Вивчаємо управління кризами та роль адвоката на прикладі витоку 650 тисяч інформаційних записів від компанії 'Тоукен Корпо

1 квітня 2005 року (в Японії це був рік Хейсей 17) було повністю введено в дію Японський закон про захист персональних даних, згідно з яким всі суб’єкти, що обробляють персональні дані, зобов’язані вживати заходів щодо їх безпечного управління. Однак випадки витоку персональних даних продовжують відбуватися.

У разі виникнення інциденту з витоком інформації особливо важливими є процедура реагування та швидкість відповіді. Особливо в малому та середньому бізнесі, де може бути відсутній спеціаліст з інформаційної безпеки, можуть виникнути ситуації, коли не відразу зрозуміло, як слід реагувати.

Тому в цій статті ми на прикладі реакції компанії “Touken Corporation” на інцидент з витоком інформації пояснимо, як слід організувати систему управління кризовими ситуаціями, пов’язаними з витоком інформації.

Огляд витоку інформації

Основні подробиці щодо витоку інформації, спричиненого несанкціонованим доступом, що стався в корпорації “Тоукен” (Touken Corporation), є наступними:

• Дата виникнення: від 20 серпня до 12 вересня 2020 року (протягом 24 днів)
• Дата виявлення: 20 жовтня 2020 року
• Причина: Несанкціонований доступ до сервера, на якому зберігалася інформація різних користувачів, через веб-сайт групи компаній
• Суб’єкти: особи, які зверталися до сайту групи компаній, члени, учасники різних кампаній
• Інформація: “Електронна адреса”, “ПІБ”, “Адреса”, “Номер телефону”, “Пароль”, “Стать”, “Дата народження” тощо
• Кількість: можливий витік інформації стосується 657,096 записів особистої інформації

Виявлення незаконного доступу та початкова реакція

20 жовтня 2020 року (Рейва 2) компанія “Тоукен Корпорейшн” під час регулярного огляду свого веб-сайту виявила незаконний доступ до свого власного сайту “Наслак Кітчен” та вжила наступних початкових заходів.

• Як термінову заходу безпеки, “Наслак Кітчен” було закрито, а надання послуг з цього сайту також було припинено.
• Було створено “Штаб з мір безпеки інформації” та звернутося до зовнішніх третіх сторін.
• До 11 листопада було проведено огляд всіх веб-сайтів групи, було вжито тимчасових заходів щодо виправлення вразливостей, а також визначено максимальну кількість та пункти витоку інформації.

Ключові моменти початкової реакції

У випадку підтвердження ризику витоку інформації через незаконний доступ, необхідно негайно вжити наступних заходів для запобігання поширенню шкоди, виникненню вторинної шкоди та повторенню подібних випадків.

• Підтвердження фактичних обставин (причини незаконного доступу, шляхи тощо)
• Зупинка обладнання або сайту, які були піддані незаконному доступу
• Відключення обладнання або сайту, які були піддані незаконному доступу, від мережі

При цьому необхідно звернути увагу на те, щоб не виконувати недбалі дії та не видаляти докази, залишені в системі, вживаючи заходів щодо збереження доказів.

Прес-реліз після виявлення витоку інформації

Перше офіційне повідомлення було опубліковано 17 листопада 2020 року на домашній сторінці корпорації “Токен Кенсецу” (Тоукен Корпорейшн).

Опублікована інформація містила детальний опис незаконного доступу, майбутніх заходів безпеки, а також інформацію, яка була необхідна у формі “Питання та відповіді щодо випадку витоку інформації через незаконний доступ”.

Корпорація “Токен Кенсецу” та наші дочірні компанії (далі – наша група) 20 жовтня 2020 року підтвердили, що мережа нашої групи була піддана незаконному доступу третіми особами, і є можливість, що персональні дані, такі як запити до “Home Mate”, який наша група управляє, інформація про членів дочірніх компаній та інформація про учасників різних кампаній, були витікли на зовні.

Про витік персональних даних через незаконний доступ[ja]

На веб-сторінці, на яку веде посилання вище, “Питання та відповіді щодо випадку витоку інформації через незаконний доступ”[ja] містить наступну інформацію.

