650.000 Bilgi Sızıntısı Örneği: Touken Corp'dan Kriz Yönetimi ve Avukatların Rolünü Öğrenmek

2005 yılında (Japon Kişisel Bilgi Koruma Yasası) olarak bilinen Kişisel Bilgi Koruma Yasası’nın tam anlamıyla yürürlüğe girmesiyle birlikte, kişisel bilgileri işleyen işletmeler güvenlik yönetimi önlemleri almak zorunda kalmıştır. Ancak, kişisel bilgi sızıntıları dur durak bilmeden devam etmektedir.

Bilgi sızıntısı olayları meydana geldiğinde, özellikle önemli olan şey, bu durumla nasıl başa çıkılacağı ve hızdır. Özellikle bilgi güvenliği konusunda uzman personeli olmayan küçük ve orta ölçekli işletmelerde, ne yapılması gerektiğine hemen karar verilemeyen durumlar olabilir.

Bu nedenle, bu sefer, Tōken Corporation’ın bilgi sızıntısı olayına ilişkin şirketin tepkisini temel alarak, bilgi sızıntılarına karşı kriz yönetim sistemi hakkında açıklama yapacağız.

Bilgi Sızıntısının Genel Bakışı

Doğu İnşaat Şirketi’nde meydana gelen, yetkisiz erişim sonucu bilgi sızıntısının ana hatları aşağıdaki gibidir:

• Oluşum: 2020 yılının 20 Ağustos – 12 Eylül tarihleri arasındaki 24 gün
• Keşif: 2020 yılının 20 Ekim tarihinde
• Sebep: Grubun web sitesinden, çeşitli kullanıcı bilgilerini saklayan sunucuya üçüncü bir tarafın yetkisiz erişimi sebep olmuştur
• Hedef: Grup şirketlerinin sitelerine soru soranlar, üyeler, çeşitli kampanyalara başvuranlar
• Bilgi: “E-posta adresi”, “isim”, “adres”, “telefon numarası”, “şifre”, “cinsiyet”, “doğum tarihi” vb.
• Adet: Bilgi sızıntısı olasılığı olan toplam 657,096 kişisel bilgi

Yasadışı Erişimin Ortaya Çıkışı ve İlk Tepki

20 Ekim 2020 tarihinde, Touken Corporation, kendi işlettiği “Nasluck Kitchen” web sitesine yönelik yasadışı erişimi düzenli bir inceleme sırasında keşfetti ve aşağıdaki ilk tepkiyi verdi.

• “Nasluck Kitchen”ı acil güvenlik önlemi olarak kapattı ve bu site üzerinden hizmet sunmayı durdurdu.
• “Bilgi Güvenliği Önlemleri Merkezi”ni kurdu ve dış üçüncü taraf kuruluşlara danıştı.
• 11 Kasım’a kadar tüm grup web sitelerini inceledi, geçici güvenlik açıklarını düzeltti ve en fazla sızıntı sayısını ve öğelerini belirledi.

İlk Tepkinin Önemli Noktaları

Yasadışı erişim sonucu bilgi sızıntısı riski tespit edildiğinde, hemen aşağıdaki önlemleri almalı ve zararın yayılmasını, ikincil zararın oluşmasını ve tekrarını önlemelisiniz.

• Gerçeklerin doğrulanması (yasadışı erişimin nedeni, yol vb.)
• Yasadışı erişime uğrayan cihaz veya sitenin durdurulması
• Yasadışı erişime uğrayan cihaz veya sitenin ağdan ayrılması

Bu durumda dikkat etmeniz gereken nokta, dikkatsizce hareket etmemek ve sistemde kalan kanıtları silmemek için kanıt koruma önlemleri almanız gerektiğidir.

Bilgi Sızıntısının Ortaya Çıkmasının Ardından Basın Bülteni

İlk açıklama, 17 Kasım 2020 tarihinde Tōken Corporation’ın (Tokyo Corporation) web sitesinde yapıldı.

