การจัดการวิกฤติและบทบาทของทนายความจากการรั่วไหลของข้อมูลจากมหาวิทยาลัย Keio (Keio University)

การรั่วไหลของข้อมูลจากการเข้าถึงอย่างไม่ชอบธรรมไม่จำกัดเฉพาะในองค์กรเท่านั้น แต่ยังเกิดขึ้นในสถานศึกษาด้วย แต่การตอบสนองต่อสถานการณ์ดังกล่าวของสถานศึกษานั้นดูเหมือนจะแตกต่างจากองค์กรบ้าง

โดยเฉพาะข้อมูลส่วนบุคคล ซึ่งมักจะเกี่ยวข้องกับนักเรียนและบุคลากรทางการศึกษา เมื่อเกิดเหตุการณ์การรั่วไหลของข้อมูล การเปิดเผยข้อมูลมักจะถูกจำกัดเฉพาะในขอบเขตที่กำหนด

อย่างไรก็ตาม ไม่ว่าจะเป็นองค์กรหรือสถานศึกษา การปกป้องข้อมูลส่วนบุคคลนั้นไม่มีอะไรเปลี่ยนแปลง และหลักการจัดการวิกฤติในกรณีของการรั่วไหลข้อมูลนั้นยังคงเดิม

ดังนั้น ในครั้งนี้ เราจะอธิบายเกี่ยวกับจุดสำคัญของระบบจัดการวิกฤติจากมุมมองของการจัดการวิกฤติในกรณีของการรั่วไหลของข้อมูลส่วนบุคคลจากการเข้าถึงอย่างไม่ชอบธรรม โดยอ้างอิงการตอบสนองต่อเหตุการณ์การรั่วไหลข้อมูลของมหาวิทยาลัย Keio Shonan Fujisawa Campus (หรือ Keio SFC)

ภาพรวมของเหตุการณ์รั่วไหลข้อมูลที่ Keio SFC

เนื้อหาหลักเกี่ยวกับการรั่วไหลข้อมูลจากการเข้าถึงโดยไม่ชอบธรรมที่เกิดขึ้นที่ Keio SFC มีดังนี้

• การเปิดเผยการรั่วไหล: ในช่วงเช้าวันที่ 29 กันยายน 2563 มีการตรวจพบความเป็นไปได้ของการรั่วไหลข้อมูลจากการเข้าถึงโดยไม่ชอบธรรมในระบบสนับสนุนการสอน (SFC-SFS)
  ※ SFC-SFS เป็นระบบที่มีฟังก์ชันที่สามารถส่งอีเมล์ถึงผู้เรียนทั้งหมด ดาวน์โหลดรายชื่อผู้เรียน ลงทะเบียนรายงาน/งาน รับงานที่ส่งมา ลงทะเบียนผลการเรียน (ความคิดเห็น) และการป้อนความคิดเห็น/การดูความคิดเห็นในการสำรวจการสอน
• สาเหตุของการรั่วไหล: ไอดีและรหัสผ่านของผู้ใช้ระบบ 19 คนถูกขโมย และมีบุคคลที่สามใช้โดยไม่ชอบธรรมเพื่อเข้าสู่ระบบ ความอ่อนแอของ SFC-SFS ถือว่าเป็นสาเหตุหลัก
• ขอบเขตของการรั่วไหล: ข้อมูลส่วนบุคคลของนักศึกษาและบุคลากรที่ถูกจัดการโดย Shonan Fujisawa Campus
• เนื้อหาของการรั่วไหล: รวมถึง “ชื่อ” “ที่อยู่” “ชื่อบัญชี” “ที่อยู่อีเมล” และในกรณีของนักศึกษาจะมี “รูปถ่าย” “หมายเลขนักศึกษา” “ข้อมูลการได้รับหน่วยกิต” “วันที่เข้าศึกษา” สำหรับบุคลากรจะมี “หมายเลขบุคลากร” “ตำแหน่ง” “โปรไฟล์” “ข้อมูลอีเมลส่วนตัว” และอื่น ๆ
• จำนวนการรั่วไหล: มีความเป็นไปได้ของการรั่วไหลข้อมูลประมาณ 33,000 รายการ

