Bài học về quản lý khủng hoảng và vai trò của luật sư từ vụ rò rỉ thông tin của Đại học Keio
Rò rỉ thông tin do truy cập trái phép không chỉ xảy ra ở các doanh nghiệp mà còn ở các môi trường giáo dục, tuy nhiên, cách đối phó có vẻ hơi khác so với doanh nghiệp.
Đặc biệt, đối với thông tin cá nhân, học sinh và nhân viên giáo dục thường là trung tâm, vì vậy, khi xảy ra sự cố rò rỉ thông tin, việc công bố thông tin thường chỉ được thực hiện trong phạm vi hạn chế.
Tuy nhiên, không có sự thay đổi nào về bảo vệ thông tin cá nhân giữa doanh nghiệp và trường học, và nguyên tắc quản lý khủng hoảng trong việc rò rỉ thông tin là giống nhau.
Vì vậy, lần này, từ góc độ quản lý khủng hoảng đối với sự cố rò rỉ thông tin cá nhân do truy cập trái phép, chúng tôi sẽ giải thích các điểm quan trọng của hệ thống quản lý khủng hoảng dựa trên cách đối phó với sự cố rò rỉ thông tin tại Khuôn viên Shonan Fujisawa của Đại học Keio (dưới đây gọi là Keio SFC).
Tổng quan về vụ rò rỉ thông tin tại Keio SFC
Nội dung chính liên quan đến vụ rò rỉ thông tin do truy cập trái phép xảy ra tại Keio SFC như sau:
- Phát hiện rò rỉ: Vào sáng sớm ngày 29 tháng 9 năm 2020, đã phát hiện khả năng rò rỉ thông tin do truy cập trái phép vào hệ thống hỗ trợ giảng dạy (SFC-SFS).
※ SFC-SFS là hệ thống có các chức năng như gửi email đồng loạt đến người học, tải xuống danh sách người học, đăng ký báo cáo / bài tập, nhận bài nộp, đăng ký điểm số (nhận xét), nhập / xem bình luận trong khảo sát giảng dạy. - Nguyên nhân rò rỉ: ID và mật khẩu của 19 người sử dụng hệ thống đã bị đánh cắp, và người thứ ba đã sử dụng trái phép chúng để xâm nhập vào hệ thống. Sự yếu kém của SFC-SFS được coi là nguyên nhân chính.
- Phạm vi rò rỉ: Thông tin cá nhân của sinh viên và nhân viên mà Khuôn viên Shonan Fujisawa quản lý
- Nội dung rò rỉ: Bao gồm “họ tên”, “địa chỉ”, “tên tài khoản”, “địa chỉ email”, ngoài ra đối với sinh viên thì có “ảnh chân dung”, “số học sinh”, “thông tin về việc đạt tín chỉ”, “ngày tháng năm nhập học”, đối với nhân viên thì có “số nhân viên”, “chức vụ”, “hồ sơ cá nhân”, “dữ liệu email cá nhân”, v.v.
- Số lượng rò rỉ: Có khả năng rò rỉ thông tin của khoảng 33,000 trường hợp
Phát hiện truy cập trái phép và các biện pháp ứng phó ban đầu
Vào khoảng 17:45 ngày 15 tháng 9, phát hiện dấu hiệu việc tìm kiếm lỗ hổng hệ thống đối với SFC-SFS đang diễn ra một cách rải rác tại bộ phận IT của Keio SFC.
Thêm vào đó, vào tối ngày 28 tháng 9, sau khi phát hiện và điều tra truy cập đáng ngờ đối với hệ thống SFC-SFS, vào rạng sáng ngày 29 tháng 9, đã xác định được khả năng rò rỉ thông tin do truy cập trái phép.
Keio SFC đã bắt đầu các biện pháp ứng phó ban đầu từ ngày hôm sau khi xác nhận việc tìm kiếm lỗ hổng hệ thống, dấu hiệu của việc truy cập trái phép.
