Den australske regering vil have Optus til at betale for databrud

Australiens nuværende administration efterlyser stærkere privatlivslovgivning efter sidste uges cybersikkerhedsbrud, der kompromitterede personlige data fra 9.8 millioner Optus-kunder. Regeringen beskriver cyberangrebet som "ikke teknologisk udfordrende", og siger, at bruddet aldrig burde være sket, og at Optus burde betale for at rette op på situationen. 

Når kunder giver deres personlige data til virksomheder, forventer de, at oplysningerne opbevares sikkert, siger den australske premierminister Anthony Albanese sagde i parlamentet Onsdag. Han kaldte Optus-databruddet "en stor bekymring", og sagde, at hændelsen skulle tjene som et wakeup-call til virksomheder i Australien. 

Mobiloperatøren rapporterede i sidste uge et sikkerhedsbrud, som den sagde kompromitterede forskellige kundedata, herunder fødselsdatoer, e-mailadresser og pasnumre. Information, der tilhører både nuværende og tidligere kunder, blev påvirket, sagde Optus, som dens CEO Kelly Bayer Rosmarin senere sagde var resultatet af et "sofistikeret" angreb, der infiltrerede flere sikkerhedslag.  

Teleselskabet har dog endnu ikke givet yderligere detaljer om, hvordan bruddet opstod, eller hvilke systemer der blev brudt. Lokale rapporter har peget på en online API (applikationsprogrammeringsgrænseflade), der tilsyneladende ikke krævede godkendelse eller autorisation for at få adgang til kundedata. 

Albanese sagde, at regeringen arbejdede sammen med Optus for at indhente de nødvendige oplysninger "til at gennemføre en kriminel efterforskning" ledet af det australske føderale politi i samarbejde med FBI.  

"Vi ved, at dette brud aldrig burde være sket," sagde premierministeren. "Det er klart, at vi har brug for bedre nationale love efter et årti med passivitet til at håndtere den enorme mængde data indsamlet af virksomheder om australiere, og klare konsekvenser for, hvornår de ikke forvalter det godt."

Han afviste opfordringer fra oppositionspartiet om, at regeringen skulle betale for udskiftning af pas, og argumenterede i stedet for, at Optus skulle pålægges at dække sådanne omkostninger. Skatteyderne skal ikke tvinges til at betale for et problem, der var resultatet af Optus' egne fejl med hensyn til cybersikkerhed og privatlivsregulering, sagde han og tilføjede, at udenrigsministeren havde bedt Optus om at dække de dermed forbundne omkostninger. 

Optus er et helejet datterselskab af Singapore telekommunikationsgruppe, Singtel. 

Albanese added that the government was looking to strengthen local laws under its current review of the Privacy Act. 

Ifølge Australiens indenrigsminister Clare O'Neil var landet omkring fem år bagud, hvor det skulle være i cyberbeskyttelse. "Det er simpelthen ikke godt nok," sagde O'Neil, som også er minister for cybersikkerhed. 

"Det, der skete hos Optus, var ikke et sofistikeret angreb. Vi burde ikke have en telekommunikationsudbyder i dette land, som reelt lod vinduet stå åbent for, at data af denne art kunne blive stjålet,” sagde hun. 

Beskriver bruddet som uacceptabelt tilføjede hun, at hændelsen var en stor fejl fra Optus' side. "De har skylden," sagde ministeren. "Cyberhacket, der blev foretaget her, var ikke særlig teknologisk udfordrende."

Hun tilføjede, at et brud på en sådan skala, der involverer en virksomhed som Optus, ville have ført til betydelige økonomiske sanktioner i andre lande. I stedet toppede den maksimale bøde i Australien til kun AU$2.2 millioner i henhold til Privacy Act, som hun sagde var "helt upassende". 

O'Neil bemærkede endvidere, at selvom hun var i stand til at fastsætte minimumsstandarder for cybersikkerhed for virksomheder i flere sektorer, var hun ikke i stand til at gøre det for teleselskaber, som havde holdt sig ude af landets eksisterende love på det grundlag, at deres standarder var høje nok og de var reguleret tilstrækkeligt under andre love. 

Dette var tydeligvis ikke tilfældet, som vist ved det nylige brud, sagde hun. 

Ministeren understregede behovet for at styrke landets privatlivslovgivning og sagde, at enheder i stigende grad var forbundet til internettet. "Det er en virkelig klar besked for mig, for australiere og for australske virksomheder, at vi er nødt til at løfte standarderne her, og vi er nødt til at gøre det bedre for at beskytte australierne."

Hun sagde, at regeringens nuværende gennemgang af loven ville se på en række spørgsmål, herunder de beføjelser, hun havde til at pålægge minimumsstandarder for cybersikkerhed, der kunne have forhindret Optus-bruddet i at ske. 

"Dette er et vigtigt wakeup call," hun sagde. "Det, dette fortæller os, er, at virksomheder, der har anset sig for at være eksperter i cybersikkerhed, fejler denne type angreb." 

O'Neil afslørede også i en erklæring tirsdag, at kundernes Medicare-numre blev kompromitteret i Optus-bruddet, som i første omgang ikke blev afsløret at være blandt de data, der var berørt af angrebet. 

Hun udtrykte desuden bekymring over rapporter om, at personlige oplysninger, der blev stjålet i forbindelse med bruddet nu, blev tilbudt gratis og mod løsesum. 

RELATERET DÆKNING