Açıklanan bilgiler arasında, yetkisiz erişim hakkında genel bilgiler ve gelecekteki önlemler gibi konuların yanı sıra, “Yetkisiz Erişim Sonucu Bilgi Sızıntısı Olayı Hakkında SSS” şeklinde, gereken bilgilerin oldukça detaylı bir şekilde belirtildiği bir bölüm de bulunmaktaydı.

Tōken Corporation ve grup şirketlerimiz (bundan böyle “grup şirketlerimiz” olarak anılacaktır), grup şirketlerimizin ağına üçüncü bir tarafın yetkisiz erişimde bulunduğunu ve grup şirketlerimizin işlettiği Home Mate’e yapılan sorgulamalar, grup şirketlerinin üye bilgileri ve çeşitli kampanyalara yapılan başvurular gibi kişisel bilgilerin dışarıya sızma ihtimali olduğunu 20 Ekim 2020 tarihinde doğruladı.

Yetkisiz Erişim Sonucu Kişisel Bilgilerin Sızması Hakkında[ja]

Yukarıdaki web sayfasına bağlantı verilen, “Yetkisiz Erişim Sonucu Bilgi Sızıntısı Olayı Hakkında SSS”[ja] başlıklı belgede aşağıdaki konular ele alınmıştır.

Sızdırılan Bilgilerin İçeriği Hakkında

Q Bu sefer hangi bilgiler sızdırıldı?
A Şirketimizin işlettiği grup şirketler dahil tüm sitelerde, ‘İsim’, ‘Adres’, ‘Telefon Numarası’, ‘E-posta Adresi’ ve ‘Şifre’ bilgilerinin sızdırıldığını düşünüyoruz.

Q Kredi kartı bilgileri sızdırıldı mı?
A Grup şirketler dahil şirketimizin işlettiği sitelerde, kredi kartı numarası veya My Number (Japon Kişisel Kimlik Numarası) gibi kişisel tanımlama bilgileri hiçbir şekilde tutulmamaktadır, bu nedenle sızma riski bulunmamaktadır.

Sızdırılan bilgiler hakkında açıklama yaparken, ①sızma olasılığı olan bilgiler ve ②sızma riski olmayan bilgiler olmak üzere iki kategoriye ayırarak belirtmek, gereksiz endişe ve kafa karışıklığını önlemeye yardımcı olabilir.

Gelecekteki Önlemler Hakkında

Q Doğu İnşaat’ın grup şirketlerini de içeren siteleri, gelecekte de güvenle kullanmaya devam edebilir miyim?
A Grup şirketlerimiz dahil olmak üzere tarafımızdan işletilen tüm siteler hakkında, şu anda, benzeri izinsiz erişimlere karşı güvenlik güçlendirmesi tamamlanmıştır.

Q Gelecekte ne tür bir bilgi yönetimi uygulanacak?
A Gelecekte, gerektiğinde üçüncü taraf denetim kuruluşlarından denetim alacak ve eğer site zafiyetleri gibi bir durum tespit edilirse hemen düzeltilecek ve daha sıkı bilgi yönetimine çaba göstereceğiz.

Gelecekteki önlemlerde, kullanıcıların kullandığı sitenin güvenlik yanıtları, yeniden kullanımın mümkün olup olmadığı ve gelecekteki bilgi yönetim sistemi hakkında ayrıntılı bir açıklama yapmak önemlidir.

Zarar Tazminatı ve Diğerleri Hakkında S&S

Q Bilgi sızıntısının kurbanı olan kişiye özür parası veya rahatsızlık ücreti ödenir mi?
A Bu seferki yetkisiz erişim sonucu sızan bilgilerden yola çıkarak, özür parası veya rahatsızlık ücreti ödeme planımız bulunmamaktadır. Ancak, bu bilgi sızıntısı sonucu müşterilerimizin maddi zararları oluşmuş ve somut kanıtlar sunulmuşsa, lütfen firmamızın ‘Kişisel Bilgi Danışma Merkezi’ne başvurun.

