Bài học về quản lý khủng hoảng và vai trò của luật sư từ vụ rò rỉ thông tin 650,000 hồ sơ của Tōken Corporation
Vào ngày 1 tháng 4 năm 2005 (năm Heisei 17), Luật bảo vệ thông tin cá nhân Nhật Bản đã được thi hành toàn diện, và các doanh nghiệp xử lý thông tin cá nhân đều phải thực hiện các biện pháp quản lý an toàn. Tuy nhiên, các sự cố rò rỉ thông tin cá nhân vẫn không ngừng xảy ra.
Trong trường hợp xảy ra sự cố rò rỉ thông tin, quy trình và tốc độ xử lý đặc biệt quan trọng. Đặc biệt, tại các doanh nghiệp vừa và nhỏ không có nhân viên chuyên về an ninh thông tin, có thể sẽ gặp khó khăn trong việc quyết định cách xử lý ngay lập tức.
Vì vậy, lần này, dựa trên cách xử lý của Công ty Tōken Corporation trong sự cố rò rỉ thông tin của họ, chúng tôi sẽ giải thích hệ thống quản lý khủng hoảng trong trường hợp rò rỉ thông tin.
Tổng quan về việc rò rỉ thông tin
Nội dung chính liên quan đến việc rò rỉ thông tin do truy cập trái phép xảy ra tại Tổng công ty Đông Kiến như sau:
- Thời gian xảy ra: Từ ngày 20 tháng 8 đến ngày 12 tháng 9 năm 2020, kéo dài 24 ngày
- Thời điểm phát hiện: Ngày 20 tháng 10 năm 2020
- Nguyên nhân: Do trang web của tập đoàn bị truy cập trái phép từ bên thứ ba vào máy chủ lưu trữ thông tin của nhiều người dùng
- Đối tượng: Những người liên hệ với trang web của công ty con, thành viên, người đăng ký các chiến dịch khác nhau
- Thông tin: “Địa chỉ email”, “Họ và tên”, “Địa chỉ”, “Số điện thoại”, “Mật khẩu”, “Giới tính”, “Ngày tháng năm sinh”, v.v.
- Số lượng: Có khả năng rò rỉ thông tin của tổng cộng 657,096 thông tin cá nhân
Phát hiện truy cập trái phép và biện pháp ứng phó ban đầu
Vào ngày 20 tháng 10 năm 2020, trong quá trình kiểm tra định kỳ trang web, Tōken Corporation đã phát hiện ra việc truy cập trái phép vào trang web do họ quản lý, “Nasurak Kitchen”, và đã thực hiện các biện pháp ứng phó ban đầu sau đây.
- Đóng cửa “Nasurak Kitchen” và ngừng cung cấp dịch vụ từ trang web này như một biện pháp ứng phó khẩn cấp về bảo mật.
- Thành lập “Trung tâm Đối sách Bảo mật Thông tin” và tư vấn với tổ chức bên ngoài thứ ba.
- Đến ngày 11 tháng 11, kiểm tra toàn bộ trang web của nhóm và thực hiện các biện pháp khắc phục tạm thời cho các lỗ hổng, đồng thời xác định số lượng và mục tiêu rò rỉ tối đa.
Điểm quan trọng của biện pháp ứng phó ban đầu
Khi nguy cơ rò rỉ thông tin do truy cập trái phép được xác nhận, bạn phải ngay lập tức thực hiện các biện pháp sau để ngăn chặn sự mở rộng của thiệt hại, sự phát sinh của thiệt hại thứ cấp và sự tái phát.
- Xác nhận sự thật (nguyên nhân, lộ trình của truy cập trái phép, v.v.)
- Ngừng hoạt động của thiết bị hoặc trang web bị truy cập trái phép
- Ngắt kết nối thiết bị hoặc trang web bị truy cập trái phép khỏi mạng
Điều cần lưu ý ở đây là không nên thực hiện các thao tác không cần thiết và phải thực hiện các biện pháp bảo tồn bằng chứng để không xóa bỏ bằng chứng còn lại trên hệ thống.