- Yêu cầu tất cả người dùng thay đổi mật khẩu (ngày 16 tháng 9, ngày 30 tháng 9)
- Tiếp tục giám sát tất cả các điểm xác thực và nhật ký xác thực, v.v. (từ ngày 16 tháng 9 trở đi)
- Giới hạn việc đăng nhập vào máy chủ tính toán chung từ bên ngoài chỉ bằng xác thực khóa công khai (ngày 16 tháng 9)
- Tạm dừng dịch vụ web có lỗ hổng đã được xác nhận và sửa chữa các điểm yếu【đang thực hiện】(từ ngày 16 tháng 9 trở đi, SFC-SFS vào ngày 29 tháng 9)
- Tạm dừng hệ thống SFC-SFS (ngày 29 tháng 9)
Về biện pháp ứng phó ban đầu của Keio SFC
Khi phát hiện truy cập trái phép, việc cơ bản là lập một ban chỉ đạo để ứng phó ban đầu, nhưng trong trường hợp này, có vẻ như bộ phận IT dưới sự lãnh đạo của ông Kunio, người đồng thời là Giám đốc thông tin cao cấp và Giám đốc an ninh thông tin cao cấp của Keio Gijuku, đã hoạt động như một ban chỉ đạo.
Điều quan trọng trong việc ứng phó ban đầu là việc thực hiện “cô lập thông tin”, “ngắt kết nối mạng” và “dừng dịch vụ” để ngăn chặn sự mở rộng của thiệt hại và sự phát sinh của thiệt hại thứ cấp. Trong trường hợp của Keio SFC, do người dùng hệ thống không phải là số lượng lớn không xác định mà chỉ giới hạn ở sinh viên và nhân viên giảng dạy, nên việc thay đổi mật khẩu và giới hạn phương thức đăng nhập được ưu tiên.
Tuy nhiên, việc họ đã nhanh chóng hành động ngay sau khi xác nhận dấu hiệu truy cập trái phép, và việc họ đã tạm dừng hệ thống SFC-SFS vào ngày 29 tháng 9 khi khả năng rò rỉ thông tin được xác định, có thể được coi là một biện pháp quản lý khủng hoảng phù hợp.
Điều đáng quan tâm về biện pháp ứng phó ban đầu của Keio SFC là việc họ đã báo cáo cho cơ quan giám sát hoặc cảnh sát sau khi thực hiện các biện pháp bảo vệ bằng chứng đối với truy cập trái phép, một hành vi phạm tội. Tuy nhiên, không thể xác nhận được điều này vì không có mô tả nào trong thông cáo báo chí hoặc các phương tiện truyền thông.
Về việc thông báo cho các bên liên quan
Thông báo đối với sinh viên và nhân viên giảng dạy của Keio SFC được thực hiện dưới dạng email liên lạc công việc như sau, và đây có vẻ là lần đầu tiên họ đề cập đến việc rò rỉ thông tin cá nhân trong email ngày 30 tháng 9.
Ngày 29 tháng 9, thông báo cho nhân viên thuộc Keio SFC rằng “sự cố nghiêm trọng” đã xảy ra nên họ đã tạm dừng SFC-SFS.
Ngày 30 tháng 9, yêu cầu tất cả người dùng SFC-SFS thay đổi mật khẩu vì có khả năng “thông tin tài khoản của người dùng” đã bị rò rỉ do sự cố này.
Ngoài ra, thông báo cho nhân viên thuộc, do việc tạm dừng SFC-SFS, họ không thể tiếp tục liên lạc với sinh viên đăng ký học hoặc chọn sinh viên đăng ký học như dự kiến, nên họ sẽ tạm ngừng giảng dạy trong một thời gian nhất định.
J-CAST News, nghe được thông tin này, đã tiến hành phỏng vấn và vào cùng ngày đã công bố bài viết với tiêu đề “Sự cố nghiêm trọng với hệ thống giảng dạy tại Keio SFC, bắt đầu học kỳ mùa thu bị trì hoãn một tuần là tình huống bất thường”, khiến việc “thông tin tài khoản của người dùng” bị rò rỉ trở nên công khai.
