Capcom'un Bilgi Sızıntısından Öğrenilen Kriz Yönetimi ve Avukatın Rolü

Kasım 2020’de (2020年11月) meydana gelen Capcom’un bilgi sızıntısı, özel olarak tasarlanmış bir fidye yazılımı sonucunda gerçekleşmiş olup, en fazla 390.000 kişisel bilginin sızdırılmış olabileceği bir durumdu.

Elbette, bu tür olayların meydana gelmemesi en iyisi olup, bunların oluşmaması için gerekli düzenlemelerin yapılması öncelikli öneme sahiptir. Ancak, ne tür bir düzenleme yapılırsa yapılsın, bu tür olayların meydana gelme olasılığını tamamen sıfıra indirmek imkansızdır.

Peki, bu tür bir olay meydana geldiğinde, hemen sonrasında hangi önlemleri almalı, hangi araştırmaları yapmalı ve hangi zamanlamayla ve nasıl bir açıklama yapılmalıdır?

İşte bu yüzden, bu makalede, “kişisel bilgi sızıntısına neden olan zararlı yazılım olayı”na karşı kriz yönetimi açısından, Capcom’un bilgi sızıntısı olayını ve şirketin tepkisini, uygun kriz yönetimi düzenlemelerini öğrenmek için kronolojik olarak açıklıyoruz.

※Avukatlar, kendilerinin avukat olarak gerçekten dahil oldukları davalarda, Japon Avukatlık Yasası’na (弁護士法) göre yüksek düzeyde bir gizlilik yükümlülüğü taşımaktadırlar. Bu makale, hukuk büromuzun dahil olmadığı geçmiş olaylar hakkında, tamamen genel olarak yayınlanan bilgilere dayanarak, bir avukat olarak görüşlerini ifade eder.

Olayın Ortaya Çıkışı ve İlk Tepki

Olayın meydana geldiği tarih, 2020 yılının 2 Kasım’ıdır.

Bu aşamada, şirket içi sistemlere erişim sorunu tespit edildi ve sistem kesintisi ile zarar durumunun belirlenmesine başlandı.

Aynı gün, sorunun nedeninin, ağdaki cihazlara yönelik dosya şifrelemesi nedeniyle gerçekleşen bir ransomware (fidye yazılımı) saldırısı olduğu anlaşıldı.

Zarar gören terminalde, “Ragnar Locker” adını taşıyan bir grup tarafından yapılan tehdit mesajı bulundu.

Bu noktada, Capcom, Osaka Polis Teşkilatı’na bildirimde bulunmuş ve dış şirketlerden kurtarma desteği talep etmiştir.

Olay meydana geldiğinde, sistemin hızla onarılması, şirketin iş sürekliliği için doğal olarak gereklidir. Ancak, bir ransomware saldırısının tespit edildiği durumlarda, bu genellikle yasadışı erişim olarak kabul edilir ve Japon Yasalarına göre Yasaklanmış Erişim Yasası ile yasaklanmış bir eylem olma olasılığı oldukça yüksektir.

Kişisel bilgileri içeren gizli bilgilerin sızdırıldığı öncül aşama ve giriş yolunun belirlendiği öncül aşamada, hızla polise bildirimde bulunmanın önemi büyüktür.

Bilgi Sızıntısının Ortaya Çıkmadan Önceki Kriz Yönetimi ve Halkla İlişkiler

Ve olayın ertesi günü olan 4 Kasım’da, Capcom ilk basın bülteni olarak “Yasadışı Erişim Sonucu Sistem Arızası Hakkında Bilgilendirme”yi yayınladı.

Bu arıza ile ilgili olarak, üçüncü bir tarafın yasadışı erişimini teyit ettik ve aynı gün itibariyle şirket ağı çalışmasını kısmen durdurduk. İlgili tüm taraflara büyük rahatsızlık verdiğimiz için özür dileriz. Ayrıca, şu anda müşteri bilgilerinin vb. sızdığına dair bir teyit yoktur.

Yasadışı Erişim Sonucu Sistem Arızası Hakkında Bilgilendirme [ja]

Bu aşamada, durum sadece “yasadışı erişim” sonucu “sistem arızası” olup, bilgi sızıntısı henüz ortaya çıkmamıştır.

Bilgi Sızıntısının Ortaya Çıkmasının Ardından Basın Bülteni

Sızıntı Olasılığı Olan Kişisel Bilgilerin Sayısı vb.

Bilgi sızıntısının ortaya çıktığı tarih, 12 Kasım’dır.

