Română English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ro/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Zilele săptămânii 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Rolul avocatului și gestionarea crizelor învățate din scurgerea de informații a Universității Keio

Rolul avocatului și gestionarea crizelor învățate din scurgerea de informații a Universității Keio

General Corporate

Rolul avocatului și gestionarea crizelor învățate din scurgerea de informații a Universității Keio

Scurgerile de informații cauzate de accesul neautorizat nu se limitează doar la companii, ci apar și în mediul educațional, însă modul de abordare pare să difere ușor de cel al companiilor.

În special în ceea ce privește informațiile personale, studenții și personalul didactic sunt în centrul atenției, astfel încât divulgarea informațiilor în cazul unui incident de scurgere de informații tinde să fie limitată la un anumit domeniu.

Însă, în ceea ce privește protecția informațiilor personale, nu există diferențe între companii și școli, principiile de bază ale gestionării crizelor în cazul scurgerilor de informații sunt aceleași.

Prin urmare, în acest articol vom discuta punctele cheie ale sistemului de gestionare a crizelor, bazându-ne pe răspunsul la incidentul de scurgere de informații de la Campusul Shonan Fujisawa al Universității Keio (denumit în continuare Keio SFC), din perspectiva gestionării crizelor în cazul scurgerilor de informații personale cauzate de accesul neautorizat.

Rezumatul incidentului de scurgere de informații de la Keio SFC

Principalele detalii legate de scurgerea de informații cauzată de accesul neautorizat la Keio SFC sunt următoarele:

  • Descoperirea scurgerii: În dimineața zilei de 29 septembrie 2020 (Anul 2 al erei Reiwa / 2020 în calendarul gregorian), a fost descoperită posibilitatea unei scurgeri de informații cauzate de accesul neautorizat la sistemul de suport pentru cursuri (SFC-SFS)※.
    ※SFC-SFS este un sistem care are funcții precum trimiterea de e-mailuri în masă către studenți, descărcarea listelor de studenți, înregistrarea și primirea rapoartelor și a temelor, înregistrarea notelor (comentarii), introducerea și vizualizarea comentariilor la sondajele de curs.
  • Cauza scurgerii: ID-urile și parolele a 19 utilizatori ai sistemului au fost furate și folosite în mod neautorizat de o terță parte pentru a pătrunde în sistem. Se crede că vulnerabilitatea SFC-SFS este principala cauză.
  • Amploarea scurgerii: Informațiile personale ale studenților și personalului administrat de campusul Shonan Fujisawa.
  • Conținutul scurgerii: Pe lângă “nume”, “adresă”, “nume de cont” și “adresă de e-mail”, în cazul studenților sunt incluse “fotografii”, “număr de matriculă”, “informații despre creditele obținute”, “data admiterii”, iar în cazul personalului “numărul de angajat”, “poziția”, “profilul”, “datele de e-mail personale”.
  • Numărul de cazuri de scurgere: Există posibilitatea unei scurgeri de informații în aproximativ 33.000 de cazuri.

Descoperirea accesului neautorizat și răspunsul inițial

Pe 15 septembrie, la ora 17:45, departamentul IT al Keio SFC a identificat semne de explorare a vulnerabilităților în SFC-SFS.

Mai mult, în noaptea de 28 septembrie, după detectarea unui acces suspect la sistemul SFC-SFS și investigarea acestuia, s-a descoperit în dimineața zilei de 29 septembrie posibilitatea unei scurgeri de informații cauzate de un acces neautorizat.