Thông cáo báo chí sau khi phát hiện rò rỉ thông tin
Lần công bố đầu tiên đã được thực hiện trên trang chủ của Tổng công ty Tokken vào ngày 17 tháng 11 năm 2020.
Nội dung công bố bao gồm tóm tắt về việc truy cập trái phép và các biện pháp tiếp theo, cùng với thông tin cần thiết được mô tả chi tiết dưới dạng “Q&A về sự cố rò rỉ thông tin do truy cập trái phép”.
Tổng công ty Tokken và các công ty thành viên trong nhóm của chúng tôi (sau đây gọi là nhóm công ty của chúng tôi) đã xác nhận vào ngày 20 tháng 10 năm 2020 rằng mạng lưới của nhóm công ty của chúng tôi đã bị truy cập trái phép bởi bên thứ ba, và có khả năng thông tin cá nhân như thông tin liên hệ với HomeMate do nhóm công ty của chúng tôi quản lý, thông tin thành viên của các công ty thành viên và thông tin của người đăng ký các chiến dịch khác nhau đã bị rò rỉ ra bên ngoài.
Về việc rò rỉ thông tin cá nhân do truy cập trái phép[ja]
Trang web được liên kết ở trên, “Q&A về sự cố rò rỉ thông tin do truy cập trái phép”[ja] bao gồm các nội dung sau đây.
Về nội dung thông tin rò rỉ
Q Thông tin nào đã bị rò rỉ lần này?
A Chúng tôi cho rằng “tên”, “địa chỉ”, “số điện thoại”, “địa chỉ email”, và “mật khẩu” đã bị rò rỉ trên tất cả các trang web do công ty của chúng tôi và các công ty thành viên quản lý.
Q Thông tin thẻ tín dụng có bị rò rỉ không?
A Trên các trang web do công ty của chúng tôi và các công ty thành viên quản lý, chúng tôi không lưu trữ bất kỳ thông tin như số thẻ tín dụng hoặc số nhận dạng cá nhân nào, vì vậy không có nguy cơ rò rỉ.
Trong phần giải thích về thông tin rò rỉ, việc phân loại cụ thể thành ① thông tin có khả năng rò rỉ và ② thông tin không có nguy cơ rò rỉ có thể giúp tránh được sự lo lắng và rối loạn không cần thiết.
Về các biện pháp trong tương lai
Q Có an toàn không nếu tôi tiếp tục sử dụng các trang web bao gồm các công ty thành viên của Tokken?
A Hiện tại, việc tăng cường bảo mật chống lại việc truy cập trái phép tương tự đã hoàn thành trên tất cả các trang web do công ty của chúng tôi và các công ty thành viên quản lý.
Q Bạn dự định quản lý thông tin như thế nào trong tương lai?
A Trong tương lai, chúng tôi sẽ tiếp tục nỗ lực để quản lý thông tin một cách nghiêm ngặt, bằng cách sửa chữa ngay lập tức nếu tìm thấy bất kỳ lỗ hổng nào trên trang web và tiếp nhận kiểm tra từ các cơ quan điều tra bên thứ ba khi cần thiết.
Trong các biện pháp tương lai, việc giải thích cẩn thận về việc xử lý bảo mật trang web mà người dùng đã sử dụng, khả năng sử dụng lại, và hệ thống quản lý thông tin trong tương lai là rất quan trọng.
Q&A về bồi thường thiệt hại
Q Có thanh toán tiền xin lỗi hoặc tiền bồi thường phiền hà cho những người bị thiệt hại do rò rỉ thông tin không?
A Dựa trên thông tin đã bị rò rỉ do việc truy cập trái phép lần này, chúng tôi không có kế hoạch thanh toán tiền xin lỗi hoặc tiền bồi thường phiền hà. Tuy nhiên, nếu có bằng chứng cụ thể cho thấy rằng đã phát sinh thiệt hại về mặt tài chính do việc rò rỉ thông tin lần này, xin vui lòng liên hệ với “Điểm tư vấn thông tin cá nhân” của chúng tôi.
Q Tôi không nhớ đã rút tiền. Tôi có thể nhận bồi thường không?