การเปิดเผยการเข้าถึงที่ไม่เป็นธรรมและการตอบสนองเบื้องต้น

เมื่อวันที่ 15 กันยายน เวลา 17:45 น., ฝ่าย IT ของ Keio SFC ได้ยืนยันว่ามีการสำรวจช่องโหว่ของระบบ SFC-SFS อย่างกระจายตัว

นอกจากนี้ ในคืนวันที่ 28 กันยายน, พวกเราได้ตรวจจับการเข้าถึงที่น่าสงสัยในระบบ SFC-SFS และผลการสอบสวนที่ได้รับในช่วงเช้าวันที่ 29 กันยายน พบว่ามีความเป็นไปได้ที่จะมีการรั่วไหลของข้อมูลจากการเข้าถึงที่ไม่เป็นธรรม

Keio SFC ได้เริ่มการตอบสนองเบื้องต้นต่อการสำรวจช่องโหว่ที่เป็นสัญญาณของการเข้าถึงที่ไม่เป็นธรรมในวันถัดไปหลังจากการยืนยัน

• ขอให้ผู้ใช้ทั้งหมดเปลี่ยนรหัสผ่าน (16 กันยายน, 30 กันยายน)
• ตรวจสอบและติดตามการรับรองความถูกต้องและบันทึกการรับรองความถูกต้องอย่างต่อเนื่อง (ตั้งแต่ 16 กันยายน)
• จำกัดการเข้าสู่ระบบเซิร์ฟเวอร์ที่ใช้ร่วมกันจากภายนอกเฉพาะการรับรองความถูกต้องด้วยคีย์สาธารณะ (16 กันยายน)
• หยุดการให้บริการเว็บที่มีช่องโหว่และแก้ไขช่องโหว่【กำลังดำเนินการ】(ตั้งแต่ 16 กันยายน, SFC-SFS ในวันที่ 29 กันยายน)
• หยุดระบบ SFC-SFS (29 กันยายน)

เกี่ยวกับการตอบสนองเบื้องต้นของ Keio SFC

ในกรณีที่เปิดเผยการเข้าถึงที่ไม่เป็นธรรม, การตั้งคณะทำงานเพื่อตอบสนองเบื้องต้นเป็นสิ่งที่พื้นฐาน แต่ในกรณีนี้ ดูเหมือนว่าฝ่าย IT ที่มีนาย Kuniyo ซึ่งเป็นผู้บริหารถาวรของ Keio และเป็นผู้รับผิดชอบสูงสุดด้านข้อมูลและความปลอดภัยของข้อมูลเป็นผู้นำ ได้ทำหน้าที่เป็นคณะทำงาน

สิ่งที่สำคัญในการตอบสนองเบื้องต้นคือการทำการ “แยกข้อมูล” “ตัดการเชื่อมต่อเครือข่าย” และ “หยุดการให้บริการ” เพื่อป้องกันการขยายผลกระทบและการเกิดความเสียหายครั้งที่สอง แต่ในกรณีของ Keio SFC ผู้ใช้ระบบไม่ได้เป็นจำนวนมากที่ไม่ระบุชื่อ แต่จำกัดเฉพาะนักศึกษาและบุคลากร ดังนั้น การเปลี่ยนรหัสผ่านและการจำกัดวิธีการเข้าสู่ระบบได้รับความสำคัญเป็นพิเศษ

อย่างไรก็ตาม, การที่เราได้เริ่มต้นดำเนินการทันทีหลังจากยืนยันสัญญาณของการเข้าถึงที่ไม่เป็นธรรม และการที่เราได้หยุดระบบ SFC-SFS ในวันที่ 29 กันยายน เมื่อพบว่ามีความเป็นไปได้ที่จะมีการรั่วไหลข้อมูล สามารถกล่าวได้ว่าเป็นการจัดการกับวิกฤติที่เหมาะสม

จุดที่น่าสนใจเกี่ยวกับการตอบสนองเบื้องต้นของ Keio SFC คือ การที่เราได้ดำเนินการรักษาหลักฐานเกี่ยวกับการเข้าถึงที่ไม่เป็นธรรมที่เป็นอาชญากรรม และได้รายงานให้กับหน่วยงานดูแลหรือตำรวจหรือไม่ แต่เราไม่สามารถยืนยันได้เนื่องจากไม่มีการอธิบายในประกาศข่าวหรือสื่อข่าว