Щодо вмісту витоку інформації

Q Яка інформація була витікла цього разу?
A Ми вважаємо, що “ім’я”, “адреса”, “номер телефону”, “електронна адреса” та “пароль” були витікли на всіх сайтах, які наша компанія управляє, включаючи дочірні компанії.

Q Чи витікла інформація про кредитні картки?
A На сайтах, які управляє наша компанія, включаючи дочірні компанії, ми не зберігаємо жодної інформації, такої як номер кредитної картки або особистий ідентифікаційний номер, тому немає небезпеки витоку.

У поясненні щодо витоку інформації, ви можете уникнути непотрібного страху та плутанини, конкретно вказавши інформацію, яка може витікти (1), та інформацію, яка не має небезпеки витоку (2).

Щодо майбутніх заходів

Q Чи безпечно продовжувати користуватися сайтами компанії Тоукен, включаючи її групові компанії?
A На всіх сайтах, які наша компанія, включаючи групові компанії, управляє, вже завершено посилення безпеки проти подібних незаконних доступів.

Q Як ви плануєте управляти інформацією в майбутньому?
A У майбутньому ми плануємо проводити перевірки третіми сторонами за потреби, а також негайно виправляти будь-які виявлені вразливості на сайті, прагнучи до більш строгого управління інформацією.

У майбутніх заходах важливо детально пояснити користувачам про заходи безпеки на сайтах, якими вони користувалися, про можливість повторного використання, а також про майбутню систему управління інформацією.

Питання та відповіді щодо відшкодування збитків

Q Чи отримають люди, які постраждали від витоку інформації, виплати у вигляді відшкодування або компенсації?
A На основі інформації, яка була витікла через несанкціонований доступ, ми не плануємо виплачувати відшкодування або компенсацію. Однак, якщо в результаті цього витоку інформації ви зазнали фінансових збитків і можете надати конкретні докази, будь ласка, зверніться до нашого “Центру консультацій з питань персональних даних”.

Q У мене були невідомі списання коштів. Чи можу я отримати компенсацію?
A Якщо з вашого рахунку були зняті кошти без вашого відома, ми просимо вас звернутися безпосередньо до компанії, яка здійснила списання. Якщо ж виявиться, що невідомі списання були здійснені в результаті витоку інформації, ми просимо вас повідомити наш “Центр консультацій з питань персональних даних”.

Ми не виплачуємо відшкодування або компенсацію, але якщо в результаті витоку інформації ви зазнали фінансових збитків, ми готові обговорити питання відшкодування збитків індивідуально. Це чітко відображено в політиці нашої компанії.

Сумніви щодо часу першого прес-релізу

У контексті кризового управління компанією, на першому місці мають бути такі питання, як “попередження поширення шкоди”, “запобігання вторинній шкоді” та “запобігання повторенню”.

Тому, якщо виявляється витік інформації, важливо якомога швидше повідомити зацікавлених сторін після проведення початкових заходів.

Q&A від корпорації “Touken” відповідає на широкий спектр очікуваних питань, і можна зрозуміти, що вони були створені після ретельної консультації з юристами та іншими фахівцями. Однак, є сумніви щодо того, чому вони були опубліковані приблизно через місяць після виявлення несанкціонованого доступу.

Безумовно, компанії хотілося б провести розслідування та вжити заходів перед публікацією, але чи не мали б наступні чотири пункти бути опубліковані якнайшвидше як перші повідомлення?

• Виявлення витоку інформації та очікувані особи, які можуть бути зачеплені
• Вміст витоку особистої інформації
• Відсутність можливості витоку кредитної інформації, такої як номер карти
• Майбутня структура та графік
• Контактний центр для запитань

Ключові моменти повідомлень, звітів та публікацій

У випадку витоку інформації, вам потрібно розглянути можливість повідомлення користувачам, партнерам, подання заяв до наглядових органів, поліції, а також публікації на веб-сайті або в мас-медіа, в залежності від причини та змісту інформації.

У випадку можливості злочину

Якщо є можливість злочину, пов’язаного з несанкціонованим доступом, вам потрібно провести розслідування фактів та вжити заходів для збереження доказів, а потім негайно повідомити поліцію.

