și să se avanseze cu contactarea clienților cărora li s-a confirmat scurgerea de informații, cu relațiile publice de gestionare a crizelor, etc., în paralel cu măsurile IT pure pentru a determina cauza.

În plus, în cazul companiilor listate, este necesară și o explicație pentru acționari ca parte a acestor relații publice de gestionare a crizelor.

Potential Leak of Job Applicant Information

De asemenea, în comunicatul de presă publicat, care menționează “informații care ar putea fi scurse” și “informații personale (clienți, parteneri de afaceri, etc.) de până la 350.000”, există o secțiune numită “informații despre candidații la angajare (aproximativ 125.000)”. În legătură cu acest lucru, au apărut întrebări pe rețelele de socializare, în contextul în care Capcom a menționat pe site-ul său de recrutare că va distruge aceste informații.

Capcom a menționat pe site-ul său de recrutare că “documentele de aplicare ale celor care nu au fost angajați sau care au refuzat angajarea vor fi distruse responsabil de către compania noastră după selecție”. Există voci care pun la îndoială răspunsul companiei pe Twitter, deoarece informațiile personale care ar fi trebuit să fie distruse nu au fost. Capcom a explicat că “am digitalizat CV-urile candidaților și le-am păstrat pentru o perioadă de timp”. “Ne cerem scuze pentru că nu am menționat digitalizarea și pentru că exprimarea a fost insuficientă, ceea ce a dus la înțelegerea greșită”. În ceea ce privește motivul păstrării, au explicat că “există persoane care aplică de mai multe ori. A fost pentru a verifica istoricul aplicațiilor anterioare în mod eficient”. În ceea ce privește dacă toate datele candidaților au fost păstrate uniform, au declarat că “nu este clar în acest moment”.

Capcom, nu a distrus documentele de aplicare ale celor care nu au fost angajați. Deși a fost menționat pe pagina de recrutare că “vom distruge responsabil”, există posibilitatea de scurgere de informații prin atacuri cibernetice – ITmedia NEWS[ja]

Nu este clar dacă Capcom a prevăzut aceste întrebări, dar dacă există “informații care nu ar trebui să existe (și este într-o oarecare măsură inevitabil să se creadă că nu există)” în companie și există posibilitatea ca acestea să fie scurse, ar fi mai bine să se ia în considerare această problemă înainte de a emite un comunicat de presă.

Înființarea Comitetului de Supraveghere a Securității, inclusiv avocați

Publicarea celui de-al treilea comunicat de presă

În plus, Capcom a organizat o întâlnire pregătitoare pe 21 decembrie pentru înființarea “Comitetului de Supraveghere a Securității”, o organizație consultativă privind securitatea sistemului condusă de experți externi.

Pe 12 ianuarie a anului următor (2021), a fost publicat al treilea comunicat de presă, intitulat “Anunț și scuze privind scurgerea de informații prin acces neautorizat【al treilea raport】”,

S-a confirmat scurgerea a încă 16.406 persoane, totalul de la începutul acestui caz fiind de 16.415 persoane. De asemenea, s-a constatat că numărul maxim de informații personale ale clienților și partenerilor externi care ar putea fi scurse este de aproximativ 390.000 de persoane (o creștere de aproximativ 40.000 față de ultima dată).

Informațiile actualizate în urma investigației sunt prezentate. În plus, pe lângă faptul că informațiile despre cardurile de credit nu au fost scurse,

Conexiunea la internet și achizițiile prin descărcare necesare pentru a juca jocurile noastre nu au folosit sistemul care a fost atacat de data aceasta, ci au folosit un serviciu externalizat sau un server extern, la fel ca și în prezent. Prin urmare, conexiunea la internet și achizițiile prin descărcare necesare pentru a juca jocurile noastre nu au nicio legătură cu atacul cibernetic asupra sistemului nostru de data aceasta, și nu există niciun risc de prejudiciu pentru clienți.

Anunț și scuze privind scurgerea de informații prin acces neautorizat【al treilea raport】 | Capcom Co., Ltd. [ja]

Aceasta a fost, de asemenea, menționată.

Despre posibilitatea scurgerii de informații personale ale candidaților la angajare

De asemenea, la această ocazie, “informațiile care au fost confirmate ca având posibilitatea de a fi scurse” includ informațiile personale ale “aproximativ 58.000 de candidați la angajare” menționate mai sus, în special “numele, adresa, numărul de telefon, adresa de e-mail, etc.”