เกี่ยวกับการแจ้งให้ผู้ที่เกี่ยวข้องทราบ

การแจ้งให้นักศึกษาและบุคลากรของ Keio SFC ทราบได้ดำเนินการในรูปแบบของอีเมลที่เกี่ยวข้องกับการทำงาน และครั้งแรกที่พูดถึงการรั่วไหลของข้อมูลส่วนบุคคลคือในอีเมลวันที่ 30 กันยายน

ในวันที่ 29 กันยายน, ได้แจ้งให้บุคลากรที่สังกัด Keio SFC ทราบว่า “มีปัญหาที่ร้ายแรง” ทำให้ต้องหยุดระบบ SFC-SFS

ในวันที่ 30 กันยายน, ได้ขอให้ผู้ใช้ทั้งหมดของ SFC-SFS เปลี่ยนรหัสผ่าน เนื่องจากมีความเป็นไปได้ว่า “ข้อมูลบัญชีผู้ใช้” อาจจะรั่วไหลเนื่องจากปัญหานี้

นอกจากนี้ ได้แจ้งให้บุคลากรที่สังกัดทราบว่า ไม่สามารถดำเนินการเลือกผู้เรียนและติดต่อนักศึกษาที่ลงทะเบียนตามที่วางแผนได้ เนื่องจากการหยุดระบบ SFC-SFS ดังนั้นจึงต้องยกเลิกการสอนในระยะเวลาหนึ่ง

J-CAST News ได้รับข้อมูลนี้และได้สัมภาษณ์ และในวันเดียวกันได้เผยแพร่บทความที่มีชื่อว่า “มีปัญหาที่ร้ายแรงกับระบบการสอนที่ Keio SFC, การเริ่มภาคเรียนในฤดูใบไม้ร่วงล่าช้า 1 สัปดาห์เป็นสถานการณ์ที่ผิดปกติ” ทำให้ “ข้อมูลบัญชีผู้ใช้” ถูกเปิดเผยต่อสาธารณะ

ในวันที่ 1 ตุลาคม, ได้แจ้งให้นักศึกษาทราบผ่านเว็บไซต์ของ Keio SFC ว่า มีความเป็นไปได้ว่าจะมีการเข้าถึงที่ไม่เป็นธรรม ดังนั้นจึงได้หยุดระบบ SFC-SFS ในวันที่ 29 กันยายน และเนื่องจากผลกระทบจากสิ่งนี้ จึงได้แจ้งว่าจะยกเลิกการสอนตั้งแต่วันที่ 1 ถึง 7 ตุลาคม (※ไม่ได้ระบุเกี่ยวกับการรั่วไหลของข้อมูลส่วนบุคคล)

การประกาศผ่านสื่อมวลชนหลังจากการรั่วไหลของข้อมูล

การเปิดเผยครั้งแรกเกี่ยวกับการรั่วไหลของข้อมูลส่วนบุคคลจากการเข้าถึงที่ไม่เป็นธรรมดาเกิดขึ้นในวันที่ 10 พฤศจิกายน บนเว็บไซต์ของเรา

ครั้งนี้ ในระบบเครือข่ายข้อมูลของวิทยาเขต Shonan Fujisawa (SFC-CNS) และระบบสนับสนุนการสอน (SFC-SFS) ได้รับการโจมตีจากการใช้ ID และรหัสผ่านของผู้ใช้ระบบ 19 คน (คณาจารย์และบุคลากร) ที่ถูกโจรกรรม และการเข้าถึงที่ไม่เป็นธรรมดาจากภายนอก ผ่านช่องโหว่ของระบบสนับสนุนการสอน (SFC-SFS) ทำให้ข้อมูลส่วนบุคคลของผู้ใช้ระบบอาจจะรั่วไหลออกไป ขณะนี้เราได้ทราบถึงสถานการณ์นี้แล้ว และขออภัยอย่างยิ่งที่ทำให้ทุกท่านที่เกี่ยวข้องเกิดความวุ่นวายและกังวล อย่างไรก็ตาม ณ ปัจจุบันยังไม่มีการยืนยันเกี่ยวกับความเสียหายที่เกิดขึ้นครั้งที่สอง

