Rząd Australii chce, aby Optus zapłacił za naruszenie danych

Obecna administracja Australii apeluje o zaostrzenie przepisów dotyczących prywatności, po naruszeniu cyberbezpieczeństwa z zeszłego tygodnia, które naraziło dane osobowe 9.8 miliona klientów Optus. Opisując cyberatak jako „nie wymagający technologicznie”, rząd twierdzi, że naruszenie nigdy nie powinno mieć miejsca i że Optus powinien zapłacić, aby naprawić sytuację. 

Kiedy klienci przekazują swoje dane osobowe firmom, oczekują, że informacje będą bezpieczne, premier Australii Anthony Albanese powiedział w parlamencie Środa. Nazywając naruszenie danych Optus „wielkim problemem”, powiedział, że incydent powinien służyć jako sygnał ostrzegawczy dla firm w Australii. 

Operator telefonii komórkowej w zeszłym tygodniu zgłosił naruszenie bezpieczeństwa, które według niego dotyczyło różnych danych klientów, w tym dat urodzenia, adresów e-mail i numerów paszportów. Optus powiedział, że wpłynęło to na informacje należące zarówno do obecnych, jak i byłych klientów, a jego dyrektor generalny, Kelly Bayer Rosmarin, powiedział później, że jest wynikiem „wyrafinowanego” ataku, który przeniknął wiele warstw bezpieczeństwa.  

Jednak operatorzy telekomunikacyjni muszą jeszcze podać dalsze szczegóły dotyczące tego, w jaki sposób doszło do naruszenia lub jakie systemy zostały naruszone. Raporty lokalne wskazują na interfejs API online (interfejs programowania aplikacji), który najwyraźniej nie wymaga uwierzytelniania ani autoryzacji dostępu do danych klienta. 

Albanese powiedział, że rząd współpracuje z Optus w celu uzyskania niezbędnych informacji „do przeprowadzenia śledztwa kryminalnego” prowadzonego przez australijską policję federalną we współpracy z FBI.  

„Wiemy, że to naruszenie nigdy nie powinno było mieć miejsca” – powiedział premier. „Oczywiście potrzebujemy lepszych przepisów krajowych po dekadzie bezczynności, aby zarządzać ogromną ilością danych zebranych przez firmy na temat Australijczyków, i wyraźnych konsekwencji, gdy nie zarządzają nimi dobrze”.

Odrzucił wezwania partii opozycyjnej, aby rząd zapłacił za wymianę paszportów, argumentując, że zamiast tego należy optus pokryć takie koszty. Podatnicy nie powinni być zmuszani do płacenia za problem, który był wynikiem własnych niepowodzeń Optus w zakresie regulacji cyberbezpieczeństwa i prywatności, powiedział, dodając, że minister spraw zagranicznych poprosił Optus o pokrycie związanych z tym kosztów. 

Optus jest spółką zależną należącą w całości do singapurskiej grupy telekomunikacyjnej Singtel. 

Albanese dodał, że rząd zamierza wzmocnić lokalne przepisy w ramach obecnego przeglądu ustawy o prywatności. 

Według australijskiej minister spraw wewnętrznych Clare O'Neil kraj ten był o pięć lat zapóźniony w zakresie ochrony cybernetycznej. „To po prostu nie wystarczy”, powiedział O'Neil, który jest również ministrem ds. cyberbezpieczeństwa. 

„To, co wydarzyło się w Optus, nie było wyrafinowanym atakiem. Nie powinniśmy mieć w tym kraju dostawcy usług telekomunikacyjnych, który skutecznie zostawił otwarte okno na kradzież tego rodzaju danych” – powiedziała. 

Opisywanie naruszenia jako niedopuszczalne dodała, że ​​incydent był poważnym błędem ze strony Optusa. „Oni są winni” – powiedział minister. „Przeprowadzony tutaj cyberhack nie był szczególnie trudny technologicznie”.

Dodała, że ​​naruszenie na taką skalę, z udziałem firmy takiej jak Optus, skutkowałoby znacznymi karami finansowymi w innych krajach. Zamiast tego w Australii maksymalna grzywna wyniosła zaledwie 2.2 miliona AU na mocy ustawy o prywatności, która, jak powiedziała, była „całkowicie nieodpowiednia”. 

O'Neil ponadto zauważyła, że ​​chociaż była w stanie ustalić minimalne standardy cyberbezpieczeństwa dla firm z kilku sektorów, nie była w stanie tego zrobić w przypadku firm telekomunikacyjnych, które trzymały się z dala od obowiązujących w kraju przepisów, ponieważ ich standardy były wystarczająco wysokie i zostały wystarczająco uregulowane na mocy innych przepisów. 

Powiedziała, że ​​wyraźnie tak nie było, jak pokazało niedawne naruszenie. 

Podkreślając potrzebę wzmocnienia krajowych przepisów dotyczących prywatności, minister powiedział, że urządzenia coraz częściej są podłączone do Internetu. „To bardzo jasna wiadomość dla mnie, dla Australijczyków i dla australijskich firm, że musimy podnieść tutaj standardy i musimy zrobić lepiej, aby chronić Australijczyków”.

Powiedziała, że ​​obecny przegląd ustawy przez rząd obejmie szereg kwestii, w tym uprawnienia, które miała do nakazania minimalnych standardów cyberbezpieczeństwa, które mogłyby zapobiec naruszeniu Optus. 

„To ważna pobudka” powiedziała. „To nam mówi, że firmy, które uważały się za ekspertów w dziedzinie cyberbezpieczeństwa, zawodzą w tego typu atakach”. 

O'Neil ujawnił również we wtorek w oświadczeniu, że numery Medicare klientów zostały naruszone w wyniku naruszenia Optus, które początkowo nie zostały ujawnione jako dane objęte atakiem. 

Ponadto wyraziła zaniepokojenie doniesieniami, że dane osobowe skradzione w wyniku naruszenia są teraz oferowane za darmo i za okupem. 

POWIĄZANY POKRYCIE