Уроки управления кризисом и роль адвоката, которые мы учимся от утечки информации в Университете Кеио

Утечка информации из-за незаконного доступа происходит не только в компаниях, но и в образовательных учреждениях, однако их реакция на это кажется немного отличной от бизнеса.

В частности, в отношении персональных данных, основными участниками являются студенты и преподаватели, поэтому когда происходит инцидент с утечкой информации, раскрытие информации обычно ограничено определенным кругом лиц.

Однако, в отношении защиты персональных данных, ни для компаний, ни для школ нет разницы, основы управления кризисом в случае утечки информации остаются теми же.

В этот раз мы рассмотрим ключевые моменты системы управления кризисом на примере реакции на инцидент с утечкой информации в Кейо Университете, Шонан Фудзисава Кампус (далее, Кейо SFC), вызванный незаконным доступом к персональным данным.

Обзор инцидента утечки информации в Кэйо SFC

Основные моменты, связанные с утечкой информации из-за незаконного доступа, произошедшей в Кэйо SFC, следующие:

• Обнаружение утечки: Возможность утечки информации из-за незаконного доступа к системе поддержки обучения (SFC-SFS) была обнаружена в ранние часы 29 сентября 2020 года.
  ※ SFC-SFS – это система, которая обладает функциями, такими как массовая рассылка по электронной почте для студентов, загрузка списка студентов, регистрация отчетов и заданий, прием заявок, регистрация оценок (комментариев), ввод и просмотр комментариев к опросам о занятиях.
• Причина утечки: ID и пароли 19 пользователей системы были украдены, и третьи лица незаконно использовали их для вторжения в систему. Уязвимость SFC-SFS считается основной причиной.
• Объем утечки: Личная информация студентов и персонала, которую управлял кампус Шонан-Фудзисава.
• Содержание утечки: Включает в себя “имя”, “адрес”, “имя учетной записи”, “адрес электронной почты”, а также “фотографию лица”, “номер студенческого билета”, “информацию о полученных кредитах”, “дату поступления” для студентов, и “номер сотрудника”, “должность”, “профиль”, “личные данные электронной почты” для сотрудников.
• Количество утечек: Возможность утечки информации существует примерно в 33 000 случаях.

Обнаружение незаконного доступа и первоначальные меры реагирования

15 сентября около 17:45 в IT-отделе Keio SFC были обнаружены следы эпизодического сканирования уязвимостей в системе SFC-SFS.

Затем, вечером 28 сентября, был обнаружен подозрительный доступ к системе SFC-SFS. В результате расследования, в ранние часы 29 сентября была обнаружена возможность утечки информации из-за незаконного доступа.

Keio SFC начал первоначальные меры реагирования на следующий день после обнаружения сканирования уязвимостей, которое является предвестником незаконного доступа.

• Запрос на изменение паролей всех пользователей (16 и 30 сентября)
• Постоянное мониторинг всех точек аутентификации и журналов аутентификации (с 16 сентября)
• Ограничение входа в общий сервер с внешних источников только с использованием публичного ключа (16 сентября)
• Остановка веб-сервисов, в которых были обнаружены уязвимости, и исправление уязвимых мест [в процессе] (последовательно с 16 сентября, SFC-SFS – 29 сентября)
• Остановка системы SFC-SFS (29 сентября)

О первоначальных мерах реагирования Keio SFC

Когда обнаруживается незаконный доступ, обычно устанавливается штаб по борьбе с кризисом для первоначального реагирования. Однако, в данном случае, похоже, что IT-отдел под руководством г-на Kuniyo, постоянного директора Keio и главного информационного и безопасного офицера, функционировал как штаб по борьбе с кризисом.

Важно в первоначальном реагировании предотвратить распространение ущерба и возникновение вторичного ущерба путем “изоляции информации”, “блокирования сети” и “остановки сервисов”. Однако, в случае Keio SFC, пользователи системы ограничены студентами и персоналом, поэтому приоритет отдается изменению паролей и ограничению способов входа в систему.

Однако, тот факт, что они немедленно приняли меры после обнаружения предвестников незаконного доступа, и то, что они остановили систему SFC-SFS 29 сентября, когда была обнаружена возможность утечки информации, можно считать адекватным управлением кризисной ситуацией.

То, что вызывает вопросы в отношении первоначального реагирования Keio SFC, – это то, были ли приняты меры по сохранению доказательств против незаконного доступа, который является преступлением, и были ли они сообщены надзорным органам или полиции. Однако, так как нет упоминаний об этом в пресс-релизах или СМИ, это невозможно подтвердить.

О уведомлении заинтересованных сторон

Уведомление студентов и персонала Keio SFC было выполнено в виде служебной почты, как показано ниже, и первое упоминание о утечке личной информации, по-видимому, было в письме от 30 сентября.

29 сентября, сотрудникам Keio SFC было сообщено, что система SFC-SFS была остановлена из-за “серьезной проблемы”.

30 сентября, всем пользователям SFC-SFS было предложено изменить пароли, так как возникла возможность утечки “информации об учетных записях пользователей” из-за этой проблемы.

Кроме того, сотрудникам было сообщено, что из-за остановки SFC-SFS они не смогут связаться с студентами, как это было запланировано, и что занятия будут отменены на определенный период.

J-CAST News, узнав об этом, провел расследование и в тот же день опубликовал статью под заголовком “Серьезная проблема с системой занятий в Keio SFC, начало осеннего семестра откладывается на неделю”, в которой стало известно о утечке “информации об учетных записях пользователей”.