A Nếu có sự rút tiền mà bạn không nhớ từ tài khoản của bạn, xin vui lòng liên hệ trực tiếp với công ty đã thực hiện việc rút tiền. Ngoài ra, nếu việc rò rỉ thông tin lần này là nguyên nhân dẫn đến việc rút tiền mà bạn không nhớ, xin vui lòng thông báo cho “Điểm tư vấn thông tin cá nhân” của chúng tôi, dù rất phiền hà.
Chúng tôi không thanh toán tiền xin lỗi hoặc tiền bồi thường phiền hà, nhưng chúng tôi đã rõ ràng về chính sách của công ty đối với việc bồi thường thiệt hại trong trường hợp phát sinh thiệt hại về mặt tài chính do việc rò rỉ thông tin.
Thời điểm công bố thông cáo báo chí đầu tiên còn để lại nghi vấn
Đối với quản lý khủng hoảng của doanh nghiệp, việc “ngăn chặn sự mở rộng của thiệt hại”, “ngăn chặn sự phát sinh của thiệt hại thứ cấp”, và “ngăn chặn sự tái phát” phải được xem xét trước tiên.
Vì vậy, khi phát hiện rò rỉ thông tin, việc quan trọng là phải thông báo cho các bên liên quan càng sớm càng tốt sau khi thực hiện các biện pháp đầu tiên.
Q&A của Tổng công ty Tokken đã trả lời một cách cẩn thận cho các câu hỏi dự kiến rộng rãi, và có thể thấy rằng nó đã được tạo ra sau khi thảo luận kỹ lưỡng với các chuyên gia như luật sư trước, nhưng việc công bố khoảng một tháng sau khi phát hiện truy cập trái phép còn để lại nghi vấn.
Chắc chắn, doanh nghiệp muốn công bố sau khi thực hiện điều tra và các biện pháp, nhưng liệu không nên công bố sớm hơn 4 điểm sau đây như là báo cáo đầu tiên?
- Phát hiện rò rỉ thông tin và đối tượng dự kiến
- Nội dung thông tin cá nhân bị rò rỉ
- Không có khả năng rò rỉ thông tin tín dụng như số thẻ
- Hệ thống và lịch trình trong tương lai
- Điểm liên hệ
Điểm quan trọng trong việc thông báo, báo cáo và công bố
Khi thông tin bị rò rỉ, cần phải xem xét việc thông báo cho người dùng, đối tác, cơ quan giám sát, cảnh sát, và công bố thông qua trang web, truyền thông dựa trên nguyên nhân và nội dung của thông tin.
Trường hợp có tính chất phạm tội
Nếu có khả năng phạm tội liên quan đến truy cập trái phép, sau khi điều tra sự thật và thực hiện các biện pháp bảo vệ bằng chứng, bạn phải báo cáo ngay lập tức cho cảnh sát.
Trong trường hợp của Tổng công ty Tōken Corporation (Tōken Corporation), họ đã báo cáo thiệt hại cho Bộ Giao thông và Xây dựng Nhật Bản (Japanese Ministry of Land, Infrastructure, Transport and Tourism) và Sở cảnh sát tỉnh Aichi (Aichi Prefectural Police Headquarters) vào ngày hôm sau khi hoàn thành việc điều tra trang web của toàn bộ nhóm.
Trường hợp có khả năng rò rỉ thông tin tín dụng cá nhân
Nếu có khả năng rò rỉ thông tin như số Mã Số Cá Nhân (My Number), số thẻ tín dụng, tài khoản ngân hàng, ID và mật khẩu, bạn cần thông báo ngay lập tức cho chủ sở hữu và khuyến nghị họ ngừng sử dụng để ngăn chặn thiệt hại thứ cấp.
Trường hợp quy mô hoặc phạm vi ảnh hưởng lớn, hoặc khó khăn trong việc thông báo riêng lẻ cho tất cả các bên liên quan
Bạn sẽ công bố thông tin trên trang web hoặc thông qua thông báo báo chí. Tuy nhiên, nếu việc công bố có thể dẫn đến việc mở rộng thiệt hại, hãy xem xét thời điểm và đối tượng công bố.
