Keio Üniversitesi'nin Bilgi Sızıntısından Öğrenilen Kriz Yönetimi ve Avukatın Rolü

Yasadışı erişimler sonucu bilgi sızıntıları sadece şirketlerle sınırlı olmayıp eğitim alanında da meydana gelmektedir, ancak bu durumla başa çıkma yöntemleri şirketlerden biraz farklı görünmektedir.

Özellikle kişisel bilgiler söz konusu olduğunda, öğrenciler ve öğretim görevlileri gibi gruplar merkezde bulunur, bu nedenle bir bilgi sızıntı olayı meydana geldiğinde bilgi paylaşımı genellikle sınırlı bir kapsamda gerçekleşir.

Ancak, kişisel bilgilerin korunması söz konusu olduğunda, ne şirketlerin ne de okulların yaklaşımı değişmez, bilgi sızıntılarına karşı kriz yönetiminin temeli aynıdır.

Bu nedenle, bu sefer, yasadışı erişimler sonucu kişisel bilgilerin sızdırılması gibi bir olaya karşı kriz yönetiminin yönlerinden, Keio Üniversitesi Shonan Fujisawa Kampüsü’nün (bundan böyle, Keio SFC olarak anılacaktır) bilgi sızıntı olayına verdiği yanıtı temel alarak kriz yönetim sisteminin ana noktalarını açıklıyoruz.

Keio SFC’nin Bilgi Sızıntı Olayının Özeti

Keio SFC’de meydana gelen, yetkisiz erişim sonucu bilgi sızıntısı ile ilgili ana konular aşağıdaki gibidir:

• Sızıntının Ortaya Çıkışı: 2020 yılının 29 Eylül’ünde (Japon takvimine göre Reiwa 2 yılı), ders destek sistemi (SFC-SFS)※’ye yetkisiz erişim sonucu bilgi sızıntısı olasılığı belirlendi.
  ※SFC-SFS, tüm öğrencilere e-posta gönderme, öğrenci listesini indirme, rapor ve görev kaydı, teslim alma, not (yorum) kaydı, ders araştırması yorumları girişi ve görüntüleme gibi işlevlere sahip bir sistemdir.
• Sızıntının Nedeni: 19 sistem kullanıcısının ID ve şifreleri çalındı ve bu bilgiler üçüncü bir taraf tarafından yetkisiz bir şekilde kullanılarak sisteme girildi. SFC-SFS’nin zayıflığı ana neden olarak düşünülmektedir.
• Sızıntının Kapsamı: Shonan Fujisawa Kampüsü’nün yönettiği öğrenci ve öğretim görevlileri vb. kişisel bilgiler
• Sızıntının İçeriği: “Ad”, “Adres”, “Hesap Adı”, “E-posta Adresi” yanı sıra öğrenciler için “Yüz Fotoğrafı”, “Öğrenci Numarası”, “Kredi Bilgileri”, “Giriş Tarihi” vb., öğretim görevlileri için ise “Öğretim Görevlisi Numarası”, “Pozisyon”, “Profil”, “Kişisel E-posta Verileri” vb. bilgiler dahildir.
• Sızıntı Sayısı: Bilgi sızıntısı olasılığı olan durumlar yaklaşık 33.000’dir.

Yasadışı Erişimin Ortaya Çıkışı ve İlk Tepki

15 Eylül saat 17:45 civarında, Keio SFC’nin IT bölümü, SFC-SFS’ye yönelik zafiyet taramasının aralıklı olarak gerçekleştirildiğini tespit etti.

Ayrıca, 28 Eylül gecesi, SFC-SFS sistemine yönelik şüpheli bir erişim tespit edildi ve yapılan inceleme sonucunda, 29 Eylül erken saatlerinde yasadışı erişim sonucu bilgi sızıntısı olabileceği anlaşıldı.

Keio SFC, zafiyet taramasını tespit ettikten sonraki gün itibariyle aşağıdaki ilk tepki önlemlerini başlattı:

• Tüm kullanıcılardan şifrelerini değiştirmelerini istemek (16 Eylül, 30 Eylül)
• Tüm kimlik doğrulama noktalarını ve kimlik doğrulama kayıtlarını sürekli olarak izlemek (16 Eylül’den itibaren sürekli)
• Ortak hesaplama sunucusuna dışarıdan yapılan girişleri sadece halka açık anahtar doğrulaması ile sınırlamak (16 Eylül)
• Zafiyetin tespit edildiği web hizmetlerini durdurmak ve zafiyetli alanları düzeltmek【Devam ediyor】(16 Eylül’den itibaren sırayla, SFC-SFS 29 Eylül)
• SFC-SFS sistemini durdurmak (29 Eylül)

Keio SFC’nin İlk Tepkisi Hakkında

Yasadışı erişim tespit edildiğinde, genellikle bir kriz yönetimi merkezi kurulur ve ilk tepki bu merkez tarafından verilir. Ancak bu durumda, Keio Üniversitesi’nin daimi yönetim kurulu üyesi ve en üst düzey bilgi sorumlusu ve en üst düzey bilgi güvenliği sorumlusu olan Kunio Kunio’nun liderliğindeki IT bölümü, kriz yönetimi merkezi olarak görev yapmış gibi görünüyor.