Q Hatırlamadığım bir çekim var. Tazminat alabilir miyim?
A Eğer müşterimizin hesabından hatırlamadığı bir çekim yapıldıysa, müşterimizin doğrudan çekimi yapan şirkete başvurmasını rica ederiz. Ayrıca, bu bilgi sızıntısının neden olduğu ve hatırlanmayan bir çekimle bağlantılı olduğu anlaşıldığında, rahatsızlık verdiğimiz için özür dileriz, ancak lütfen firmamızın ‘Kişisel Bilgi Danışma Merkezi’ne bildirin.

Özür parası ve rahatsızlık ücreti ödenmeyecek, ancak bilgi sızıntısının neden olduğu maddi zararlar için zarar tazminatı konusunda bireysel danışmalar yapılacak ve şirket politikası açıkça belirlenmiştir.

İlk Basın Bülteninin Zamanlaması Üzerinde Şüpheler Kalıyor

Bir şirketin kriz yönetimi olarak, “hasarın genişlemesi”, “ikincil hasarın oluşması” ve “tekrarın önlenmesi” öncelikli olarak düşünülmelidir.

Dolayısıyla, bilgi sızıntısı ortaya çıktığında, ilk tepkiyi verdikten sonra, ilgili kişilere mümkün olduğunca hızlı bir şekilde bilgi vermek önemlidir.

Touken Corporation’ın Q&A’sı, geniş bir yelpazede beklenen sorulara dikkatlice yanıt veriyor ve önceden avukatlar gibi uzmanlarla dikkatlice hazırlanmış olduğu anlaşılıyor. Ancak, yetkisiz erişimin ortaya çıkmasından yaklaşık bir ay sonra yapılan açıklamada şüpheler kalıyor.

Elbette, bir şirket olarak, bir araştırma ve önlem aldıktan sonra açıklamak istersiniz, ancak aşağıdaki dört nokta ilk rapor olarak daha erken bir tarihte açıklanmalı mıydı?

• Bilgi sızıntısının ortaya çıkması ve muhtemel hedefler
• Sızan kişisel bilgilerin içeriği
• Kredi bilgilerinin, örneğin kart numarasının sızma olasılığının olmadığı
• Gelecek yapı ve program
• İletişim noktası

Bildirim, Raporlama ve Açıklamanın Püf Noktaları

Bilgilerin sızdığı durumlarda, sebep ve bilginin içeriğine bağlı olarak kullanıcılara, iş ortaklarına vb. bildirim yapma, denetim kurumlarına veya polise bildirme, web sitesi veya medya aracılığıyla açıklama yapmayı düşünmeniz gerekmektedir.

Suç Olasılığı Var İse

Yetkisiz erişimle ilgili bir suç olasılığı varsa, gerçeklerin araştırılması ve kanıtların korunması için önlemler alındıktan sonra, hemen polise bildirilmelidir.

Örneğin, Tōken Corporation (Japon Tōken Corporation) durumunda, grup web sitesinin tüm incelemesi tamamlandıktan bir gün sonra, İlgili Bakanlık olan Japon Kara, Altyapı, Ulaştırma ve Turizm Bakanlığı ve Aichi Prefektörlük Polis Karargahı’na zarar raporu verilmiştir.

Kişisel Kredi Bilgilerinin Sızma Olasılığı Var İse

My Number (Japon Sosyal Güvenlik ve Vergi Numarası), kredi kartı numarası, banka hesabı, ID ve şifrelerin sızma olasılığı varsa, hemen kişiye bildirilmeli ve bu tür durumların durdurulması teşvik edilmeli ve ikincil zararların önlenmesi gerekmektedir.

Ölçek veya Etki Alanı Büyük İse veya Tüm İlgili Kişilere Bireysel Bildirim Yapılması Zor İse

Web sitesinde bilgi yayınlama veya basın açıklaması gibi yollarla açıklama yapılır. Ancak, açıklamanın zararın genişlemesine neden olabileceği durumlarda, açıklamanın zamanlaması ve hedef kitlesi gibi faktörler göz önünde bulundurularak bir karar verilmelidir.

