Lärdomar från Keio Universitets informationsläcka: Krismanagement och advokatens roll
Informationläckage på grund av obehörig åtkomst sker inte bara inom företag, utan även inom utbildningssektorn, men responsen verkar vara något annorlunda jämfört med företag.
Särskilt när det gäller personuppgifter, som huvudsakligen involverar studenter och lärare, tenderar offentliggörandet av information att vara begränsat till en viss omfattning när en informationsläcka inträffar.
Men när det gäller skydd av personuppgifter, förändras ingenting, vare sig det är ett företag eller en skola, och grunderna för krishantering vid informationsläckage är desamma.
Därför kommer vi i denna artikel att förklara nyckelpunkterna i krishanteringssystemet baserat på hur Keio University Shonan Fujisawa Campus (härefter, Keio SFC) hanterade en informationsläcka orsakad av obehörig åtkomst.
Översikt över informationsläckan vid Keio SFC
De huvudsakliga detaljerna om informationsläckan orsakad av obehörig åtkomst vid Keio SFC är följande:
- Upptäckt av läckan: Den 29 september 2020 upptäcktes möjligheten till informationsläckage på grund av obehörig åtkomst till kursstödssystemet (SFC-SFS)※.
※SFC-SFS är ett system med funktioner som massutskick av e-post till kursdeltagare, nedladdning av kursdeltagarlistor, registrering av rapporter och uppgifter, mottagning av inlämningar, registrering av betyg (kommentarer), inmatning och visning av kommentarer till kursundersökningar. - Orsak till läckan: 19 systemanvändares ID och lösenord stals och missbrukades av en tredje part för att bryta sig in i systemet. Sårbarheten i SFC-SFS anses vara den huvudsakliga orsaken.
- Omfattning av läckan: Personlig information om studenter och personal som hanteras av Shonan Fujisawa Campus.
- Innehåll i läckan: Förutom “namn”, “adress”, “kontonamn” och “e-postadress”, inkluderar studentinformation “fotografier”, “studentnummer”, “information om erhållna studiepoäng”, “datum för inträde”, etc. För personal inkluderar det “personalnummer”, “position”, “profil”, “personlig e-postdata”, etc.
- Antal läckor: Det finns en möjlighet för informationsläckage i cirka 33 000 fall.
Upptäckt av obehörig åtkomst och initial respons
Den 15 september kl. 17:45 upptäckte IT-avdelningen vid Keio SFC tecken på sporadiska sårbarhetssökningar mot SFC-SFS.
Ytterligare, på kvällen den 28 september, upptäcktes misstänkt åtkomst till SFC-SFS-systemet och efter undersökning, blev det klart tidigt på morgonen den 29 september att det fanns en möjlighet för informationsläckage på grund av obehörig åtkomst.
Keio SFC inledde följande initiala åtgärder dagen efter att sårbarhetssökningen, ett tecken på obehörig åtkomst, bekräftades:
- Begäran om lösenordsändring för alla användare (16 september, 30 september)
- Kontinuerlig övervakning av alla autentiseringspunkter och autentiseringsloggar (fortsatt från 16 september)
- Begränsning av inloggning till delade beräkningsservrar från utanför skolan till endast offentlig nyckelautentisering (16 september)
- Stoppa webbtjänster där sårbarheter har bekräftats och reparera sårbara punkter【Pågående】(Sekventiellt från 16 september, SFC-SFS den 29 september)
- Stoppa SFC-SFS-systemet (29 september)
Om Keio SFC:s initiala respons
När obehörig åtkomst upptäcks är det grundläggande att inrätta en åtgärdscentral och hantera den initiala responsen. I detta fall verkar IT-avdelningen, ledd av Mr. Kuniryō, den ständiga direktören vid Keio Gijuku och den högsta informations- och säkerhetsansvarige, ha fungerat som åtgärdscentral.