Keio University “เกี่ยวกับการรั่วไหลของข้อมูลส่วนบุคคลจากการเข้าถึงที่ไม่เป็นธรรมดาใน SFC-CNS และ SFC-SFS”

ในการประกาศผ่านสื่อมวลชนนี้ ยังมีข้อมูลรายละเอียดเกี่ยวกับเรื่องต่อไปนี้

• เนื้อหาของข้อมูลส่วนบุคคลที่อาจจะรั่วไหล
• วิธีการที่รู้ว่าข้อมูลรั่วไหล
• สาเหตุของการรั่วไหลของข้อมูล
• การตอบสนองหลังจากทราบข้อมูล
• สถานะปัจจุบัน
• มาตรการป้องกันการเกิดขึ้นซ้ำ

เนื้อหาดังกล่าวครอบคลุมเกือบทุกประเด็นที่จำเป็นสำหรับเอกสารการเปิดเผยเกี่ยวกับการรั่วไหลของข้อมูล

เกี่ยวกับการประกาศผ่านสื่อมวลชนของ Keio SFC

เวลาของการประกาศผ่านสื่อมวลชน

ในสภาพปกติ Keio SFC ควรจะเป็นผู้เปิดเผยข้อมูลเองก่อน แต่การที่เปิดเผยข้อมูลหลังจากการรายงานของ J-CAST News 41 วัน ถือว่าเป็นการล่าช้า

เพราะในกรณีของการรั่วไหลของข้อมูลส่วนบุคคล การแจ้งให้ผู้ที่ข้อมูลของเขาถูกรั่วไหลทราบเป็นสิ่งที่ต้องรีบทำเพื่อป้องกันความเสียหายที่เกิดขึ้นครั้งที่สอง

อย่างไรก็ตาม หากในวันที่ 30 กันยายน ที่มีการขอเปลี่ยนรหัสผ่าน และได้แจ้งเกี่ยวกับเนื้อหาที่เฉพาะเจาะจงของ “ข้อมูลบัญชีผู้ใช้” แล้ว จะไม่มีปัญหา

การเตือนเกี่ยวกับการฉ้อโกงและการกระทำที่น่ารำคาญ

ในการประกาศผ่านสื่อมวลชนหลังจากการรั่วไหลของข้อมูล ควรจะเปิดเผยเกี่ยวกับการรั่วไหลของข้อมูลที่เกิดขึ้น และหากข้อมูลส่วนบุคคลถูกรั่วไหล ควรแจ้งให้ผู้ที่ข้อมูลของเขาถูกรั่วไหลทราบ และขออภัย พร้อมทั้งเตือนเกี่ยวกับการฉ้อโกงและการกระทำที่น่ารำคาญ เพื่อป้องกันการเกิดความเสียหาย

แม้ข้อมูลภายในวิทยาเขตที่ถูกปิดกั้นจะรั่วไหลออกไปยังโลกภายนอก ก็ยังมีความเป็นไปได้ที่จะถูกนำไปใช้ในทางที่ไม่เหมาะสม ในกรณีนี้ การเตือนเกี่ยวกับการฉ้อโกงและการกระทำที่น่ารำคาญยังคงจำเป็นอยู่

ศูนย์กลางการตอบสนองต่อวิกฤติคือศูนย์การปฏิบัติการ

ในการประกาศข่าว “มาตรการป้องกันการเกิดขึ้นซ้ำ” ของ Keio SFC ได้มีการอธิบายเกี่ยวกับศูนย์การปฏิบัติการดังต่อไปนี้

ที่ Keio University จะดำเนินการตรวจสอบและปรับปรุงความปลอดภัยของแอปพลิเคชันเว็บและระบบทั่วโรงเรียน รวมถึงการทบทวนวิธีการจัดการข้อมูลส่วนบุคคลเพื่อป้องกันการเกิดขึ้นซ้ำ โดยเริ่มดำเนินการโดยเร็วที่สุด นอกจากนี้ เราได้ตั้งทีมตอบสนองต่ออุบัติการณ์ด้านความปลอดภัยข้อมูล (CSIRT) ในวันที่ 1 พฤศจิกายน 2563 (2020) และจะดำเนินการสร้างองค์กรที่สามารถตอบสนองต่อความปลอดภัยไซเบอร์อย่างครอบคลุม รวมถึงการทำงานร่วมกับหน่วยงานที่เชี่ยวชาญด้านนอก เพื่อเพิ่มความแข็งแกร่งด้านความปลอดภัยในทั่วโรงเรียน