Ngoài ra, việc đảm bảo tính minh bạch và tiết lộ sự thật một cách tối đa khi công bố sẽ góp phần vào uy tín của doanh nghiệp, ngăn chặn mở rộng thiệt hại và ngăn ngừa sự cố tương tự.
Công bố lần thứ hai về thông cáo báo chí
Vào ngày 9 tháng 2 năm 2021, sau khi năm mới bắt đầu, Tổng công ty Đông Kiến đã công bố thông cáo báo chí lần thứ hai trên trang chủ của mình về việc rò rỉ thông tin cá nhân, và đã tiến hành sửa đổi các mục và số lượng rò rỉ.
Kết quả của việc điều tra lại các mục rò rỉ thông qua cuộc điều tra pháp y của tổ chức bên thứ ba, đã xác nhận được một số sự khác biệt, vì vậy chúng tôi xin phép yêu cầu quý vị kiểm tra lại tại Phụ lục 1 “Về các mục tại mỗi trang web/dịch vụ”. (trích dẫn) Ngoài ra, số lượng rò rỉ tối đa đã thay đổi từ 657,096 trường hợp → tối đa 655,488 trường hợp.
Nội dung, ngoại trừ việc sửa đổi trên, chỉ được bổ sung với các phương pháp đối phó với thư rác/thư đáng ngờ, và nội dung cơ bản giống như thông cáo báo chí lần đầu tiên, và đây là lần công bố cuối cùng.
Trung tâm Ứng phó Khủng hoảng
Tổng công ty Tokken đã thành lập “Bộ phận An ninh Thông tin” sau khi phát hiện ra việc truy cập trái phép, hợp tác với các cơ quan bên ngoài, cảnh sát để ngăn chặn sự tái phát.
Chưa rõ cấu trúc của tổ chức này, nhưng không chỉ cần các biện pháp an ninh hệ thống, mà còn cần tiến hành đồng thời việc liên lạc với người dùng mục tiêu, đối phó với truyền thông, đối phó với cổ đông, xem xét trách nhiệm pháp lý, v.v. Do đó, thông thường cần sự tham gia của các cơ quan bên ngoài và chuyên gia như sau:
- Công ty phần mềm lớn
- Nhà cung cấp chuyên môn về an ninh hàng đầu
- Luật sư bên ngoài có kiến thức sâu rộng về an ninh mạng
Tóm tắt
Trong trường hợp như lần này, khi phát hiện rò rỉ thông tin cá nhân quy mô lớn vượt quá 650.000 hồ sơ, việc quan trọng là “phản ứng ban đầu” và “thông báo – báo cáo – công bố” dựa trên trung tâm chỉ đạo và “biện pháp an ninh mạng”.
Đặc biệt, không chỉ yêu cầu tốc độ trong phản ứng ban đầu, mà còn cần thông báo và báo cáo cho cảnh sát và các cơ quan liên quan, cũng như công bố cho các bên liên quan (thông qua thông cáo báo chí).
Tuy nhiên, nếu bạn xử lý sai, có thể bạn sẽ phải chịu trách nhiệm bồi thường thiệt hại, vì vậy chúng tôi khuyên bạn nên tiến hành sau khi thảo luận với luật sư có kiến thức và kinh nghiệm về an ninh mạng, thay vì tự quyết định.
Nếu bạn quan tâm đến quản lý khủng hoảng trong trường hợp rò rỉ thông tin do malware của Capcom, hãy xem bài viết chi tiết trong bài viết.
https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]
Giới thiệu về các biện pháp của văn phòng luật sư của chúng tôi
Văn phòng luật sư Monolis, chuyên về IT, đặc biệt là Internet và luật, sở hữu chuyên môn cao trong cả hai lĩnh vực. Tại văn phòng của chúng tôi, chúng tôi thực hiện việc tạo và xem xét hợp đồng cho các vụ việc đa dạng, từ các công ty niêm yết trên Tokyo Stock Exchange Prime đến các công ty khởi nghiệp. Nếu bạn gặp khó khăn, vui lòng tham khảo bài viết dưới đây.