Det viktiga med den initiala responsen är att förhindra spridning av skada och uppkomsten av sekundär skada genom att “isolera information”, “blockera nätverket” och “stoppa tjänster”. I Keio SFC:s fall prioriteras lösenordsändring och begränsning av inloggningsmetoder eftersom användarna av systemet inte är obestämda, utan begränsade till studenter och lärare.
Men det faktum att de agerade omedelbart när de upptäckte tecken på obehörig åtkomst, och att de stoppade SFC-SFS-systemet den 29 september när möjligheten till informationsläckage blev klar, kan sägas vara en lämplig krishanteringsrespons.
En punkt av intresse angående Keio SFC:s initiala respons är om de vidtog bevisbevarande åtgärder mot den olagliga åtkomsten, som är ett brott, och rapporterade till tillsynsmyndigheter och polisen. Detta kan dock inte bekräftas eftersom det inte finns någon beskrivning i pressmeddelanden eller medierapporter.
Om meddelande till berörda parter
Meddelandet till Keio SFC:s studenter och lärare utfördes i form av en affärskommunikations-e-post som följer, och det första e-postmeddelandet som nämnde läckage av personuppgifter verkar ha varit den 30 september.
Den 29 september meddelades Keio SFC:s anställda att SFC-SFS skulle stoppas på grund av en “allvarlig störning”.
Den 30 september begärdes alla användare av SFC-SFS att ändra sina lösenord eftersom det fanns en möjlighet att “användarkontoinformation” hade läckt på grund av denna störning.
Även anställda meddelades att de inte skulle kunna genomföra urval av studenter som tar kurser eller kontakta studenter som tar kurser som planerat på grund av stoppet av SFC-SFS, och att de skulle ta ledigt för en viss period.
När J-CAST News hörde denna information, rapporterade de samma dag i en artikel med titeln “Allvarlig störning i Keio SFC:s undervisningssystem, starten av höstterminen försenad med en vecka”, och “användarkontoinformation” blev offentlig.
Den 1 oktober meddelade Keio SFC på sin webbplats för studenter att SFC-SFS hade stoppats den 29 september på grund av möjligheten till obehörig åtkomst, och att det skulle vara ledigt från den 1 till den 7 oktober på grund av denna effekt. (※ Ingen omnämnande av personuppgiftsläckage)
Pressmeddelande efter upptäckt av informationsläcka
Den första offentliga tillkännagivandet om personuppgiftsläckage på grund av obehörig åtkomst gjordes den 10 november på vår webbplats.
Vi har upptäckt att det finns en möjlighet att personuppgifter har läckt ut från vårt informationssystem på Shonan Fujisawa Campus (SFC-CNS) och vårt undervisningsstödsystem (SFC-SFS). Detta beror på att användar-ID och lösenord för 19 användare (lärare och personal) har stulits på något sätt, och dessa har använts för obehörig åtkomst från utomstående och attacker som utnyttjar sårbarheter i undervisningsstödsystemet (SFC-SFS). Vi ber om ursäkt för besväret och oron detta har orsakat alla berörda. För närvarande har vi inte bekräftat några sekundära skador.
Keio University “Om personuppgiftsläckage på grund av obehörig åtkomst till SFC-CNS och SFC-SFS”[ja]
Detta pressmeddelande innehöll också detaljerad information om följande punkter:
- Innehållet i de personuppgifter som kan ha läckt ut
- Omständigheterna kring upptäckten av läckaget
- Orsaken till läckaget
- Åtgärder efter upptäckten
- Nuvarande situation
- Åtgärder för att förhindra återkommande händelser
Ovanstående innehåll täcker nästan alla punkter som behövs i offentliga dokument om informationsläckage.
Om Keio SFC:s pressmeddelande
Tidpunkten för pressmeddelandet
I normala fall borde Keio SFC ha offentliggjort detta själva först, men det faktum att de offentliggjorde det 41 dagar efter att J-CAST News rapporterade om det kan inte hjälpas att ses som sent.
