Роль адвоката та управління кризами на прикладі витоку інформації в Capcom

Інформаційний витік Capcom, що стався у листопаді 2020 року (2020年11月), був спричинений вірусом-вимогуном на замовлення, і могло бути викрадено до 390 тисяч особистих даних.

Звичайно, краще, щоб інциденти не відбувалися, і першочергово важливо створити систему, яка б запобігла їх виникненню. Однак, незалежно від того, яку систему ви встановите, неможливо повністю знизити ймовірність їх виникнення до нуля.

Якщо такий інцидент все ж відбувається, які заходи та розслідування слід провести відразу після нього, коли і як їх слід оголосити?

У цій статті ми розглянемо інцидент з витоком особистих даних через шкідливе ПЗ з точки зору кризового управління, і на прикладі витоку інформації в Capcom ми дослідимо, якою має бути система кризового управління, вивчаючи реакцію компанії в хронологічному порядку.

※Адвокати несуть високу відповідальність за збереження конфіденційності у справах, в яких вони беруть участь як адвокати. Ця стаття висловлює думку адвоката на основі загальнодоступної інформації про минулі події, в яких наша фірма не брала участі.

Виявлення інциденту та початкова реакція

Інцидент було підтверджено 2 листопада 2020 року.

На цей момент було виявлено проблеми з підключенням до внутрішньої системи, було виконано відключення системи та почато визначення обсягу пошкоджень.

Того ж дня було встановлено, що причиною збою було шифрування файлів на пристроях мережі через атаку рансомвірусу.

На пошкоджених терміналах було виявлено погрозливі повідомлення від групи, яка називає себе “Ragnar Locker”.

На цей момент, Капком (Capcom) звернувся до поліції префектури Осака та зробив запит на підтримку відновлення до зовнішніх компаній.

Під час виникнення інциденту, необхідно терміново відновити систему для продовження діяльності компанії. Однак, якщо підтверджено атаку рансомвірусу, це, як правило, незаконний доступ, і ймовірність того, що це дія, заборонена Законом про заборону незаконного доступу (Japanese Unauthorised Access Prohibition Law), є дуже високою.

Перед тим, як підтвердити витік конфіденційної інформації, включаючи особисті дані, і перед тим, як визначити шлях проникнення, важливо негайно повідомити поліцію.

Управління кризовою ситуацією перед виявленням витоку інформації

А потім, на наступний день після виникнення, 4 листопада, Capcom випустила свій перший прес-реліз під назвою “Повідомлення про виникнення системного збою через незаконний доступ”.

Ми підтверджуємо, що цей збій викликаний незаконним доступом від третьої сторони, і з цього дня ми частково призупинили роботу внутрішньої мережі. Ми глибоко просимо вибачення за значні незручності, які це може спричинити всім зацікавленим сторонам. Крім того, на даний момент ми не підтверджуємо витік інформації клієнтів та іншої інформації.

Повідомлення про виникнення системного збою через незаконний доступ[ja]

На цей час це лише “виникнення системного збою” через “незаконний доступ”, і витік інформації ще не був виявлений.

Прес-реліз після виявлення витоку інформації

Кількість особистої інформації, що може бути витікла

Витік інформації було виявлено 12 листопада.

Було підтверджено витік 9 записів особистої інформації та деякої корпоративної інформації.

Наступного дня, Capcom звернувся до провідної компанії-спеціаліста в області безпеки для проведення розслідування причин, а 16 листопада було опубліковано прес-реліз про підтвердження витоку інформації.

На цей час,

• Підтверджена виток інформації
• Інформація, яка може витікти

розглядалися окремо, а також,

• Особиста інформація (клієнти, партнери тощо)
• Особиста інформація (співробітники та сторонні особи)
• Корпоративна інформація (інформація про продажі, інформація про партнерів, комерційні матеріали, матеріали розробки тощо)

розглядалися окремо, і було опубліковано приблизну кількість записів.

На цей час було опубліковано, що “існує можливість витоку до 350 тисяч записів особистої інформації клієнтів”.

Витік інформації про кредитні картки та відповідні заходи

Також одночасно

Зазначимо, що наша компанія повністю делегує оплату в Інтернеті, тому ми не зберігаємо інформацію про кредитні картки, і витоку інформації про кредитні картки немає.