9 kişisel bilgi ve bazı şirket bilgilerinin sızdığı doğrulandı.

Ertesi gün, Capcom, büyük bir güvenlik firmasına nedenini araştırma talebinde bulundu ve 16 Kasım’da bilgi sızıntısının doğrulandığına dair bir basın bülteni yayınladı.

Bu aşamada,

• Sızdığı doğrulanan bilgiler
• Sızma olasılığı olan bilgiler

ayrı ayrı belirlenmiş ve ayrıca, her biri için,

• Kişisel bilgiler (müşteriler, iş ortakları vb.)
• Kişisel bilgiler (çalışanlar ve ilgili kişiler)
• Şirket bilgileri (satış bilgileri, iş ortağı bilgileri, iş materyalleri, geliştirme materyalleri vb.)

ayrı ayrı belirlenmiş ve genel bir sayı belirtilmiştir.

Bu aşamada, “En fazla yaklaşık 350.000 müşteri kişisel bilgisinin sızma olasılığı olduğu” belirtildi.

Kredi Kartı Bilgilerinin Sızıntısı ve İlgili İşlemler

Ayrıca, aynı zamanda

Şirketimiz, tüm ödemeleri dış kaynaklara yaptığı için kredi kartı bilgilerini saklamamaktadır ve kredi kartı bilgilerinin sızması söz konusu değildir.

Bilgi Sızıntısı ve Özür İle İlgili Duyuru [ja]

ve kredi kartı bilgilerinin sızıp sızmadığına dair bir açıklama yaptı ve ayrıca,

• Kişisel bilgilerin sızdığı ve sızma olasılığı olan kişilere yönelik tedbirler
• Ortaya çıkma ve tedbirlerin süreci
• Gelecekteki tedbirler

gibi bilgileri açıkladı.

Dış Avukatlar ve Diğerlerinin Yönlendirmeleri ve Tavsiyeleri

Ve basın bülteninde,

Büyük bir yazılım şirketi, büyük bir güvenlik uzmanı ve siber güvenlik konusunda deneyimli dış avukatlara durumu bildirdik ve yönlendirme ve tavsiye aldık. Bilgi sızıntısı olan kişilere ve ilgili taraflara başladık ve ayrıca çalınma olasılığı olan diğer bilgiler hakkında araştırmalarımızı sürdürüyoruz.

Bilgi Sızıntısı ve Özür İle İlgili Duyuru [ja]

gibi bir ifade de bulunuldu.

Ayrıca, “Kişisel Bilgilerle İlgili Sorularınız” ve “Capcom Bilgi Sızıntısı Özel İletişim Merkezi” olarak, “Oyun Kullanıcıları İletişim Merkezi” ve “Genel İletişim Merkezi” ücretsiz telefon hattı ile sağlandı.

Ve en azından bazı bilgilerin sızdığı ortaya çıktığında, bilgi sızıntısının olduğuna dair basın bültenini yayınlamak için 4 gün geçti.

Bu, yukarıda belirtilen ayrıntılı bilgilerin doğrulanması ve gelecekteki tedbirler vb. hakkında karar verme sürecinin gerektirdiği bir süre olarak düşünülebilir.

Kişisel Bilgi Sızıntısı ve Kriz Yönetimi

“Sistem arızası” hakkındaki ilk raporun aksine, “maksimum 350.000 müşteri kişisel bilgisinin sızdığı olasılığı” hakkındaki ikinci rapor, birçok medya tarafından ele alınmaktadır.

Capcom, üçüncü bir tarafın özel olarak hazırlanmış fidye yazılımı saldırısına uğradı ve şirket grubunun sahip olduğu kişisel bilgiler sızdı. 16 Kasım (2020) tarihine kadar sızma olasılığı olan bilgiler, müşteriler ve iş ortakları dahil olmak üzere maksimum yaklaşık 350.000’e ulaşıyor. İş ve geliştirme belgeleri de sızabilir.

Capcom, 350.000 kişisel bilginin sızdığına dair haksız erişim – “Oyun oynama konusunda bir engel yok” – BCN＋R [ja]

Ancak, basın bülteni sırasında “ortaya çıkma ve yanıt süreci” ve “gelecekteki yanıtlar” gibi bilgiler de açıklandığı için, yukarıdaki makale de “Gelecekte, polis yetkilileriyle işbirliği yapmanın yanı sıra, dış uzmanlar tarafından yeni bir sistem güvenliği danışma organizasyonu kurulacak ve tekrarlanan olayların önlenmesi için çaba gösterilecek. Şirketin oyunlarını oynamak için internet bağlantısı veya şirketin web sitesine erişim yoluyla, kullanıcılar veya dışarıdaki kişiler için zararın artması olası değildir. Ayrıca, kişisel bilgilerin sızdığı olasılığı olan kullanıcılar için, beklenmeyen posta gelme olasılığı veya şüpheli iletişim olasılığı nedeniyle dikkatli olmaları çağrısında bulunuluyor.” şeklinde bir cümleyle sonlandırılmıştır.