Ayrıca, açıklama yaparken şeffaflığı sağlamak ve olabildiğince gerçekleri açıklamak, şirketin güvenilirliğini artırmanın yanı sıra zararın genişlemesini önlemeye ve benzer olayların önlenmesine de yardımcı olacaktır.

İkinci Basın Bülteninin Yayınlanması

Doğu İnşaat Şirketi, 2021 yılının başlamasının ardından 9 Şubat 2021’de kişisel bilgilerin sızdırılması hakkında ikinci bir raporu web sitesinde yayınladı ve sızdırılan bilgilerin ve olay sayısının düzeltilmesini gerçekleştirdi.

Üçüncü taraf bir kuruluş tarafından yapılan adli inceleme sonucunda, sızdırılan bilgilerin yeniden incelenmesi sonucunda bazı farklılıklar tespit edildi. Bu nedenle, lütfen Ek 1’deki ‘Site ve Hizmetler Bazında Bilgiler’ bölümünü tekrar kontrol etmenizi rica ederiz. (…) Ayrıca, sızdırılan olay sayısı en fazla 657,096’dan en fazla 655,488’e düşmüştür.

İçerik, yukarıdaki düzeltmeler dışında, istenmeyen e-postalar ve şüpheli e-postalara nasıl yanıt verileceği gibi konuların eklenmesi dışında, temel içerik ilk basın bülteniyle hemen hemen aynıdır ve bu yayın sonuncusu olmuştur.

Krizlere Yanıt Verme Merkezi Olarak Önlemler Merkezi

Doğu İnşaat Şirketi, haksız erişim tespit edildikten sonra bir “Bilgi Güvenliği Merkezi” kurmuş ve dış üçüncü taraf kuruluşlarla ve polisle işbirliği yaparak tekrarlanan olayların önlenmesi için çaba göstermiştir.

Bu organizasyonun yapısı belirsiz olsa da, sadece sistem güvenliği önlemleri değil, hedef kullanıcılara iletişim, medya yanıtları, hissedar yanıtları, hukuki sorumlulukların değerlendirilmesi gibi işlemleri eş zamanlı olarak gerçekleştirmek gerektiği için, genellikle aşağıdaki gibi dış üçüncü taraf kuruluşların ve uzmanların katılımı gereklidir.

• Büyük yazılım şirketleri
• Büyük güvenlik uzmanı satıcıları
• Siber güvenlik konusunda derin bilgiye sahip dış avukatlar

Özet

Bu sefer olduğu gibi, 650.000’den fazla kişisel bilginin büyük ölçekli sızıntısı ortaya çıktığında, “ilk tepki” ve “bildirim, raporlama ve yayımlama” ve “güvenlik önlemleri” önem kazanır.

Özellikle hızın gerektiği yerler, sadece ilk tepki değil, aynı zamanda polise ve ilgili bakanlıklara bildirim ve raporlama ve ilgili taraflara yayımlama (basın bülteni) içerir.

Ancak, yanlış bir çözüm uygulandığında, tazminat sorumluluğu gibi sorunlarla karşılaşma olasılığı da vardır, bu yüzden kendi başınıza karar vermek yerine, siber güvenlik konusunda bilgi ve deneyime sahip bir avukata önceden danışmanızı öneririz.

Capcom’un kötü amaçlı yazılımı nedeniyle bilgi sızıntısında kriz yönetimi hakkında ilgisi olanlar, detayları makalede anlattığımız için lütfen bir göz atın.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Büromuz Tarafından Alınan Önlemler

Monolith Hukuk Bürosu, özellikle IT ve hukuk alanlarında yüksek uzmanlığa sahip bir hukuk firmasıdır. Büromuz, Tokyo Borsası Prime listesindeki şirketlerden girişimlere kadar çeşitli durumlar için sözleşme oluşturma ve inceleme hizmetleri sunmaktadır. Eğer bir sorununuz varsa, lütfen aşağıdaki makaleye başvurunuz.

https://monolith.law/contractcreation[ja]