Detta beror på att det är nödvändigt att snabbt meddela de berörda personerna om läckaget av deras personuppgifter för att förhindra sekundära skador.
Men om de informerade om det specifika innehållet i “användarkontoinformationen” vid begäran om lösenordsändring den 30 september, finns det inga problem.
Varning för bedrägeri och störande beteende
I ett pressmeddelande efter upptäckten av informationsläckage, måste man offentliggöra information om det inträffade läckaget, meddela och be om ursäkt till den person vars personuppgifter har läckt ut, och varna för att vara försiktig så att de inte blir offer för bedrägeri eller störande beteende.
Även information inom en stängd campus kan missbrukas om den läcker ut till omvärlden, och i detta fall är det nödvändigt att varna för bedrägeri och störande beteende.
Krisresponsens kärna: Åtgärdscentralen
Keio SFC beskriver åtgärdscentralen i sitt pressmeddelande om “åtgärder för att förhindra återfall” på följande sätt:
Keio University kommer, med tanke på denna incident med obehörig åtkomst, att snabbt ta itu med åtgärder för att förhindra återfall, såsom säkerhetskontroller och förbättringar av webbapplikationer och system över hela universitetet, samt översyn av hanteringen av personuppgifter för att skydda dem. Dessutom, från och med den 1 november 2020 (Gregorianska kalendern), har vi inrättat ett CSIRT (Cyber Security Incident Response Team) inom universitetet, och vi kommer att arbeta för att stärka säkerheten över hela universitetet, samtidigt som vi bygger en organisation som kan hantera cyber-säkerhet på ett omfattande sätt, i samarbete med externa specialiserade institutioner.
Keio University “Om läckage av personuppgifter genom obehörig åtkomst till SFC-CNS och SFC-SFS”[ja]
Det verkar som om den ursprungliga responsen på denna fråga utfördes av Keio SFC:s interna organisation, som fungerade som åtgärdscentralen. Men “CSIRT”, som inrättades den 1 november 2020 (Gregorianska kalendern), är en organisation som motsvarar åtgärdscentralen, som kommer att vara kärnan i krisresponsen om det uppstår incidenter i framtiden och för att stärka säkerheten.
Det är oklart vilka som är medlemmar i CSIRT, men eftersom det inte bara handlar om att vidta säkerhetsåtgärder för systemet, utan också om att kontakta berörda användare, rapportera till tillsynsmyndigheter och polisen, hantera media och överväga juridiskt ansvar, är det generellt nödvändigt att involvera följande externa tredjepartsorganisationer och experter:
- Stora mjukvaruföretag
- Stora säkerhetsspecialistföretag
- Yttre advokater med djup kunskap om cybersäkerhet
Sammanfattning
Även i fall som detta, där det har upptäckts att personuppgifter har läckt ut i utbildningssektorn, är det viktigt med en lämplig “första respons” och “meddelande, rapportering och offentliggörande” centrerat kring åtgärdsstaben, samt “säkerhetsåtgärder” därefter.
Det som särskilt kräver snabbhet är inte bara den första responsen, utan också meddelande och rapportering till polisen och relevanta myndigheter, meddelande (ursäkt) till den berörda personen, och offentliggörande vid rätt tidpunkt.
Men om du gör fel i proceduren eller hur du hanterar situationen kan du bli ansvarig för skadestånd, så det rekommenderas att du konsulterar en advokat med omfattande kunskap och erfarenhet inom cybersäkerhet innan du gör dina egna bedömningar.
Om du är intresserad av krishantering vid informationläckage orsakat av Capcoms skadliga program, vänligen se vår artikel för mer detaljerad information.
https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]
Information om åtgärder från vår byrå
Monolith Advokatbyrå är en juridisk byrå med hög expertis inom IT, särskilt internet och lag. På vår byrå utför vi juridiska kontroller för en mängd olika ärenden, från företag noterade på Tokyo Stock Exchange Prime till uppstartsföretag. Vänligen se artikeln nedan.