Kişisel bilgi sızıntısının ortaya çıktığından sonra basın bülteninde, yukarıda belirtildiği gibi, “ortaya çıkma ve yanıt süreci” ve “gelecekteki yanıtlar” dahil olmak üzere, belirli bir düzeyde toplanmış bilgilerin açıklanması önemli olacaktır.

Ve, kişisel bilgi sızıntısının ortaya çıktığı anda,

• Büyük yazılım şirketleri
• Büyük güvenlik uzmanı satıcıları
• Siber güvenlik konusunda derin bilgiye sahip dış avukatlar

gibi dış uzmanlardan oluşan bir ekip oluşturmak ve bilgi sızıntısının teyit edildiği müşterilere vb. iletişim, kriz yönetimi halkla ilişkileri vb. gibi konuları, nedenlerin araştırılması gibi saf IT önlemleriyle paralel olarak ilerletmek önemli olacaktır.

Ayrıca, halka açık şirketlerin durumunda, bu kriz yönetimi halkla ilişkilerinin bir parçası olarak, hissedarlara yönelik bir açıklama da gereklidir.

İşe Alım Başvuru Sahiplerinin Bilgilerinin Sızma İhtimali

Ayrıca, yayınlanan basın bülteninde “Sızma ihtimali olan bilgiler” ve “Kişisel bilgiler (müşteriler, iş ortakları vb.) en fazla yaklaşık 350 bin adet” arasında “İşe alım başvuru sahibi bilgileri (yaklaşık 125 bin adet)” maddesi bulunmaktadır. Capcom’un kendi işe alım sitesinde belirttiği üzere, bu bilgilerin yok edilmesi konusunda SNS vb. platformlarda soru işaretleri oluşmuştur.

Capcom, işe alım başvuru sahipleri hakkında kendi işe alım sitesinde “İşe alım sürecinin sonucunda, işe alınmayan veya işi reddeden kişilerin başvuru belgeleri, seçim sürecinin ardından firmamız tarafından sorumlulukla yok edilecektir” ifadesini kullanmıştır. Aslında yok edilmesi gereken kişisel bilgilerin yok edilmediği konusunda, Twitter’da şirketin yaklaşımına dair şüpheler dile getirilmiştir. Capcom, “Başvuru sahiplerinin özgeçmişlerini dijitalleştirdik ve belirli bir süre sakladık” şeklinde açıklama yapmıştır. “Dijitalleştirme hakkında hiçbir açıklama yapılmadı ve ifade eksikti, bu yüzden yanılgılar oluştu. Özür dileriz” şeklinde özür dilemiştir. Saklama nedeni hakkında “Bazı başvuru sahipleri birden fazla başvuruda bulunabilir. Geçmiş başvuru geçmişini sorunsuz bir şekilde kontrol etmek için bu yapılmıştır” şeklinde açıklama yapmıştır. Başvuru sahiplerinin verilerinin tümünün saklanıp saklanmadığı hakkında “Şu an için belirsiz” demiştir.

Capcom, işe alınmayanların başvuru belgelerini yok etmiyor – İşe alım sayfasında “Sorumlulukla yok ederiz” ifadesine rağmen, siber saldırı ile bilgi sızma ihtimali – ITmedia NEWS [ja]

Bu tür soru işaretlerinin oluşması konusunda, Capcom’un önceden tahminde bulunup bulunmadığı belirsizdir, ancak “aslında var olmaması gereken (ve var olduğu düşünülse bile bir dereceye kadar kaçınılmaz) bilgiler” şirket içinde varsa ve bunların sızma ihtimali varsa, bu sorunu da önceden göz önünde bulundurarak bir basın bülteni yayınlamanın daha iyi olacağı düşünülmektedir.

Avukatları da İçeren Güvenlik Denetim Komitesi’nin Kuruluşu

Üçüncü Basın Bülteninin Yayınlanması

Capcom, 21 Aralık’ta, dış uzmanlar tarafından sistem güvenliği konusunda danışmanlık yapacak bir organizasyon olarak “Güvenlik Denetim Komitesi”nin kuruluşuna yönelik hazırlık toplantısını düzenledi.