У випадку з Токуєн Корпорейшн (Tōken Corporation), вони подали заяву про збитки до Міністерства землі, інфраструктури, транспорту та туризму та Головного управління поліції префектури Айчі наступного дня після завершення розслідування веб-сайту всієї групи.

У випадку можливого витоку персональних кредитних даних

У випадку можливого витоку таких даних, як Мій Номер (Japanese My Number system), номер кредитної картки, банківський рахунок, ID та пароль, вам потрібно негайно повідомити особу та заохотити її до припинення використання цих даних, щоб запобігти подальшим збиткам.

У випадку великого масштабу або великої зони впливу, або коли індивідуальне повідомлення всім зацікавленим сторонам є складним

Ви повинні здійснити публікацію інформації на веб-сайті або через прес-релізи. Однак, якщо публікація може призвести до поширення збитків, вам потрібно врахувати час публікації та цільову аудиторію.

Крім того, забезпечення прозорості та максимальне розкриття фактів під час публікації сприяє довірі до компанії, а також допомагає запобігти поширенню збитків та подібних інцидентів у майбутньому.

Опубліковано другий прес-реліз

Корпорація “Тоукен” 9 лютого 2021 року, після початку нового року, опублікувала на своєму веб-сайті другий звіт про витік особистих даних, в якому було внесено виправлення щодо кількості та характеру витоку даних.

В результаті повторного розслідування витоку даних, проведеного третьою стороною за допомогою форензічного аналізу, було виявлено деякі відмінності. Тому ми просимо вас перевірити ці відмінності в додатку 1 “Пункти, що стосуються кожного сайту та сервісу”. (Пропущено) Крім того, максимальна кількість витоків зменшилася з 657,096 до 655,488.

Крім вищезазначених виправлень, до змісту було додано лише інструкції щодо реагування на спам та підозрілі електронні листи. Основний зміст залишився майже таким же, як і в першому прес-релізі, і ця публікація стала останньою.

Штаб кризового реагування – центр управління

Після виявлення несанкціонованого доступу, корпорація “Токен” встановила “Головний штаб з інформаційної безпеки”, співпрацюючи з зовнішніми третіми сторонами та поліцією, щоб запобігти повторенню подібних випадків.

Структура цієї організації невідома, але, крім заходів щодо безпеки системи, необхідно одночасно проводити контакти з цільовими користувачами, взаємодію з медіа, відповідати акціонерам, розглядати юридичну відповідальність, тому зазвичай потрібна участь зовнішніх третіх сторін та експертів, таких як:

• Великі компанії-розробники програмного забезпечення
• Великі спеціалізовані вендори безпеки
• Зовнішні адвокати, які глибоко розуміють кібербезпеку

Підсумки

У випадках, подібних цьому, коли виявляється витік великої кількості особистих даних, що перевищує 650 тисяч, важливими стають “початкова реакція” та “повідомлення, звітність та публікація” зосереджені навколо штабу заходів та “заходи щодо безпеки”.

Особливо важливою є швидкість не лише у початковій реакції, але й у повідомленні та звітності до поліції та відповідних управлінь, а також у публікації (прес-релізі) для зацікавлених сторін.

Однак, якщо ви помиляєтесь у виборі способу реагування, може виникнути ризик відповідальності за відшкодування збитків, тому ми рекомендуємо не приймати рішення самостійно, а обговорювати їх з адвокатами, які мають багатий досвід та знання у сфері кібербезпеки.

Якщо ви зацікавлені у кризовому управлінні під час витоку інформації через шкідливе ПЗ компанії Capcom, будь ласка, ознайомтеся з деталями у нашій статті.

Інформація про заходи, що вживаються нашим бюро

Юридичне бюро “Моноліт” – це юридична фірма, яка має високу спеціалізацію в галузі ІТ, особливо в інтернеті та праві. У нашому бюро ми створюємо та переглядаємо договори для різноманітних справ, від компаній, що входять до першого рівня Токійської фондової біржі (Japanese 東証プライム), до стартапів. Якщо у вас виникли проблеми, будь ласка, зверніться до статті нижче.

https://monolith.law/contractcreation[ja]