İlk tepkinin önemli olduğu nokta, “bilgi izolasyonu”, “ağ kesintisi” ve “hizmet durdurma” gibi önlemlerle zararın genişlemesini ve ikincil zararın oluşmasını önlemektir. Ancak, Keio SFC durumunda, sistem kullanıcıları genel halk yerine öğrenciler ve öğretim üyeleri ile sınırlı olduğu için, şifre değişikliği ve giriş yönteminin sınırlanması gibi önlemler önceliklidir.

Ancak, yasadışı erişimin belirtisini tespit ettikten hemen sonra harekete geçti ve ayrıca bilgi sızıntısı olasılığının 29 Eylül’de anlaşıldığında SFC-SFS sistemini durdurdu. Bu, uygun bir kriz yönetimi yanıtı olarak kabul edilebilir.

Keio SFC’nin ilk tepkisi hakkında merak edilen bir nokta, yasadışı erişim suçu karşısında delil koruma önlemlerini alıp almadığı ve denetleyici kurumlar veya polise bildirimde bulunup bulunmadığıdır. Ancak, basın bültenlerinde veya medya raporlarında bu konuda bir açıklama bulunmadığı için bu konuda bir bilgiye ulaşılamamıştır.

İlgili Kişilere Bildirim Hakkında

Keio SFC’nin öğrenci ve öğretim üyelerine yaptığı bildirimler, aşağıdaki gibi işle ilgili e-postalar şeklinde gerçekleştirildi ve kişisel bilgilerin sızdığına ilk kez 30 Eylül’deki e-postada değinildi.

29 Eylül’de, Keio SFC’nin personeline, “ciddi bir sorun” nedeniyle SFC-SFS’yi durduracaklarını bildirdi.

30 Eylül’de, bu sorun nedeniyle “kullanıcı hesap bilgileri”nin sızdığı olasılığına karşı, SFC-SFS’nin tüm kullanıcılarına şifrelerini değiştirmelerini istedi.

Ayrıca, personeline, SFC-SFS’nin durdurulması nedeniyle ders seçimi ve öğrencilere yapılan bildirimlerin planlandığı gibi gerçekleştirilemeyeceği için belirli bir süre derslerin iptal edileceğini bildirdi.

Bu bilgiyi duyan J-CAST News, aynı gün “Keio SFC’de ders sisteminde ciddi bir sorun, sonbahar dönemi başlangıcı bir hafta gecikti” başlıklı bir makale yayınladı ve “kullanıcı hesap bilgileri”nin sızdığı halka açıklandı.

1 Ekim’de, Keio SFC’nin web sitesinde öğrencilere, yasadışı erişim olasılığı nedeniyle 29 Eylül’de SFC-SFS’yi durdurduklarını ve bu etkiden dolayı 1 Ekim’den 7 Ekim’e kadar derslerin iptal edileceğini bildirdi. (※ Kişisel bilgi sızıntısı hakkında bir açıklama yok)

Bilgi Sızıntısının Ardından Yapılan Basın Açıklaması

İlk olarak, 10 Kasım’da web sitesi üzerinden, izinsiz erişim sonucu kişisel bilgilerin sızdırıldığına dair bir açıklama yapıldı.

Bu sefer, Shonan Fujisawa Kampüsü Bilgi Ağı Sistemi (SFC-CNS) ve Ders Destek Sistemi (SFC-SFS) kullanıcılarının 19 kişilik (öğretim görevlisi) ID ve şifrelerinin bir şekilde çalındığı ve bu bilgilerin kullanılarak dışarıdan izinsiz erişim ve Ders Destek Sistemi (SFC-SFS) zafiyetlerinin hedef alındığı bir saldırı sonucu, bu sistemlerden kullanıcıların kişisel bilgilerinin sızdırılmış olabileceği anlaşıldı. Bu durumun meydana gelmesi ve ilgili tüm kişilere rahatsızlık ve endişe vermiş olmamızdan dolayı özür dileriz. Şu anda ikincil zararların olduğuna dair bir kanıt bulunmamaktadır.

Keio Üniversitesi “SFC-CNS ve SFC-SFS’ye Yapılan İzinsiz Erişim Sonucu Kişisel Bilgi Sızıntısı Hakkında” [ja]

Bu basın açıklamasında aşağıdaki konular hakkında detaylı bilgiler de verilmiştir:

• Sızdırılmış olabilecek kişisel bilgilerin içeriği
• Sızıntının nasıl ortaya çıktığı
• Sızıntının neden olduğu
• Sızıntının ortaya çıkmasının ardından yapılanlar
• Mevcut durum
• Yeniden oluşmasını önleme önlemleri

Yukarıdaki bilgiler, bilgi sızıntısı hakkında kamuoyuna açıklanması gereken konuları neredeyse tamamen kapsamaktadır.

Keio SFC’nin Basın Açıklaması Hakkında

Basın Açıklamasının Zamanlaması

Aslında, Keio SFC’nin ilk olarak kendisinin açıklama yapması gereken bir durumda, J-CAST News’in raporundan 41 gün sonra açıklama yapması gecikmiş bir durum olarak değerlendirilebilir.