Ertesi yıl, 12 Ocak 2021’de, “Bilgi Sızıntısına İlişkin Duyuru ve Özür【Üçüncü Rapor】” başlıklı üçüncü basın bültenini yayınladı ve

Yeni olarak 16.406 kişinin bilgilerinin sızdığı doğrulandı ve bu olaydan bu yana toplam 16.415 kişi oldu. Ayrıca, dış müşteriler ve iş ortakları dahil olmak üzere dışarıdaki kişilerin kişisel bilgilerinin sızma olasılığı, en fazla yaklaşık 390.000 kişi (öncekine göre yaklaşık 40.000 kişi artış) olduğu belirlendi.

ve araştırmanın ilerlemesiyle güncellenen bilgiler yayınlandı. Ayrıca, kredi kartı bilgilerinin sızmadığına ek olarak,

Oyunlarımızı oynamak için internet bağlantısı veya indirme yoluyla satın almanız gereken durumlar için, zaten saldırıya uğrayan sistemimizi kullanmıyoruz, dış kaynak kullanımı veya ayrı bir dış sunucu kullanıyoruz ve bu hala geçerli. Bu nedenle, oyunlarımızı oynamak için internet bağlantısı veya indirme yoluyla satın almanız gereken durumlar için, bu durum şirketimizin sistemine yönelik siber saldırıyla ilgili değildir ve müşterilere zarar vermez.

Bilgi Sızıntısına İlişkin Duyuru ve Özür【Üçüncü Rapor】 | Capcom Co., Ltd. [ja]

gibi bir ifade de yapıldı.

İş Başvurusunda Bulunanların Kişisel Bilgilerinin Sızma Olasılığı

Ayrıca, bu vesileyle, “yeni olarak sızma olasılığını doğruladığımız bilgiler” olarak, yukarıda belirtilen “iş başvurusunda bulunan yaklaşık 58.000 kişi”nin kişisel bilgileri, özellikle “isim, adres, telefon numarası, e-posta adresi vb. en az biri”nin sızma olasılığı açıklandı.

Bu konuda,

Başvuru bilgileriyle ilgili olarak, şirkete yönelik siber saldırıyla ilgili olarak, seçimden sonra bile bilgileri yok etmeyip sakladığı Kasım ayında ortaya çıktı. İşe alım sitesindeki “Kişisel Bilgilerin İşlenmesi” başlıklı bölümde başlangıçta “Seçimden sonra, bilgileri şirketimizde sorumlu bir şekilde yok edeceğiz” ifadesi yer alıyordu. Daha sonra, Aralık 2020’de “Önceki başvurularınızı sorunsuz bir şekilde kontrol etmek gibi kullanım amaçları nedeniyle, başvuru belgelerinin verilerini, belgelerinizi dijitalleştirdiğimiz verileri belirli bir süre saklayabiliriz” ifadesi eklendi. Şirkete göre, “Başvuranların kişisel bilgileri hala şirket sistemimizde saklanıyor ve siber saldırıdan önceki operasyonlarla neredeyse hiçbir değişiklik yok.

Capcom, 16.000 Kişinin Kişisel Bilgilerinin Sızdığını Doğruladı, Ayrıca 58.000 Kişi Daha Sızma Olasılığını Açıkladı – 20 Kasım Siber Saldırısı – ITmedia NEWS [ja]

gibi bir haber yayınlandı.

Araştırma Sonuçlarına Dayalı Kriz Yönetimi Halkla İlişkiler

Dördüncü Basın Bülteninin Yayınlanması

Daha sonra, Capcom, 18 Ocak’ta ilk Güvenlik Denetim Komitesi’ni, 25 Şubat’ta ikinci Güvenlik Denetim Komitesi’ni ve 26 Mart’ta üçüncü Güvenlik Denetim Komitesi’ni düzenledi ve ayrıca, 31 Mart’ta büyük bir güvenlik uzmanı şirketinden bir araştırma raporu ve büyük bir yazılım şirketinden bir rapor aldı.

Bunlara istinaden, 13 Nisan’da, “Haksız Erişimle İlgili Araştırma Sonuçlarının Raporu【Dördüncü Rapor】” adlı dördüncü basın bültenini yayınladı.