Повідомлення та вибачення щодо витоку інформації через незаконний доступ[ja]

було зроблено заяву про відсутність витоку інформації про кредитні картки, а також було опубліковано інформацію про:

• Заходи щодо осіб, у яких було підтверджено витік особистої інформації, та осіб, у яких це можливо
• Хронологію виявлення та відповідних заходів
• Майбутні заходи

було опубліковано.

Консультації та поради від зовнішніх адвокатів тощо

Також у прес-релізі було зазначено:

Ми повідомили про ситуацію провідній компанії-розробнику програмного забезпечення, провідному спеціалісту в області безпеки та зовнішньому адвокату, який добре розуміє кібербезпеку, і отримали від них консультації та поради. Ми почали зв’язуватися з особами, у яких було підтверджено витік інформації, та з зацікавленими сторонами, і продовжуємо розслідування щодо інформації, яка може бути викрадена.

Повідомлення та вибачення щодо витоку інформації через незаконний доступ[ja]

Також було вказано контактні дані для запитів щодо особистої інформації та “Контактний центр для запитів щодо витоку інформації в Capcom”, включаючи “Контактний центр для користувачів ігор” та “Загальний контактний центр”, які були доступні через безкоштовний телефонний номер.

Від моменту виявлення витоку принаймні частини інформації до опублікування прес-релізу про витік інформації минуло 4 дні.

Це було необхідним періодом для перевірки деталей вищезазначеної інформації та прийняття рішень щодо майбутніх заходів.

Витік особистих даних та кризовий менеджмент

На відміну від першої інформації про “системний збій”, друга інформація про “можливий витік особистих даних до 350 тисяч клієнтів” викликає значний інтерес у різних ЗМІ.

Компанія Capcom стала жертвою несанкціонованого доступу через рансомвар, створений за замовленням третьої сторони, в результаті чого особисті дані, що належать групі компаній, були викрадені. На 16 листопада, інформація, яка могла бути викрадена, включає до 350 тисяч записів, включаючи клієнтів та партнерів. Існує також ймовірність витоку комерційних та розробницьких документів.

Capcom, до 350 тисяч особистих даних викрадено через несанкціонований доступ. “Немає перешкод для гри” – BCN+R[ja]

Однак, у прес-релізі також було опубліковано інформацію про “обставини виявлення та реагування” та “майбутні дії”, тому вищезазначена стаття закінчується такими реченнями: “У майбутньому ми плануємо співпрацювати з правоохоронними органами, створити нову консультативну організацію з питань системної безпеки за участю зовнішніх експертів та докласти зусиль для запобігання повторення подібних випадків. Ми стверджуємо, що користувачі та зовнішні сторони не зазнають шкоди від підключення до Інтернету для гри або від відвідування нашого веб-сайту. Крім того, ми закликаємо користувачів, чиї особисті дані могли бути викрадені, бути обережними, оскільки вони можуть отримати незнайомі поштові відправлення або підозрілі дзвінки.”

У прес-релізі після виявлення витоку особистих даних важливо розкрити достатньо збалансовану інформацію, включаючи “обставини виявлення та реагування” та “майбутні дії”.

І коли виявляється витік особистих даних, важливо залучити команду зовнішніх експертів, таких як:

• Великі програмні компанії
• Великі спеціалізовані постачальники безпеки
• Зовнішні адвокати, які спеціалізуються на кібербезпеці

Ці експерти повинні працювати паралельно з IT-заходами, спрямованими на виявлення причин, і займатися такими питаннями, як контактування з клієнтами, у яких були викрадені дані, та кризовими PR-заходами.

Крім того, для публічних компаній важливо також пояснити акціонерам ситуацію як частину кризового PR.

Можливість витоку інформації про кандидатів на роботу

Також, у опублікованому прес-релізі “Інформація, яка може витікти” “Персональна інформація (клієнти, партнери тощо) максимум близько 350 тисяч” було зазначено пункт “Інформація про кандидатів на роботу (близько 125 тисяч)”, що викликало питання в соціальних мережах у зв’язку з тим, що Capcom зазначив на своєму сайті про намір знищити цю інформацію.