Çünkü, kişisel bilgilerin sızdırılması durumunda, ikincil zararları önlemek için sızdırılan kişisel bilgilerin sahibine bildirimde bulunmak acil bir durumdur.

Ancak, 30 Eylül’deki şifre değiştirme talebinde “kullanıcı hesap bilgileri”nin somut içeriğini bildiriyorsa, bir sorun yoktur.

Dolandırıcılık ve Rahatsız Edici Davranışlara Karşı Uyarı

Bilgi sızıntısının ortaya çıkmasının ardından yapılan basın açıklamasında, meydana gelen bilgi sızıntısını kamuoyuna duyurmak, kişisel bilgiler sızdırıldığında, bu durumu kişiye bildirip özür dilemek ve dolandırıcılık ve rahatsız edici davranışlar gibi zararlardan kaçınmak için uyarıda bulunmak gereklidir.

Kapalı bir kampüs içindeki bilgiler bile dış dünyaya sızarsa, kötüye kullanılabilir ve bu durumda da dolandırıcılık ve rahatsız edici davranışlara karşı uyarı yapılması gereklidir.

Kriz Yönetiminin Merkezi: Tedbirler Merkezi

Keio SFC, basın bültenindeki “tekrarlanan olayların önlenmesi” bölümünde tedbirler merkezini şu şekilde tanımlamaktadır:

Keio Üniversitesi olarak, bu son haksız erişim olayını göz önünde bulundurarak, tüm okul genelinde web uygulamaları ve sistemlerin güvenlik kontrolü ve iyileştirmesi, kişisel bilgilerin korunması için uygulamaların gözden geçirilmesi gibi tekrarlanan olayların önlenmesi için tedbirler almayı hızla sürdüreceğiz. Ayrıca, 1 Kasım 2020 tarihinde (2020) okul içinde bir CSIRT (Bilgi Güvenliği Olaylarına Karşı Tedbirler Ekibi) kurduk ve kapsamlı bir siber güvenlik yanıtı sağlayabilecek bir organizasyon oluşturmayı ve dış uzman kuruluşlarla işbirliği yaparak tüm okul genelinde daha fazla güvenlik sağlamayı hedefliyoruz.

Keio Üniversitesi “SFC-CNS ve SFC-SFS’ye Yasa Dışı Erişim Sonucu Kişisel Bilgi Sızıntısı Hakkında” [ja]

Bu konudaki ilk tepki, Keio SFC’nin iç organizasyonunun doğrudan tedbirler merkezi rolünü üstlendiği gibi görünüyor, ancak 1 Kasım 2020’de (2020) kurulan “CSIRT”, güvenlik güçlendirme ve gelecekte bir olay meydana geldiğinde kriz yönetiminin merkezi olacak tedbirler merkezi olarak kabul edilen bir organizasyondur.

CSIRT’nin üye yapısı belirsiz olsa da, sistem güvenliği önlemlerinin yanı sıra, hedef kullanıcılara iletişim, denetim kurumlarına ve polise bildirim, medya yanıtları, hukuki sorumlulukların değerlendirilmesi gibi işlemlerin eş zamanlı olarak yürütülmesi gerektiği için, genellikle aşağıdaki gibi dış üçüncü taraf kuruluşların ve uzmanların katılımı gereklidir:

• Büyük yazılım şirketleri
• Büyük güvenlik uzmanı satıcılar
• Siber güvenlik konusunda derin bilgiye sahip dış avukatlar

Özet

Bu sefer olduğu gibi, eğitim alanında kişisel bilgilerin sızdığı durumlarda bile, uygun bir “ilk tepki” ve önlemler merkezli “bildirim, raporlama ve yayınlama” ve sonraki “güvenlik önlemleri” önemlidir.

Özellikle hızın gerektiği yerler, sadece ilk tepki değil, aynı zamanda polise ve ilgili bakanlıklara bildirim ve raporlama, kişiye bildirim (özür) ve uygun zamanlamada yayınlamadır.

Ancak, prosedürleri veya çözümleri yanlış anladığınızda, tazminat sorumluluğu gibi sorunlarla karşılaşma olasılığınız da vardır, bu yüzden kendi başınıza karar vermek yerine, siber güvenlik konusunda bilgili ve deneyimli bir avukata önceden danışmanızı öneririz.

Capcom’un kötü amaçlı yazılımı nedeniyle bilgi sızıntısı sırasındaki kriz yönetimi hakkında ilgisi olanlar, detayları makalede anlatıyoruz, lütfen bir göz atın.

https://monolith.law/corporate/capcom-information-leakage-crisis-management [ja]

Büromuz Tarafından Alınan Önlemler

Monolit Hukuk Bürosu, özellikle IT ve hukuk alanlarında yüksek uzmanlığa sahip bir hukuk bürosudur. Büromuz, Tokyo Borsası Prime listesindeki şirketlerden girişimlere kadar çeşitli durumlar için hukuki kontroller gerçekleştirmektedir. Lütfen aşağıdaki makaleye bakınız.