Роль адвоката та управління кризами на прикладі витоку інформації в Університеті Кейо

Витоки інформації через незаконний доступ відбуваються не тільки в компаніях, але й в освітніх установах, проте їх реакція здається трохи відрізняється від бізнесу.

Особливо щодо персональних даних, які зазвичай стосуються студентів та викладачів, існує тенденція до обмеженого розголосу інформації у випадку витоку інформації.

Однак, щодо захисту персональних даних, немає різниці між компаніями та школами, основи управління кризою в разі витоку інформації залишаються тими ж.

Тому, цього разу ми розглянемо ключові аспекти системи управління кризою на прикладі реакції на витоки інформації в Університеті Keio SFC (далі – Keio SFC) від незаконного доступу до персональних даних.

Огляд інциденту з витоком інформації в Keio SFC (Університет Кейо)

Основні подробиці щодо витоку інформації, спричиненого незаконним доступом, який стався в Keio SFC (Університет Кейо), є наступними:

• Виявлення витоку: 29 вересня 2020 року було виявлено можливий витік інформації через незаконний доступ до системи підтримки навчання (SFC-SFS).
  ※ SFC-SFS – це система, яка має функції масової розсилки електронних листів студентам, завантаження списків студентів, реєстрації робіт/завдань, прийому робіт, реєстрації оцінок (коментарів), введення та перегляду коментарів до опитувань з навчання.
• Причина витоку: ID та паролі 19 користувачів системи були вкрадені, і третя особа незаконно використала їх для вторгнення в систему. Вразливість SFC-SFS вважається основною причиною.
• Обсяг витоку: персональна інформація студентів та персоналу, яку керував кампус Shonan Fujisawa.
• Вміст витоку: “Ім’я”, “Адреса”, “Ім’я облікового запису”, “Електронна адреса”, а також “Фотографія обличчя”, “Номер студентського квитка”, “Інформація про отримані кредити”, “Дата вступу” для студентів, а для персоналу – “Номер співробітника”, “Посада”, “Профіль”, “Персональні дані електронної пошти”.
• Кількість випадків витоку: можливий витік інформації в приблизно 33,000 випадках.

Виявлення незаконного доступу та початкова реакція

15 вересня о 17:45, в IT-відділі Keio SFC було виявлено сліди спорадичного пошуку вразливостей у системі SFC-SFS.

Далі, ввечері 28 вересня, було виявлено підозрілий доступ до системи SFC-SFS. В результаті розслідування, вранці 29 вересня було виявлено можливість витоку інформації через незаконний доступ.

Keio SFC розпочала початкову реакцію наступного дня після виявлення пошуку вразливостей, який є передвісником незаконного доступу:

• Запит на зміну паролів всіх користувачів (16 вересня, 30 вересня)
• Постійний моніторинг всіх місць автентифікації та журналів автентифікації (з 16 вересня)
• Обмеження входу на спільний обчислювальний сервер ззовні тільки за допомогою публічного ключа (16 вересня)
• Зупинка веб-сервісів, в яких була виявлена вразливість, та виправлення вразливих місць【в процесі】(поступово з 16 вересня, SFC-SFS – 29 вересня)
• Зупинка системи SFC-SFS (29 вересня)

Про початкову реакцію Keio SFC

Коли виявляється незаконний доступ, зазвичай створюється штаб з метою початкової реакції. Однак, в цьому випадку, здається, що IT-відділ під керівництвом господина Кунио, постійного директора Keio і головного інформаційного та безпекового офіцера, виконував функції штабу.

Важливим у початковій реакції є “ізоляція інформації”, “відключення мережі” та “зупинка сервісу” для запобігання поширенню шкоди та виникненню вторинної шкоди. Однак, у випадку Keio SFC, користувачі системи обмежені студентами та персоналом, тому вони віддають перевагу зміні паролів та обмеженню методів входу.

Однак, той факт, що вони відразу ж почали діяти після виявлення передвісників незаконного доступу, а також той факт, що вони зупинили систему SFC-SFS 29 вересня, коли стало відомо про можливість витоку інформації, можна вважати адекватною реакцією на кризу.

Що стосується початкової реакції Keio SFC, то виникає питання, чи були вжиті заходи збереження доказів проти незаконного доступу, який є злочином, та чи було зроблено повідомлення до наглядових органів або поліції. Однак, це не можна перевірити, оскільки немає відповідного опису в прес-релізах або ЗМІ.

Про повідомлення зацікавленим сторонам

Повідомлення для студентів та персоналу Keio SFC було зроблено у вигляді службових листів, як показано нижче, і перше згадування про витік особистої інформації було, схоже, у листі від 30 вересня.

29 вересня було повідомлено працівникам Keio SFC, що через “серйозні проблеми” система SFC-SFS була зупинена.

30 вересня всім користувачам SFC-SFS було запропоновано змінити паролі, оскільки через цю проблему “інформація про облікові записи користувачів” могла бути витікла.

Також було повідомлено працівникам, що через зупинку SFC-SFS вони не зможуть зв’язатися зі студентами, які вибрали курси, або зі студентами, які відвідують курси, як заплановано, тому курси будуть призупинені на певний час.

J-CAST News, які дізналися про цю інформацію, опублікували статтю під назвою “Серйозні проблеми з системою навчання в Keio SFC, початок осіннього семестру затримується на тиждень” того ж дня, і “інформація про облікові записи користувачів” стала відомою публіці.