Keio SFC a început următoarele răspunsuri inițiale de la ziua următoare după ce a identificat explorarea vulnerabilităților, un semn al accesului neautorizat:

  • Solicitarea schimbării parolelor tuturor utilizatorilor (16 septembrie, 30 septembrie)
  • Monitorizarea continuă a tuturor punctelor de autentificare și a jurnalelor de autentificare (continuă din 16 septembrie)
  • Limitarea logărilor la serverul comun de calculare de la exterior doar la autentificarea cu cheie publică (16 septembrie)
  • Oprirea serviciilor web unde s-au identificat vulnerabilități și repararea locurilor vulnerabile (în curs de implementare) (progresiv din 16 septembrie, SFC-SFS pe 29 septembrie)
  • Oprirea sistemului SFC-SFS (29 septembrie)

Despre răspunsul inițial al Keio SFC

În cazul descoperirii unui acces neautorizat, este esențial să se stabilească un centru de măsuri și să se ocupe de răspunsul inițial, dar în acest caz, se pare că departamentul IT, condus de dl Kunio, director permanent al Keio și responsabilul suprem pentru informații și securitatea informațiilor, a funcționat ca un centru de măsuri.

Ceea ce este important în răspunsul inițial este să preveniți extinderea daunelor și apariția daunelor secundare prin “izolarea informațiilor”, “blocarea rețelei” și “oprirea serviciilor”, dar în cazul Keio SFC, utilizatorii sistemului sunt limitați la studenți și personal didactic, deci schimbarea parolei și limitarea metodei de logare sunt prioritare.

Însă, faptul că au început să acționeze imediat după ce au identificat semnele unui acces neautorizat și, mai mult, faptul că au oprit sistemul SFC-SFS pe 29 septembrie, când s-a descoperit posibilitatea unei scurgeri de informații, poate fi considerat un răspuns adecvat de gestionare a crizei.

Un punct de interes în legătură cu răspunsul inițial al Keio SFC este dacă au raportat la autoritățile de supraveghere și poliție după ce au luat măsuri de conservare a dovezilor împotriva accesului neautorizat, care este o infracțiune, dar nu putem confirma acest lucru deoarece nu există descrieri în comunicatele de presă sau în mass-media.

Despre notificarea părților interesate

Notificarea către studenții și personalul didactic al Keio SFC a fost făcută într-o formă similară cu un e-mail de comunicare de afaceri, iar prima mențiune a scurgerii de informații personale pare să fie în e-mailul din 30 septembrie.

Pe 29 septembrie, personalul afiliat Keio SFC a fost notificat că SFC-SFS a fost oprit din cauza unei “probleme grave”.

Pe 30 septembrie, s-a solicitat tuturor utilizatorilor SFC-SFS să-și schimbe parolele, deoarece exista posibilitatea ca “informațiile contului utilizatorului” să fi fost scurse din cauza acestei probleme.

De asemenea, personalul afiliat a fost notificat că nu vor putea să efectueze selecția studenților înscriși și comunicarea cu studenții înscriși conform planului din cauza opririi SFC-SFS, deci vor trebui să suspende cursurile pentru o anumită perioadă.

Auzind aceste informații, J-CAST News a investigat și în aceeași zi a publicat un articol intitulat “Probleme grave cu sistemul de cursuri la Keio SFC, începutul semestrului de toamnă este întârziat cu o săptămână”, făcând publică scurgerea “informațiilor contului utilizatorului”.

Pe 1 octombrie, pe site-ul web al Keio SFC, s-a anunțat că SFC-SFS a fost oprit pe 29 septembrie din cauza posibilității unui acces neautorizat și că, din cauza acestui impact, cursurile vor fi suspendate de la 1 octombrie până pe 7 octombrie. (Nu există nicio mențiune despre scurgerea de informații personale)

Comunicat de presă după descoperirea scurgerii de informații

Prima dezvăluire publică a scurgerii de informații personale cauzate de accesul neautorizat a avut loc pe 10 noiembrie, pe site-ul nostru web.