1 октября, на веб-сайте Keio SFC было объявлено для студентов, что система SFC-SFS была остановлена 29 сентября из-за возможности незаконного доступа, и что из-за этого занятия будут отменены с 1 по 7 октября. (Примечание: нет упоминания о утечке личной информации)

Пресс-релиз после обнаружения утечки информации

Первое официальное заявление о незаконном доступе и утечке персональных данных было сделано 10 ноября на веб-сайте.

В этот раз, в информационной сетевой системе кампуса Shonan Fujisawa (SFC-CNS) и системе поддержки обучения (SFC-SFS), были украдены идентификаторы и пароли 19 пользователей (преподавателей) каким-то образом, и с использованием этих данных был осуществлен незаконный доступ извне и атака, эксплуатирующая уязвимости системы поддержки обучения (SFC-SFS). Было установлено, что существует возможность утечки персональных данных пользователей из этой системы. Мы глубоко извиняемся за причиненные неудобства и беспокойство всем заинтересованным сторонам. Отметим, что на данный момент вторичный ущерб не подтвержден.

Keio University “О утечке персональных данных из-за незаконного доступа к SFC-CNS и SFC-SFS”[ja]

В этом пресс-релизе также была подробно описана следующая информация:

• Содержание возможно утекшей персональной информации
• Обстоятельства обнаружения утечки
• Причины утечки
• Меры, принятые после обнаружения
• Текущая ситуация
• Меры по предотвращению повторения

Вышеуказанный контент практически полностью охватывает необходимые элементы для публикации информации об утечке информации.

О пресс-релизе Keio SFC

Время пресс-релиза

В идеале, Keio SFC должен был сначала сам сделать публичное заявление, но факт того, что они сделали это только спустя 41 день после сообщения J-CAST News, нельзя назвать иначе как опозданием.

Потому что в случае утечки персональной информации, необходимо срочно уведомить лиц, чья информация утекла, чтобы предотвратить вторичный ущерб.

Однако, если они сообщили конкретное содержание “информации об учетной записи пользователя” при запросе на изменение пароля 30 сентября, то проблемы нет.

Предупреждение о мошенничестве и неприятных действиях

В пресс-релизе после обнаружения утечки информации необходимо сделать публичное заявление о произошедшей утечке информации, извиниться перед лицом, чья персональная информация была утекла, и предупредить о возможности стать жертвой мошенничества и неприятных действий.

Если информация, которая была закрыта внутри кампуса, утечет во внешний мир, существует вероятность ее злоупотребления, и в данном случае необходимо предупреждение о мошенничестве и неприятных действиях.

Штаб по борьбе с кризисом

В пресс-релизе о “мерах по предотвращению повторения” Keio SFC описывает штаб по борьбе с кризисом следующим образом:

В Keio University, учитывая этот случай незаконного доступа, мы немедленно приступим к мерам по предотвращению повторения, таким как проверка и улучшение безопасности веб-приложений и систем, пересмотр обработки личной информации для ее защиты и т.д. Кроме того, с 1 ноября 2020 года (2020 год по Григорианскому календарю) мы установили CSIRT (Команду по реагированию на инциденты информационной безопасности) в университете и будем стремиться к усилению безопасности во всем университете, создавая организацию, способную обеспечить всеобъемлющий ответ на кибербезопасность, и сотрудничая с внешними специализированными организациями.

Keio University “О утечке личной информации из-за незаконного доступа к SFC-CNS и SFC-SFS”[ja]

Похоже, что первоначальный ответ на этот вопрос был предоставлен внутренней организацией Keio SFC, которая выполнила роль штаба по борьбе с кризисом, но “CSIRT”, установленный 1 ноября 2020 года, является организацией, соответствующей штабу по борьбе с кризисом, который станет центром ответа на кризис в случае возникновения инцидента в будущем и усиления безопасности.

Состав членов CSIRT неизвестен, но, помимо мер безопасности системы, необходимо одновременно проводить контакты с целевыми пользователями, отчеты регуляторам и полиции, работу со СМИ, рассмотрение юридической ответственности и т.д., поэтому обычно требуется участие следующих внешних третьих сторон и специалистов:

• Крупные компании-разработчики программного обеспечения
• Крупные специализированные поставщики безопасности
• Внешние адвокаты, специализирующиеся на кибербезопасности

Заключение

Даже в случае, как в этот раз, когда обнаруживается утечка личной информации в образовательной сфере, важными являются адекватные “первоначальные меры” и “уведомления, отчеты и публикации”, основанные на штабе по противодействию, а также последующие “меры безопасности”.

Особенно важна скорость не только в первоначальных мерах, но и в уведомлениях и отчетах для полиции и соответствующих ведомств, уведомлениях для субъекта (извинения) и публикации в подходящее время.

Однако, если вы ошибетесь в процедуре или методе решения, вы можете быть привлечены к ответственности за возмещение ущерба, поэтому рекомендуется обсуждать это заранее с адвокатом, который обладает богатыми знаниями и опытом в области кибербезопасности, а не принимать решение самостоятельно.

Если вас интересует управление кризисом во время утечки информации из-за вредоносного ПО Capcom, пожалуйста, ознакомьтесь с этой статьей, где мы подробно описываем эту тему.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Информация о мерах, предпринимаемых нашей юридической фирмой

Юридическая фирма Monolith обладает высокой специализацией в области IT, особенно в интернете и праве. В нашей фирме мы проводим юридическую проверку различных вопросов, начиная от компаний, которые зарегистрированы на Токийской бирже в первом разделе (Prime), до стартапов. Пожалуйста, ознакомьтесь с информацией в статье ниже.

https://monolith.law/contractcreation[ja]