Australische regering wil dat Optus betaalt voor datalek

De huidige regering van Australië roept op tot strengere privacywetten, na de cybersecurity-inbreuk van vorige week waarbij persoonlijke gegevens van 9.8 miljoen Optus-klanten in gevaar kwamen. De regering beschrijft de cyberaanval als "technologisch niet uitdagend", zegt de regering dat de inbreuk nooit had mogen plaatsvinden en dat Optus zou moeten betalen om de situatie recht te zetten. 

Wanneer klanten hun persoonlijke gegevens aan bedrijven geven, verwachten ze dat de informatie veilig wordt bewaard, Australische premier Anthony Albanese zei in het parlement Woensdag. Hij noemde het datalek van Optus "een grote zorg", zei hij dat het incident zou moeten dienen als een wake-up call voor bedrijven in Australië. 

De mobiele operator meldde vorige week een inbreuk op de beveiliging die volgens hem verschillende klantgegevens in gevaar had gebracht, waaronder geboortedata, e-mailadressen en paspoortnummers. Informatie van zowel huidige als voormalige klanten werd beïnvloed, zei Optus, waarvan CEO Kelly Bayer Rosmarin later zei dat het het resultaat was van een "geavanceerde" aanval die meerdere beveiligingslagen infiltreerde.  

De telco heeft echter nog geen verdere details gegeven over hoe de inbreuk heeft plaatsgevonden of welke systemen zijn geschonden. Lokale rapporten hebben gewezen op een online API (application programming interface) waarvoor blijkbaar geen authenticatie of autorisatie nodig was om toegang te krijgen tot klantgegevens. 

Albanese zei dat de regering samenwerkte met Optus om de nodige informatie te verkrijgen "om een ​​strafrechtelijk onderzoek uit te voeren" onder leiding van de Australische federale politie, in samenwerking met de FBI.  

"We weten dat deze inbreuk nooit had mogen gebeuren", zei de premier. "Het is duidelijk dat we betere nationale wetten nodig hebben na een decennium van nietsdoen om de enorme hoeveelheid gegevens die door bedrijven over Australiërs worden verzameld te beheren, en duidelijke consequenties voor wanneer ze het niet goed beheren."

Hij wees de oproepen van de oppositiepartij aan de regering om te betalen voor de vervanging van paspoorten af, met het argument dat Optus zou moeten worden gemaakt om dergelijke kosten te dekken. Belastingbetalers mogen niet worden gedwongen te betalen voor een probleem dat het gevolg was van Optus' eigen tekortkomingen op het gebied van cyberbeveiliging en privacyregelgeving, zei hij, eraan toevoegend dat de minister van Buitenlandse Zaken Optus had gevraagd om de bijbehorende kosten te dekken. 

Optus is een volledige dochteronderneming van de Singaporese telecommunicatiegroep Singtel. 

Albanese added that the government was looking to strengthen local laws under its current review of the Privacy Act. 

Volgens de Australische minister van Binnenlandse Zaken Clare O'Neil liep het land ongeveer vijf jaar achter op het gebied van cyberbescherming. "Het is gewoon niet goed genoeg", zegt O'Neil, die ook minister van Cyber ​​Security is. 

'Wat er bij Optus is gebeurd, was geen geavanceerde aanval. We zouden geen telecommunicatieprovider in dit land moeten hebben die het raam openlaat voor het stelen van dit soort gegevens", zei ze. 

De inbreuk beschrijven als onaanvaardbaar, voegde ze eraan toe dat het incident een grote fout van Optus was. “Zij zijn schuldig”, zei de minister. "De cyberhack die hier werd uitgevoerd, was technologisch niet bijzonder uitdagend."

Ze voegde eraan toe dat een inbreuk op een dergelijke schaal, waarbij een bedrijf als Optus betrokken is, zou hebben geleid tot aanzienlijke financiële sancties in andere landen. In plaats daarvan bedroeg de maximale boete in Australië slechts AU $ 2.2 miljoen onder de Privacy Act, die volgens haar "totaal ongepast" was. 

O'Neil merkte verder op dat hoewel ze in staat was om minimale cyberbeveiligingsnormen voor bedrijven in verschillende sectoren vast te stellen, ze dit niet kon doen voor telco's, die zich buiten de bestaande wetten van het land hadden gehouden omdat hun normen hoog genoeg waren en ze waren voldoende geregeld in andere wetten. 

Dit was duidelijk niet het geval, zoals blijkt uit de recente inbreuk, zei ze. 

De minister benadrukte de noodzaak om de privacywetten van het land aan te scherpen en zei dat apparaten steeds vaker verbonden waren met internet. "Het is een heel duidelijke boodschap voor mij, voor Australiërs en voor Australische bedrijven, dat we de normen hier moeten verhogen en dat we beter moeten doen om Australiërs te beschermen."

Ze zei dat de huidige herziening van de wet door de regering zou kijken naar een reeks problemen, waaronder de bevoegdheden die ze had om minimale cyberbeveiligingsnormen op te leggen die de Optus-inbreuk hadden kunnen voorkomen. 

“Dit is een belangrijke wake-up call”, ze zei. "Dit vertelt ons dat bedrijven die zichzelf als experts op het gebied van cyberbeveiliging hebben beschouwd, falen bij dit soort aanvallen." 

O'Neil onthulde dinsdag ook in een verklaring dat de Medicare-nummers van klanten waren gecompromitteerd bij de Optus-inbreuk, waarvan aanvankelijk niet werd onthuld dat ze een van de gegevens waren die bij de aanval waren betrokken. 

Ze uitte verder haar bezorgdheid over berichten dat persoonlijke informatie die bij de inbreuk was gestolen nu gratis en voor losgeld werd aangeboden. 

GERELATEERDE DEKKING