Keio University “เกี่ยวกับการรั่วไหลของข้อมูลส่วนบุคคลจากการเข้าถึงที่ไม่เป็นธรรมของ SFC-CNS และ SFC-SFS”

การตอบสนองเริ่มแรกของเรื่องนี้ดูเหมือนว่าองค์กรภายในของ Keio SFC ได้ทำหน้าที่เป็นศูนย์การปฏิบัติการ แต่ “CSIRT” ที่ตั้งขึ้นในวันที่ 1 พฤศจิกายน 2563 (2020) เป็นองค์กรที่เทียบเท่ากับศูนย์การปฏิบัติการที่จะเป็นศูนย์กลางในการตอบสนองต่อวิกฤติและการเพิ่มความแข็งแกร่งด้านความปลอดภัยในอนาคต

สมาชิกใน CSIRT ยังไม่ทราบว่ามีใครบ้าง แต่นอกจากการป้องกันความปลอดภัยของระบบแล้ว ยังต้องมีการติดต่อกับผู้ใช้ที่เป็นเป้าหมาย การรายงานให้กับหน่วยงานดูแลและตำรวจ การตอบสนองต่อสื่อ และการพิจารณาความรับผิดชอบทางกฎหมาย ซึ่งทั่วไปแล้วจะต้องมีการมีส่วนร่วมของหน่วยงานบุคคลที่สามภายนอกและผู้เชี่ยวชาญดังต่อไปนี้

• บริษัทซอฟต์แวร์ชั้นนำ
• ผู้ขายที่เชี่ยวชาญด้านความปลอดภัยชั้นนำ
• ทนายความภายนอกที่มีความรู้ลึกซึ้มเกี่ยวกับความปลอดภัยไซเบอร์

สรุป

ในกรณีที่เหมือนกับครั้งนี้ที่มีการรั่วไหลของข้อมูลส่วนบุคคลในสถานศึกษา การตอบสนองเร่งด่วนที่เหมาะสมและการแจ้งข่าว การรายงาน การเปิดเผยโดยมีศูนย์การบริหารความเสี่ยงเป็นหลัก รวมถึงมาตรการด้านความปลอดภัยที่ตามมานั้นสำคัญมาก

สิ่งที่ต้องการความรวดเร็วโดยเฉพาะ ไม่ได้เพียงแค่การตอบสนองเร่งด่วนเท่านั้น แต่ยังรวมถึงการแจ้งข่าว การรายงานไปยังตำรวจหรือหน่วยงานที่เกี่ยวข้อง การแจ้งข่าว (ขอโทษ) ไปยังบุคคลที่เกี่ยวข้อง และการเปิดเผยในช่วงเวลาที่เหมาะสม

อย่างไรก็ตาม หากท่านทำขั้นตอนหรือวิธีการจัดการผิดพลาด อาจต้องเผชิญกับความรับผิดชอบในการชดใช้ค่าเสียหาย ดังนั้น แนะนำให้ท่านปรึกษากับทนายความที่มีความรู้และประสบการณ์เกี่ยวกับความปลอดภัยไซเบอร์ และไม่ควรตัดสินใจด้วยตนเอง

สำหรับผู้ที่สนใจในการจัดการวิกฤติการรั่วไหลข้อมูลจากมัลแวร์ของ Capcom สามารถดูรายละเอียดเพิ่มเติมในบทความนี้

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

การแนะนำมาตรการจากสำนักงานทนายความของเรา

สำนักงานทนายความ Monolis คือสำนักงานที่มีความเชี่ยวชาญสูงในด้าน IT โดยเฉพาะอินเทอร์เน็ตและกฎหมาย ที่สำนักงานของเรา เราทำการตรวจสอบทางกฎหมายสำหรับเรื่องที่หลากหลาย ตั้งแต่องค์กรที่อยู่ในรายการหลักทรัพย์สูงสุดของตลาดหลักทรัพย์โตเกียว (Tokyo Stock Exchange Prime) ไปจนถึงบริษัทสตาร์ทอัพ โปรดอ้างอิงบทความด้านล่างนี้

https://monolith.law/contractcreation[ja]