Ngày 1 tháng 10, thông báo cho sinh viên trên trang web của Keio SFC rằng họ đã tạm dừng SFC-SFS vào ngày 29 tháng 9 do có khả năng truy cập trái phép, và do ảnh hưởng của điều này, họ sẽ tạm ngừng giảng dạy từ ngày 1 đến ngày 7 tháng 10. (※ Không có thông tin về việc rò rỉ thông tin cá nhân)
Thông cáo báo chí sau khi phát hiện rò rỉ thông tin
Lần đầu tiên công bố về việc rò rỉ thông tin cá nhân do truy cập trái phép là vào ngày 10 tháng 11, được thực hiện trên trang web của chúng tôi.
Lần này, tại hệ thống mạng thông tin (SFC-CNS) và hệ thống hỗ trợ giảng dạy (SFC-SFS) của Khuôn viên Fujisawa Shonan, chúng tôi đã phát hiện ra rằng ID và mật khẩu của 19 người dùng (nhân viên giảng dạy) của hệ thống đã bị đánh cắp bằng cách nào đó, và bằng cách sử dụng thông tin này, đã có truy cập trái phép từ bên ngoài và tấn công lợi dụng lỗ hổng của hệ thống hỗ trợ giảng dạy (SFC-SFS), có khả năng thông tin cá nhân của người dùng đã bị rò rỉ từ hệ thống này. Chúng tôi xin lỗi sâu sắc vì đã gây ra sự phiền toái và lo lắng cho tất cả mọi người liên quan. Hiện tại, chúng tôi chưa xác nhận được bất kỳ thiệt hại thứ cấp nào.
Keio Gijuku “Về việc rò rỉ thông tin cá nhân do truy cập trái phép vào SFC-CNS và SFC-SFS”[ja]
Thông cáo báo chí này cũng đã ghi rõ thông tin chi tiết về các vấn đề sau:
- Nội dung thông tin cá nhân có thể đã bị rò rỉ
- Quá trình phát hiện việc rò rỉ
- Nguyên nhân gây ra việc rò rỉ
- Biện pháp ứng phó sau khi phát hiện
- Tình hình hiện tại
- Biện pháp phòng ngừa tái phát
Nội dung trên đã bao gồm hầu hết các mục cần thiết cho tài liệu công bố về việc rò rỉ thông tin.
Về thông cáo báo chí của Keio SFC
Thời điểm thông cáo báo chí
Thực ra, Keio SFC nên là người đầu tiên công bố, nhưng việc công bố sau 41 ngày kể từ khi J-CAST News đưa tin là quá muộn.
Đó là bởi vì, trong trường hợp rò rỉ thông tin cá nhân, cần phải thông báo gấp cho người mà thông tin của họ đã bị rò rỉ để ngăn chặn thiệt hại thứ cấp.
Tuy nhiên, nếu họ đã thông báo nội dung cụ thể của “thông tin tài khoản người dùng” khi yêu cầu thay đổi mật khẩu vào ngày 30 tháng 9, thì không có vấn đề gì.
Chú ý đến các hành vi lừa đảo và phiền toái
Trong thông cáo báo chí sau khi phát hiện rò rỉ thông tin, cần phải công bố về việc rò rỉ thông tin đã xảy ra, thông báo và xin lỗi người mà thông tin của họ đã bị rò rỉ, và cảnh báo họ về nguy cơ bị lừa đảo và các hành vi phiền toái khác.
Ngay cả thông tin trong khuôn viên đã bị đóng cửa cũng có thể bị lạm dụng nếu nó bị rò rỉ ra bên ngoài, và trong trường hợp này, việc cảnh báo về các hành vi lừa đảo và phiền toái cũng là cần thiết.
Trung tâm Đối sách Trở thành Trọng tâm trong Ứng phó Khủng hoảng
Trong thông cáo báo chí về “Biện pháp Phòng ngừa Tái phát” của Keio SFC, họ đã mô tả về Trung tâm Đối sách như sau:
Tại Keio Gijuku, dựa trên vụ việc truy cập trái phép lần này, chúng tôi sẽ nhanh chóng tiến hành các biện pháp nhằm ngăn chặn tái phát, bao gồm kiểm tra và cải thiện bảo mật ứng dụng web và hệ thống trên toàn trường, xem xét lại cách xử lý thông tin cá nhân để bảo vệ nó. Ngoài ra, từ ngày 1 tháng 11 năm 2020 (năm 2020 theo lịch Gregory), chúng tôi đã thành lập CSIRT (Đội Đối phó Sự cố Bảo mật Thông tin) trong trường, và thực hiện xây dựng tổ chức có thể đáp ứng toàn diện với an ninh mạng, đồng thời cố gắng tăng cường bảo mật trên toàn trường hơn nữa, trong khi hợp tác với các cơ quan chuyên môn bên ngoài.