Capcom зазначив на своєму сайті про роботу, що “документи кандидатів, які не були прийняті або відмовилися від пропозиції, будуть знищені нами з відповідальністю після відбору”. На Twitter виникли питання щодо того, чому персональна інформація, яка мала бути знищена, не була знищена. Capcom вибачився, пояснивши, що “ми перетворили резюме кандидатів на дані і зберігали їх протягом певного часу. Через відсутність згадки про цифрові дані і недостатність висловлювання виникло непорозуміння. Ми просимо вибачення”. Щодо причин зберігання, вони пояснили, що “деякі кандидати подають заявки кілька разів. Це було для того, щоб легко перевірити історію попередніх заявок”. Щодо того, чи зберігалися дані всіх кандидатів, вони заявили, що “на даний момент невідомо”.

Capcom не знищує документи кандидатів, які не були прийняті. На сторінці з пропозиціями про роботу написано “Ми знищуємо з відповідальністю”, але можливий витік інформації через кібератаку – ITmedia NEWS[ja]

Невідомо, чи передбачала Capcom ці питання, але якщо існує “інформація, якої насправді не має бути (і якщо вона є, то до певної міри це нормально)” в компанії, і є можливість її витоку, то краще було б випустити прес-реліз після обговорення цієї проблеми заздалегідь.

Створення комітету з контролю за безпекою, включаючи адвокатів

Опубліковано третій прес-реліз

Крім того, 21 грудня Capcom провів підготовчу зустріч з метою створення “Комітету з контролю за безпекою” як консультативної організації з питань системної безпеки, що складається з зовнішніх експертів.

12 січня 2021 року було опубліковано третій прес-реліз під назвою “Повідомлення та вибачення щодо витоку інформації через незаконний доступ”, в якому було зазначено:

Було підтверджено витік даних ще 16 406 осіб, загальна кількість людей, чиї дані витекли з моменту початку цього інциденту, становить 16 415. Крім того, максимальна кількість персональних даних клієнтів та партнерів, які могли витекти, становить приблизно 390 000 осіб (збільшилась на приблизно 40 000 в порівнянні з попереднім разом).

Також було зазначено, що інформація була оновлена відповідно до ходу розслідування. Додатково, було підтверджено, що інформація про кредитні картки не була викрадена, а також:

Система, яка була атакована цього разу, не використовувалася для інтернет-з’єднання або покупок через завантаження для гри в наші ігри. Замість цього, ми використовуємо зовнішні сервери або зовнішні відділення, як і раніше. Тому, ця кібератака на нашу систему не має ніякого відношення до інтернет-з’єднання або покупок через завантаження для гри в наші ігри, і клієнти не постраждають.

Повідомлення та вибачення щодо витоку інформації через незаконний доступ【Третій звіт】 | Capcom Co., Ltd.[ja]

Також було зроблено таке заявлення.

Про можливість витоку персональних даних кандидатів на роботу

Крім того, було оголошено про “нову інформацію, витік якої було підтверджено”, а саме про можливий витік персональних даних “приблизно 58 000 кандидатів на роботу”, конкретно “одного або більше з наступних: ім’я, адреса, телефонний номер, електронна адреса”.

Щодо цього питання:

У листопаді стало відомо, що інформація про кандидатів не була знищена після відбору і продовжувала зберігатися у зв’язку з кібератакою на компанію. У початковій версії “Політики щодо обробки персональних даних” на сайті з працевлаштування було зазначено, що “після відбору ми знищуємо інформацію відповідально”. Однак, у грудні 2020 року було додано фразу: “Через те, що ми приймаємо повторні заявки, ми можемо зберігати дані про заявки на певний період часу, щоб ми могли легко перевірити вашу попередню заявку та інші цілі використання”. За словами компанії, “персональні дані кандидатів все ще зберігаються в нашій внутрішній системі, і її функціонування майже не змінилося в порівнянні з періодом до незаконного доступу.

Capcom підтверджує витік персональних даних 16 000 осіб, а також можливий витік даних ще 58 000 осіб після кібератаки у листопаді 2020 року – ITmedia NEWS[ja]

Така інформація була опублікована.