De data aceasta, în sistemul de rețea de informații al campusului Shonan Fujisawa (SFC-CNS) și în sistemul de suport pentru cursuri (SFC-SFS), s-a descoperit că ID-urile și parolele a 19 utilizatori (personal didactic) au fost furate prin anumite metode, și că acestea au fost folosite pentru accesul neautorizat din exterior și atacul care a exploatat vulnerabilitatea sistemului de suport pentru cursuri (SFC-SFS), existând posibilitatea ca informațiile personale ale utilizatorilor să fi fost scurse din acest sistem. Ne cerem scuze pentru inconvenientele și îngrijorările cauzate tuturor celor implicați de această situație. De asemenea, la acest moment, nu s-au confirmat daune secundare.

Keio Gijuku “Despre scurgerea de informații personale cauzată de accesul neautorizat la SFC-CNS și SFC-SFS”[ja]

Acest comunicat de presă includea și informații detaliate despre următoarele aspecte:

  • Conținutul informațiilor personale care ar fi putut fi scurse
  • Contextul în care s-a descoperit scurgerea
  • Cauza scurgerii
  • Măsurile luate după descoperire
  • Situația actuală
  • Măsuri de prevenire a recidivei

Conținutul de mai sus acoperă aproape toate elementele necesare pentru materialele de dezvăluire privind scurgerile de informații.

Despre comunicatul de presă al Keio SFC

Perioada comunicatului de presă

În mod normal, Keio SFC ar fi trebuit să dezvăluie această informație de la sine, dar faptul că a făcut-o la 41 de zile după raportarea de către J-CAST News nu poate fi decât considerat târziu.

Aceasta deoarece, în cazul scurgerilor de informații personale, este necesar să se acționeze rapid pentru a notifica persoana a cărei informație a fost scursă, pentru a preveni daunele secundare.

Însă, dacă la data de 30 septembrie, când s-a solicitat schimbarea parolei, s-au furnizat detalii concrete despre “informațiile contului utilizatorului”, atunci nu există nicio problemă.

Avertizare împotriva fraudelor și a comportamentului deranjant

În comunicatul de presă după descoperirea scurgerii de informații, trebuie să se facă publică scurgerea de informații care a avut loc, să se informeze și să se ceară scuze persoanei a cărei informație personală a fost scursă, și să se avertizeze împotriva riscului de a deveni victima fraudelor și a comportamentului deranjant.

Dacă informațiile din interiorul unui campus închis se scurg în lumea exterioară, există posibilitatea ca acestea să fie folosite în mod abuziv, și în acest caz, este necesară o avertizare împotriva fraudelor și a comportamentului deranjant.

Centrul de măsuri care devine esențial în gestionarea crizelor

Keio SFC a descris în comunicatul de presă “Măsuri de prevenire a recidivei” următoarele despre centrul de măsuri:

La Keio Gijuku, în lumina acestui incident de acces neautorizat, ne vom angaja rapid în măsuri de prevenire a recidivei, cum ar fi verificarea și îmbunătățirea securității aplicațiilor web și a sistemelor pe întregul campus, revizuirea modului în care sunt gestionate informațiile personale, etc. De asemenea, am înființat o echipă CSIRT (Echipa de răspuns la incidente de securitate a informațiilor) în campusul nostru începând cu 1 noiembrie 2020 (anul 2020 al calendarului gregorian), și vom implementa crearea unei organizații care poate răspunde în mod cuprinzător la securitatea cibernetică, în timp ce colaborăm cu instituții externe specializate, și ne vom strădui să întărim securitatea pe întregul campus.

Keio Gijuku “Despre scurgerea de informații personale prin accesul neautorizat la SFC-CNS și SFC-SFS”[ja]

Se pare că răspunsul inițial la acest incident a fost gestionat de organizația internă a Keio SFC, care a jucat rolul de centru de măsuri, dar “CSIRT”, care a fost înființat la 1 noiembrie 2020 (anul 2020 al calendarului gregorian), este o organizație care corespunde centrului de măsuri care devine esențial în gestionarea crizelor în cazul în care se produce un incident în viitor.

