Australiens regering vill att Optus ska betala för dataintrång

Australiens nuvarande administration efterlyser starkare integritetslagar, efter förra veckans cybersäkerhetsbrott som äventyrade personuppgifter från 9.8 miljoner Optus-kunder. Regeringen beskriver cyberattacken som "inte tekniskt utmanande", säger regeringen att intrånget aldrig borde ha skett och att Optus borde betala för att rätta till situationen. 

När kunder lämnar sina personuppgifter till företag förväntar de sig att informationen förvaras säkert, säger Australiens premiärminister Anthony Albanese sa i riksdagen onsdag. Han kallade Optus-dataintrånget "en stor oro" och sa att incidenten borde fungera som en väckarklocka för företag i Australien. 

Mobiloperatören rapporterade förra veckan ett säkerhetsintrång som den sa att äventyrade olika kunddata, inklusive födelsedatum, e-postadresser och passnummer. Information som tillhörde både nuvarande och tidigare kunder påverkades, sa Optus, som dess vd Kelly Bayer Rosmarin senare sa var resultatet av en "sofistikerad" attack som infiltrerade flera säkerhetslager.  

Telco har dock ännu inte ge ytterligare information om hur intrånget inträffade eller vilka system som har brutits. Lokala rapporter har pekat på ett online-API (applikationsprogrammeringsgränssnitt) som uppenbarligen inte krävde autentisering eller auktorisering för att få åtkomst till kunddata. 

Albanese sa att regeringen arbetade med Optus för att få den nödvändiga informationen "för att genomföra en brottsutredning" ledd av den australiska federala polisen, i samarbete med FBI.  

"Vi vet att det här intrånget aldrig borde ha skett", sa premiärministern. "Det är klart att vi behöver bättre nationella lagar efter ett decennium av passivitet för att hantera den enorma mängd data som samlats in av företag om australiensare, och tydliga konsekvenser för när de inte hanterar det väl."

Han avfärdade uppmaningar från oppositionspartiet om att regeringen skulle betala för byte av pass, och argumenterade istället för att Optus borde fås för att täcka sådana kostnader. Skattebetalarna ska inte tvingas betala för ett problem som var resultatet av Optus egna misslyckanden när det gäller cybersäkerhet och integritetsreglering, sa han och tillade att utrikesministern hade bett Optus att täcka de relaterade kostnaderna. 

Optus är ett helägt dotterbolag till Singapore telekommunikationsgrupp, Singtel. 

Albanese added that the government was looking to strengthen local laws under its current review of the Privacy Act. 

Enligt Australiens inrikesminister Clare O'Neil var landet ungefär fem år efter där det behövde vara i cyberskydd. "Det är helt enkelt inte tillräckligt bra", sa O'Neil, som också är minister för cybersäkerhet. 

"Det som hände på Optus var inte en sofistikerad attack. Vi borde inte ha en telekommunikationsleverantör i det här landet som i praktiken lämnade fönstret öppet för att data av den här typen skulle kunna stjälas”, sa hon. 

Beskriver intrånget som oacceptabelt tillade hon att incidenten var ett stort misstag från Optus sida. "De är skyldiga", sa ministern. "Cyberhacket som genomfördes här var inte särskilt tekniskt utmanande."

Hon tillade att en överträdelse av en sådan omfattning, som involverar ett företag som Optus, skulle ha resulterat i betydande ekonomiska påföljder i andra länder. I stället, i Australien, toppade den maximala böterna till bara 2.2 miljoner AU$ enligt Privacy Act, vilket hon sa var "helt olämpligt". 

O'Neil noterade vidare att även om hon kunde sätta minimistandarder för cybersäkerhet för företag inom flera sektorer, kunde hon inte göra det för teleföretag, som hade hållit sig utanför landets befintliga lagar på grundval av att deras standarder var tillräckligt höga och de reglerades tillräckligt under andra lagar. 

Detta var uppenbarligen inte fallet, vilket visades av den senaste överträdelsen, sa hon. 

Ministern betonade behovet av att stärka landets integritetslagar och sa att enheter i allt högre grad var anslutna till internet. "Det är ett väldigt tydligt budskap för mig, för australiensare och för australiensiska företag, att vi måste lyfta standarderna här och att vi måste göra bättre för att skydda australiensarna."

Hon sa att regeringens nuvarande översyn av lagen skulle titta på en rad frågor, inklusive de befogenheter hon hade för att föreskriva minimistandarder för cybersäkerhet som kunde ha förhindrat att Optus-intrånget inträffade. 

"Detta är ett viktigt väckarklocka," Hon sa. "Vad detta säger oss är att företag som har ansett sig vara experter på cybersäkerhet misslyckas med den här typen av attacker." 

O'Neil avslöjade också i ett uttalande på tisdagen att kundernas Medicare-nummer äventyrades i Optus-intrånget, som till en början inte avslöjades vara bland data som påverkades i attacken. 

Hon uttryckte vidare oro över rapporter om att personlig information som stulits i intrånget nu erbjuds gratis och mot lösen. 

Relaterad täckning