Australská vláda chce, aby Optus zaplatil za porušení dat

Současná australská administrativa volá po přísnějších zákonech na ochranu soukromí po narušení kybernetické bezpečnosti z minulého týdne, které ohrozilo osobní údaje 9.8 milionů zákazníků Optus. Vláda popisuje kybernetický útok jako „netechnologicky náročný“ a tvrdí, že k porušení nemělo nikdy dojít a že Optus by měl zaplatit za nápravu situace. 

Když zákazníci dávají svá osobní data společnostem, očekávají, že informace budou uchovány v bezpečí, australský premiér Anthony Albanese řekl v parlamentu Středa. Nazval narušení dat Optus „velkým znepokojením“ a řekl, že incident by měl posloužit jako budíček pro podniky v Austrálii. 

Mobilní operátor minulý týden oznámil narušení zabezpečení, které podle něj zkompromitovalo různá zákaznická data, včetně dat narození, e-mailových adres a čísel pasů. Podle Optusu byly ovlivněny informace patřící současným i bývalým zákazníkům, o kterých jeho generální ředitel Kelly Bayer Rosmarin později prohlásil, že je výsledkem „důmyslného“ útoku, který pronikl do více vrstev zabezpečení.  

Telco však ještě neposkytlo další podrobnosti o tom, jak k narušení došlo nebo jaké systémy byly narušeny. Místní zprávy poukázaly na online API (rozhraní pro programování aplikací), které zjevně nevyžadovalo ověření nebo autorizaci pro přístup k datům zákazníků. 

Albanese uvedl, že vláda spolupracuje s Optusem na získání nezbytných informací „k provedení trestního vyšetřování“ vedeného australskou federální policií ve spolupráci s FBI.  

"Víme, že k tomuto porušení nemělo nikdy dojít," řekl premiér. "Je zřejmé, že po deseti letech nečinnosti potřebujeme lepší národní zákony, abychom mohli spravovat obrovské množství dat shromážděných společnostmi o Australanech, a jasné důsledky pro případ, že je nespravují dobře."

Odmítl výzvy opoziční strany, aby vláda zaplatila výměnu pasů, a místo toho argumentoval tím, že takové náklady by měl pokrýt Optus. Daňoví poplatníci by neměli být nuceni platit za problém, který byl důsledkem vlastních selhání Optusu v oblasti kybernetické bezpečnosti a regulace soukromí, řekl a dodal, že ministr zahraničních věcí požádal Optus, aby uhradil související náklady. 

Optus je stoprocentní dceřiná společnost singapurské telekomunikační skupiny Singtel. 

Albanese dodal, že vláda usiluje o posílení místních zákonů podle aktuální revize zákona o ochraně soukromí. 

Podle australské ministryně vnitra Clare O'Neilové byla země v oblasti kybernetické ochrany asi pět let pozadu za tím, kde měla být. "To prostě není dost dobré," řekl O'Neil, který je také ministrem pro kybernetickou bezpečnost. 

"To, co se stalo v Optusu, nebyl sofistikovaný útok." V této zemi bychom neměli mít poskytovatele telekomunikačních služeb, který by fakticky nechal otevřené okno pro odcizení dat tohoto charakteru,“ řekla. 

Popis porušení jako nepřijatelné dodala, že incident byl velkou chybou na straně Optusu. "Můžou za to oni," řekl ministr. "Kybernetický hack, který jsme zde provedli, nebyl nijak zvlášť technologicky náročný."

Dodala, že porušení takového rozsahu, které by se týkalo společnosti, jako je Optus, by mělo za následek značné finanční sankce v jiných zemích. Místo toho v Austrálii maximální pokuta dosáhla pouhých 2.2 milionu AU $ podle zákona o ochraně osobních údajů, což bylo podle ní „zcela nevhodné“. 

O'Neil dále poznamenala, že i když byla schopna stanovit minimální standardy kybernetické bezpečnosti pro společnosti v několika odvětvích, nedokázala tak učinit pro telekomunikační společnosti, které se držely mimo stávající zákony země na základě toho, že jejich standardy byly dostatečně vysoké. a byly dostatečně upraveny jinými zákony. 

To zjevně nebylo, jak dokazuje nedávné porušení, řekla. 

Ministr zdůraznil potřebu posílit zákony na ochranu soukromí v zemi a uvedl, že zařízení jsou stále častěji připojena k internetu. "Je to opravdu jasná zpráva pro mě, pro Australany a pro australské společnosti, že zde musíme zrušit standardy a musíme udělat více pro ochranu Australanů."

Řekla, že současná vládní revize zákona se zaměří na řadu problémů, včetně pravomocí, které měla, aby nařídila minimální standardy kybernetické bezpečnosti, které by mohly zabránit porušení Optus. 

"Toto je důležitý budíček," řekla. "To nám říká, že společnosti, které se považovaly za odborníky na kybernetickou bezpečnost, selhávají při těchto typech útoků." 

O'Neil také v úterním prohlášení odhalil, že čísla zákazníků Medicare byla kompromitována při narušení Optus, o kterých se původně neukázalo, že by patřila mezi data zasažená útokem. 

Dále vyjádřila znepokojení nad zprávami, že osobní informace odcizené při narušení byly nyní nabízeny zdarma a za výkupné. 

SOUVISEJÍCÍ POKRYTÍ