Bu bülten içerisinde, “Yanıt Süreci”, “Hasarın Nedeni ve Etki Alanı”, “Tekrarlama Önleme İçin Güvenlik Güçlendirme Önlemleri” gibi detaylı teknik açıklamalar yapılırken, ayrıca, bir avukat dahil olmak üzere, siber güvenlik ve kişisel bilgi koruma hukuku uzmanlarından oluşan bir Güvenlik Denetim Komitesi’nin kurulduğunu belirtti.

Fidye İle İlgili Haberler ve Yanıtlar

Ayrıca, 1 Mart’ta, yukarıda bahsedilen siber suç örgütü “Ragnar Locker”ın, Capcom’dan yaklaşık 1.15 milyar yen (yaklaşık 70 milyon TL) fidye talep ettiği haberleri yapıldı.

Siber suç örgütü “Ragnar Locker”, kendi web sitesinde şirketlerden çaldığı veriler olduğunu iddia ettiği dosyaları yayınladı ve 11 milyon dolar (yaklaşık 1.15 milyar yen) fidye talep etti, ancak Capcom şu anda ödemeyi reddediyor.

Capcom, 1.15 Milyar Yen Ödemeyi Reddetti! Ransomware Hasarına Rağmen Fidyeyi Ödememenin Nedeni | Telework Döneminin Güvenlik Önlemleri | Diamond Online [ja]

Buna yanıt olarak, yukarıda belirtilen dördüncü basın bülteninde, fidye hakkında da,

Fidye Miktarının Bilinmesi Hakkında
Ransomware ile enfekte olan cihazlarda saldırganın mesaj dosyası bırakıldı ve saldırganla müzakere için iletişim talep edildi, ancak bu dosyada fidye miktarı belirtilmemişti. Daha önce bildirildiği gibi, polisle de görüştükten sonra, saldırganla müzakere etmeme kararı aldık, bu yüzden gerçekte hiçbir iletişim kurmadık (16 Kasım 2020’de yayınlanan basın bültenine bakınız), bu yüzden miktarı bilmiyoruz.

Haksız Erişimle İlgili Araştırma Sonuçlarının Raporu【Dördüncü Rapor】 | Capcom Co., Ltd. [ja]

Bir açıklama yayınladı. Yukarıda belirtilen haberlerde “1.15 milyar yen” gibi somut bir miktarın ortaya çıktığına dair bir yanıt olduğunu düşünüyoruz.

İlgili Sitelerdeki Yayınlar

Ayrıca Capcom, aynı gün, kendi kurumsal sitesi dışındaki sitelerde, “CAPCOM: Shadaloo Dövüşçü Araştırma Enstitüsü” (Street Fighter 5 ile ilgili site) ve “CAPCOM ONLINE GAMES” de,

〔Devam Eden Rapor〕 Grup Sistem Arızası Hakkında Bilgilendirme
Her zaman “Capcom Online Games (COG)” kullanımınız için teşekkür ederiz. 2 Kasım 2020 sabahından itibaren üçüncü bir tarafın şirketimiz grup sistemine haksız erişimi sonucu sistem arızası hakkında en son bilgileri yayınladık. Detaylar için lütfen burayı kontrol edin.

Bilgilendirme Detayları | Capcom Online Games [ja]

gibi sayfaları yayınladı.

Bu bilgi sızıntısı, erken aşamada ortaya çıktığı gibi, “dış kaynak kullanımı veya ayrı bir dış sunucu kullanımı” ile ilgiliydi ve “internet bağlantısı veya indirme yoluyla oyun oynama veya satın alma ile ilgili olarak, bu saldırının şirketimiz sistemine herhangi bir ilişkisi yok ve müşterilere zarar verme” durumu yoktu,

Araştırma sonuçlarını rapor etme zamanında, kullanıcılara herhangi bir endişe vermemek için, her site içinde bu konuda bir bülten yayınladığını düşünüyoruz.

Özet

Bu şekilde, büyük ölçekli kişisel bilgi sızıntılarının meydana geldiği durumlarda,

• Olayın hemen ardından polise bildirimde bulunma
• “Siber güvenlik konusunda derin bilgiye sahip dış avukatlar” gibi kişilere durumu bildirme ve yönlendirme / tavsiye alma düzenlemeleri
• Yukarıdaki ekip tarafından kriz yönetimi halkla ilişkileri

Ve belirli bir bilgi toplandığında,

• Avukatları da içeren bir Güvenlik Denetim Komitesi oluşturma

gibi kriz yönetimini hızlı ve organize bir şekilde gerçekleştirmenin önemli olduğunu söyleyebiliriz.