1 жовтня на веб-сайті Keio SFC було повідомлено студентам, що система SFC-SFS була зупинена 29 вересня через можливий незаконний доступ, і через це заняття будуть призупинені з 1 по 7 жовтня. (※ Про витік особистої інформації не згадується)

Прес-реліз після виявлення витоку інформації

Перше офіційне повідомлення про витік особистої інформації через несанкціонований доступ було опубліковано 10 листопада на веб-сайті.

Цього разу, в системі інформаційної мережі кампусу Shonan Fujisawa (SFC-CNS) та системі підтримки навчання (SFC-SFS), було викрадено ID та паролі 19 користувачів (викладачів) за допомогою якогось методу. Виявлено, що існує можливість витоку особистої інформації користувачів з цієї системи через несанкціонований доступ ззовні, використовуючи викрадені дані, та атаку, що використовує вразливості системи підтримки навчання (SFC-SFS). Ми глибоко просимо вибачення за те, що ця ситуація виникла і спричинила незручності та стурбованість всім зацікавленим сторонам. На даний момент не виявлено жодних подальших шкод.

Keio University “Про витік особистої інформації через несанкціонований доступ до SFC-CNS та SFC-SFS”[ja]

Цей прес-реліз також містить детальну інформацію про наступні питання:

• Зміст особистої інформації, яка могла витікти
• Обставини виявлення витоку
• Причина витоку
• Реакція після виявлення
• Поточна ситуація
• Заходи щодо запобігання повторенню

Вищезазначені пункти майже повністю покривають необхідні елементи для публікації матеріалів про витік інформації.

Про прес-реліз Keio SFC

Час прес-релізу

Зазвичай, Keio SFC повинен був спочатку самостійно оголосити про це, але факт, що вони оголосили про це через 41 день після повідомлення в J-CAST News, не можна назвати нічим іншим, як запізненням.

Це тому, що при витоку особистої інформації необхідно терміново повідомити особу, чиї дані витекли, щоб запобігти подальшим шкодам.

Однак, якщо вони повідомили про конкретний зміст “інформації про обліковий запис користувача” під час запиту про зміну пароля 30 вересня, то проблеми немає.

Попередження про шахрайство та незручності

У прес-релізі після виявлення витоку інформації необхідно оголосити про виникнення витоку інформації, повідомити особу, чиї дані витекли, пробачитися, а також попередити про можливість стати жертвою шахрайства та незручностей.

Якщо навіть інформація з закритого кампусу витече на вулицю, є можливість її зловживання, і в цьому випадку також необхідно попередити про шахрайство та незручності.

Штаб кризового реагування

У прес-релізі “Заходи щодо запобігання повторенню” Кеїо SFC описує штаб кризового реагування наступним чином:

У Кеїо, враховуючи цей випадок незаконного доступу, ми негайно приступимо до заходів, спрямованих на запобігання повторенню, таких як перевірка безпеки веб-додатків та систем, поліпшення, перегляд обробки особистих даних тощо. Крім того, з 1 листопада 2020 року (2020 рік за Григоріанським календарем) ми створили команду реагування на інциденти інформаційної безпеки (CSIRT) в університеті, і ми будемо працювати над створенням організації, яка може реагувати на кібербезпеку в цілому, співпрацюючи з зовнішніми спеціалізованими установами, і прагнути до подальшого зміцнення безпеки в університеті.

Кеїо “Про витік особистих даних через незаконний доступ до SFC-CNS та SFC-SFS”[ja]

Схоже, що внутрішня організація Кеїо SFC виконувала роль штабу кризового реагування в початковій реакції на цю подію, але “CSIRT”, створений 1 листопада 2020 року, є організацією, що відповідає штабу кризового реагування, який стане центром реагування на кризу у випадку посилення безпеки та майбутніх інцидентів.

Склад членів CSIRT невідомий, але, крім заходів щодо безпеки системи, потрібно одночасно проводити контакт з користувачами, звіти до наглядових органів та поліції, реагування на ЗМІ, розгляд юридичної відповідальності тощо, тому зазвичай потрібна участь таких зовнішніх третіх сторін та експертів:

• Великі компанії-розробники програмного забезпечення
• Великі спеціалізовані вендори безпеки
• Зовнішні адвокати, які добре розуміються на кібербезпеці

Підсумки

Навіть у випадках, подібних до сьогоднішнього, коли в освітній сфері виявляється витік особистої інформації, важливими є належна “перша реакція” та “повідомлення, звіти, публікації” зосереджені навколо штабу заходів, а також подальші “заходи забезпечення безпеки”.

Особливо важливою є швидкість не лише у першій реакції, але й у повідомленні та звітності до поліції та відповідних управлінь, у повідомленні особі (вибачення), а також у публікації в належний час.

Однак, якщо ви помиляєтесь у процедурі або методі вирішення проблеми, може виникнути ризик відповідальності за відшкодування збитків, тому ми рекомендуємо вам не приймати рішення самостійно, а консультуватися з адвокатом, який має багатий досвід та знання у сфері кібербезпеки.

Якщо ви зацікавлені у кризовому управлінні під час витоку інформації через шкідливе ПЗ компанії Capcom, будь ласка, ознайомтеся з деталями у нашій статті.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Інформація про заходи, що вживаються нашим бюро

Юридичне бюро “Monolith” є висококваліфікованим у сфері IT, особливо в інтернеті та праві. У нашому бюро ми проводимо юридичну перевірку різноманітних питань, від компаній, що входять до переліку преміум-компаній на Токійській фондовій біржі, до стартапів. Будь ласка, дивіться статтю нижче.

https://monolith.law/contractcreation[ja]