Кризове управління з урахуванням результатів дослідження

Опубліковано четверту прес-реліз

Після цього, Капком провів перше засідання Комітету з контролю за безпекою 18 січня, друге засідання 25 лютого, третє засідання 26 березня, проводячи засідання Комітету з контролю за безпекою щомісяця. Крім того, 31 березня вони отримали доповідь від провідної компанії, спеціалізованої на безпеці, та доповідь від провідної компанії-розробника програмного забезпечення.

Відповідно до цього, 13 квітня вони опублікували четвертий прес-реліз під назвою “Звіт про результати розслідування незаконного доступу [Частина 4]”.

У цьому документі вони надають детальний технічний опис, заснований, як вважається, на вищезгаданих звітах, у розділах “Хід відповіді”, “Причини та масштаб збитків” та “Заходи зміцнення безпеки для запобігання повторенню”. Крім того, вони зазначають, що вони створили Комітет з контролю за безпекою, який включає одного адвоката, спеціаліста в області кібербезпеки та захисту персональних даних, як організаційний захід.

Звіти та реакція щодо вимоги викупу

Так, 1 березня, як було зазначено вище, з’явилися повідомлення, що кіберзлочинна група “Ragnar Locker” вимагає від Capcom викуп у розмірі приблизно 1 мільярд 150 мільйонів єн.

Кіберзлочинна група “Ragnar Locker” опублікувала файли, які, за їхніми словами, були вкрадені від компаній, на своєму веб-сайті, вимагаючи 11 мільйонів доларів у біткоїнах (приблизно 1 мільярд 150 мільйонів єн) як викуп, але Capcom відмовився платити на даний момент.

Capcom відмовляється платити 1,15 мільярда єн! Причини, чому не слід платити викуп за шкоду від рансомвару | Заходи безпеки в епоху телепраці | Diamond Online[ja]

Відповідно до цього, у четвертому прес-релізі було зазначено про викуп:

Щодо визнання суми викупу
На обладнанні, інфікованому рансомваром, залишилось повідомлення від зловмисника, і це правда, що вони вимагали контакту для переговорів зі зловмисником, але в цьому файлі не було зазначено суми викупу. Як було повідомлено раніше, ми вирішили не вести переговори зі зловмисником після консультації з поліцією, тому насправді ми не мали жодного контакту (див. прес-реліз від 16 листопада 2020 року), тому ми не знаємо суму.

Звіт про результати розслідування незаконного доступу【Четвертий звіт】 | Capcom Co., Ltd.[ja]

Це заява була опублікована. Це, ймовірно, реакція на те, що в звітах, зазначених вище, була названа конкретна сума “1 мільярд 150 мільйонів єн”.

Реліз на пов’язаних сайтах

Крім того, Capcom в той же день опублікувала на своїх сайтах, окрім корпоративного, таких як “CAPCOM: Інститут бійцівських мистецтв Шадолу” (сайт, пов’язаний з Street Fighter 5) та “CAPCOM ONLINE GAMES”,

【Продовження】 Повідомлення про проблеми з груповою системою
Дякуємо вам за постійне користування “Capcom Online Games (COG)”. Ми опублікували останню інформацію про системний збій, спричинений несанкціонованим доступом до нашої групової системи з боку третіх осіб з ранку 2 листопада 2020 року. Будь ласка, перевірте деталі тут.

Деталі повідомлення | Capcom Online Games[ja]

Сторінки, які були опубліковані.

Цей витік інформації, як виявилося на ранніх стадіях, був здійснений за допомогою “зовнішнього аутсорсингу або окремого використання зовнішнього сервера”, і “немає жодного зв’язку з кібератакою на нашу систему цього разу, і немає шкоди для наших клієнтів від підключення до Інтернету або покупки через завантаження для гри”, але

Можна припустити, що реліз було опубліковано на кожному сайті знову, щоб не викликати тривогу серед користувачів під час повідомлення про результати розслідування.

Підсумки

Таким чином, у випадках великомасштабного витоку персональних даних,

• швидке повідомлення поліції про інцидент
• підготовка системи для звітування та отримання настанов та порад від “адвокатів з глибокими знаннями в області кібербезпеки”
• управління кризовою комунікацією командою, зазначеною вище

І коли вже з’являється певна кількість інформації,

• створення комітету з контролю за безпекою, включаючи адвокатів

можна сказати, що важливо швидко та організовано проводити управління кризою.