Componența CSIRT nu este cunoscută, dar nu numai că sunt necesare măsuri de securitate a sistemului, ci și contactarea utilizatorilor țintă, raportarea către autoritățile de supraveghere și poliție, gestionarea mass-media, examinarea responsabilității legale, etc., trebuie să fie realizate simultan. Prin urmare, în general, este necesară participarea următoarelor organizații terțe externe și a experților:

  • Companii mari de software
  • Furnizori specializați în securitate de top
  • Avocați externi cu cunoștințe profunde în securitatea cibernetică

Concluzie

Chiar și în cazul în care se descoperă o scurgere de informații personale în mediul educațional, așa cum s-a întâmplat de data aceasta, este important să se acționeze corect de la început, să se stabilească un “centru de strategii” pentru “notificare, raportare și publicare” și să se implementeze “măsuri de securitate” ulterioare.

În special, nu doar răspunsul inițial, ci și notificarea și raportarea către poliție și agențiile guvernamentale relevante, notificarea către persoana în cauză (scuze) și publicarea la momentul potrivit sunt necesare cu rapiditate.

Însă, dacă procedurile sau metodele de gestionare sunt greșite, există posibilitatea de a fi responsabil pentru daune, așa că vă recomandăm să nu luați decizii pe cont propriu, ci să consultați un avocat cu cunoștințe și experiență în domeniul securității cibernetice.

Dacă sunteți interesat de gestionarea crizelor în cazul scurgerii de informații cauzate de malware-ul Capcom, vă rugăm să citiți articolul nostru detaliat pe acest subiect.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Prezentarea măsurilor noastre de către firma noastră

Firma noastră de avocatură Monolis, este specializată în IT, în special în aspectele legale ale internetului. La firma noastră, efectuăm verificări legale pentru o varietate de cazuri, de la companii listate pe Tokyo Stock Exchange Prime până la startup-uri. Vă rugăm să consultați articolul de mai jos.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Fundamentele Legii Pieței Digitale a UE (DMA) - Care este impactul asupra Japoniei?

Fundamentele Legii Pieței Digitale a UE (DMA) - Care este impactul asupra Japoniei?

General Corporate

Ce a fost problema în procesul dintre Nintendo și Colopl?

Ce a fost problema în procesul dintre Nintendo și Colopl?

General Corporate

Puncte esențiale de verificat pentru a evita problemele în contractul de bază pentru tranzacții publicitare

Puncte esențiale de verificat pentru a evita problemele în contractul de bază pentru tranzacții .

General Corporate

Avantajele și dezavantajele pe care trebuie să le cunoașteți despre 'Transferul de afaceri' și 'Divizarea companiei'

Avantajele și dezavantajele pe care trebuie să le cunoașteți despre 'Transferul de afaceri' și '.

General Corporate

Până unde sunt permise adresa și numele real? Despre limitele reportajului și încălcarea dreptului la intimitate

Până unde sunt permise adresa și numele real? Despre limitele reportajului și încălcarea dreptul.

General Corporate

Încredințarea editării video către un lucrător în cloud: Explicarea a 6 puncte cheie în contractul de delegare a muncii

Încredințarea editării video către un lucrător în cloud: Explicarea a 6 puncte cheie în contract.

General Corporate

Explicarea problemelor legate de oferirea 'Opțiunilor de asigurare' ~ Este posibilă oferirea fără licența în industria asigurărilor? ~

Explicarea problemelor legate de oferirea 'Opțiunilor de asigurare' ~ Este posibilă oferirea făr.

General Corporate

Metoda de înființare a unei corporații (companii) în străinătate? Explicații despre tipuri și puncte cheie

Metoda de înființare a unei corporații (companii) în străinătate? Explicații despre tipuri și pu.

General Corporate

Explicarea a 10 clauze de care trebuie să ții cont în contractele de licență

Explicarea a 10 clauze de care trebuie să ții cont în contractele de licență

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

?napoi la ?nceput