În legătură cu acest aspect,

În ceea ce privește informațiile candidaților, în noiembrie a fost descoperit faptul că informațiile nu au fost distruse, ci păstrate după selecție, în legătură cu atacul cibernetic asupra companiei. Inițial, în “Tratarea informațiilor personale” pe site-ul de recrutare, se menționa că “După selecție, vom distruge informațiile cu responsabilitate în compania noastră”. Ulterior, în decembrie 2020, a fost adăugată fraza “Datorită faptului că acceptăm re-aplicații, există cazuri în care păstrăm datele din documentele de aplicare, care sunt digitalizate din documentele pe hârtie pe care le-am primit, pentru o anumită perioadă de timp, pentru a verifica cu ușurință aplicațiile anterioare”. Potrivit companiei, “Informațiile personale ale candidaților sunt încă păstrate în sistemul intern, și operarea este aproape neschimbată înainte și după accesul neautorizat.

Capcom confirmă scurgerea de informații personale a 16.000 de persoane. De asemenea, se dezvăluie posibilitatea unei scurgeri de informații pentru alte 58.000 de persoane în urma atacului cibernetic din noiembrie 2020 – ITmedia NEWS[ja]

Acesta a fost raportul.

Gestionarea crizei de relații publice bazată pe rezultatele cercetării

A patra comunicare de presă

Ulterior, Capcom a organizat prima ședință a Comitetului de Supraveghere a Securității pe 18 ianuarie, a doua ședință pe 25 februarie și a treia ședință pe 26 martie, menținând un ritm lunar de ședințe ale Comitetului de Supraveghere a Securității. De asemenea, pe 31 martie, compania a primit un raport de investigație de la o companie de securitate de top și un raport de la o companie de software de top.

În urma acestora, pe 13 aprilie, a fost publicată a patra comunicare de presă, intitulată “Raportul privind rezultatele investigației asupra accesului neautorizat [a patra ediție]”.

În acest context, s-a oferit o explicație tehnică detaliată despre “istoricul răspunsurilor”, “cauza și sfera de impact a daunelor” și “măsurile de întărire a securității pentru prevenirea recidivei”, bazată pe rapoartele menționate mai sus. De asemenea, s-a menționat că s-a înființat Comitetul de Supraveghere a Securității, care include un avocat specializat în securitatea cibernetică și legislația privind protecția datelor personale.

Raportări și reacții legate de răscumpărare

În acest context, pe 1 martie, a fost raportat că grupul de infractori cibernetici “Ragnar Locker” a cerut o răscumpărare de aproximativ 1,15 miliarde de yeni japonezi de la Capcom.

Grupul de infractori cibernetici “Ragnar Locker” a publicat pe propriul site web fișiere pe care le-a declarat a fi date furate de la companii, cerând o răscumpărare de 11 milioane de dolari în Bitcoin (aproximativ 1,15 miliarde de yeni japonezi). Cu toate acestea, până în prezent, Capcom a refuzat să plătească.

Capcom refuză să plătească 1,15 miliarde de yeni! Motivele pentru care nu ar trebui să plătim răscumpărarea în cazul unui atac de ransomware | Măsuri de securitate în era muncii la distanță | Diamond Online[ja]

În urma acestui fapt, în a patra declarație de presă menționată mai sus, s-a discutat și despre răscumpărare:

Recunoașterea sumei răscumpărării
Pe echipamentele infectate cu ransomware a fost lăsat un fișier cu un mesaj de la atacator, iar este adevărat că am fost solicitați să stabilim un contact pentru negocieri cu atacatorul. Cu toate acestea, în fișier nu era menționată suma răscumpărării. După cum am raportat deja, am decis să nu negociem cu atacatorul după consultarea cu poliția, așa că, de fapt, nu am stabilit niciun contact (vezi comunicatul de presă din 16 noiembrie 2020). Prin urmare, nu cunoaștem suma exactă.

Raportul rezultatelor investigației privind accesul neautorizat【Al patrulea raport】 | Capcom Co., Ltd.[ja]

Au publicat această declarație. Se pare că este o reacție la faptul că suma specifică de “1,15 miliarde de yeni” a apărut în rapoartele menționate mai sus și în alte locuri.