Keio Gijuku “Về việc rò rỉ thông tin cá nhân do truy cập trái phép vào SFC-CNS và SFC-SFS”[ja]
Phản ứng ban đầu với vụ việc này dường như đã được thực hiện bởi tổ chức nội bộ của Keio SFC, đóng vai trò như Trung tâm Đối sách, nhưng “CSIRT” được thành lập vào ngày 1 tháng 11 năm 2020 (năm 2020 theo lịch Gregory) là một tổ chức tương đương với Trung tâm Đối sách, trở thành trọng tâm trong việc ứng phó với khủng hoảng khi xảy ra sự cố về bảo mật trong tương lai.
Thành viên của CSIRT chưa rõ, nhưng không chỉ cần các biện pháp bảo mật hệ thống, mà còn cần tiến hành đồng thời việc liên lạc với người dùng mục tiêu, báo cáo cho cơ quan giám sát và cảnh sát, đối phó với truyền thông, xem xét trách nhiệm pháp lý, v.v., do đó, sự tham gia của các cơ quan bên ngoài và chuyên gia như sau là cần thiết:
- Công ty phần mềm lớn
- Nhà cung cấp chuyên môn về bảo mật lớn
- Luật sư bên ngoài có kiến thức sâu rộng về an ninh mạng
Tổng kết
Ngay cả khi phát hiện rò rỉ thông tin cá nhân trong lĩnh vực giáo dục như lần này, việc thực hiện “phản ứng ban đầu” phù hợp và “thông báo, báo cáo, công bố” dựa trên ban chỉ đạo cũng như “biện pháp an ninh” sau đó là rất quan trọng.
Đặc biệt, không chỉ yêu cầu tốc độ trong phản ứng ban đầu, mà còn cần thông báo, báo cáo cho cảnh sát và các cơ quan liên quan, thông báo (xin lỗi) cho người bị ảnh hưởng, và công bố vào thời điểm phù hợp.
Tuy nhiên, nếu bạn thực hiện sai thủ tục hoặc biện pháp xử lý, bạn có thể phải chịu trách nhiệm bồi thường thiệt hại, vì vậy chúng tôi khuyên bạn nên tiến hành sau khi thảo luận với luật sư có kiến thức và kinh nghiệm về an ninh mạng.
Nếu bạn quan tâm đến quản lý khủng hoảng trong trường hợp rò rỉ thông tin do malware của Capcom, hãy xem bài viết chi tiết trong bài viết này.
https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]
Giới thiệu về các biện pháp của văn phòng luật sư của chúng tôi
Văn phòng luật sư Monolis, chuyên về IT, đặc biệt là Internet và luật, là một văn phòng luật sư có chuyên môn cao về cả hai mặt. Tại văn phòng của chúng tôi, chúng tôi thực hiện kiểm tra pháp lý cho các vụ việc khác nhau, từ các công ty niêm yết trên Sở Giao dịch Chứng khoán Tokyo Prime đến các công ty khởi nghiệp. Vui lòng tham khảo bài viết dưới đây.
Related Articles
Phạm vi quyền sử dụng tác phẩm phái sinh là gì? Giải thích thông qua các ví dụ thực tế từ các vụ.
General Corporate
Rò rỉ thông tin cá nhân không ngừng, năm tài khóa Reiwa 5 (2023) tăng 1.5 lần so với năm trước. .
General Corporate
Quy định về quảng cáo trong Luật Dược phẩm và Thiết bị y tế mà các salon thẩm mỹ cần chú ý
General Corporate
Giải thích các ví dụ về phán quyết và trường hợp mà bí mật kinh doanh và cạnh tranh không công b.
General Corporate