Lansare pe site-uri asociate

În plus, Capcom a lansat în aceeași zi pe alte site-uri decât site-ul lor corporativ, cum ar fi “CAPCOM: Shadaloo Combat Research Institute” (site-ul asociat cu Street Fighter 5) și “CAPCOM ONLINE GAMES”,

[Raport de urmărire] Anunț privind defecțiunea sistemului de grup
Vă mulțumim sincer pentru utilizarea constantă a “Capcom Online Games (COG)”. Am publicat cele mai recente informații despre defecțiunea sistemului nostru de grup cauzată de accesul neautorizat de la terți la sistemul nostru de grup de la începutul zilei de 2 noiembrie 2020. Vă rugăm să verificați aici pentru detalii.

Detalii anunț | Capcom Online Games

au publicat pagini de acest gen.

Așa cum s-a descoperit într-un stadiu incipient, scurgerea de informații de această dată a fost una care “utilizează externalizarea sau un server extern”, și “nu are nicio legătură cu atacul cibernetic asupra sistemului nostru de această dată, și nu va afecta clienții noștri în ceea ce privește conexiunea la internet sau achizițiile prin descărcare pentru a juca jocul”, dar

Se crede că au publicat din nou o lansare în acest sens pe fiecare site pentru a nu provoca anxietate utilizatorilor atunci când raportează rezultatele investigației.

Rezumat

Așa cum am văzut, în cazul unei scurgeri masive de informații personale, este esențial să:

  • raportați rapid incidentul poliției
  • raportați situația unui “avocat extern cu cunoștințe aprofundate în securitatea cibernetică” și să obțineți îndrumare și sfaturi
  • gestionați comunicarea în timpul crizei prin echipa menționată mai sus

Și, odată ce avem suficiente informații, este important să:

  • formați un comitet de supraveghere a securității, inclusiv avocați

Putem spune că este esențial să gestionăm criza în mod rapid și organizat.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Care sunt impacturile Legii Serviciilor Digitale (Japanese Digital Services Act - DSA) asupra Japoniei? Explicarea punctelor cheie ale reglementărilor

Care sunt impacturile Legii Serviciilor Digitale (Japanese Digital Services Act - DSA) asupra Ja.

General Corporate

Explicații despre 'Penalități' în Legea de Protecție a Informațiilor Personale, revizuită în anul Reiwa 4 (2022)

Explicații despre 'Penalități' în Legea de Protecție a Informațiilor Personale, revizuită în anu.

General Corporate

Care este suma limită a premiului în competițiile de eSport?

Care este suma limită a premiului în competițiile de eSport?

General Corporate

Ce este inducerea în eroare privind calitatea superioară în cadrul Legii Japoneze privind Indicațiile de Premii (Legea privind Indicațiile de Premii)? Diferențele față de inducerea în eroare avantajoasă și exemple explicative

Ce este inducerea în eroare privind calitatea superioară în cadrul Legii Japoneze privind Indica.

General Corporate

Legea privind Limitarea Răspunderii Furnizorilor devine “Legea privind Măsurile pentru Platformele de Distribuire a Informațiilor (Legea InfoPlat)” - Explicarea punctelor cheie ale amendamentului

Legea privind Limitarea Răspunderii Furnizorilor devine “Legea privind Măsurile pentru Pla.

General Corporate

Problemele legale de care trebuie să ții cont la crearea unui White Paper pentru ICO

Problemele legale de care trebuie să ții cont la crearea unui White Paper pentru ICO

General Corporate

Explicarea a 10 clauze de care trebuie să ții cont în contractele de licență

Explicarea a 10 clauze de care trebuie să ții cont în contractele de licență

General Corporate

Publicitatea afiliată și Legea Japoneză a Siguranței Consumatorilor - Explicarea exemplelor de falsitate și exagerare

Publicitatea afiliată și Legea Japoneză a Siguranței Consumatorilor - Explicarea exemplelor de f.

General Corporate

Ce s-a schimbat cu modificarea Legii Medicale Japoneze în anul Reiwa 3 (2021)? Explicarea istoriei și contextului modificării

Ce s-a schimbat cu modificarea Legii Medicale Japoneze în anul Reiwa 3 (2021)? Explicarea istori.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

?napoi la ?nceput