Vi phạm dữ liệu Optus: Úc lên kế hoạch cho luật bảo vệ dữ liệu cứng rắn sau cuộc tấn công mạng vào công ty viễn thông

Australia có thể ban hành luật bảo vệ dữ liệu mới cứng rắn trong năm nay nhằm ứng phó khẩn cấp với một cuộc tấn công mạng nhằm đánh cắp dữ liệu cá nhân của 9.8 triệu khách hàng từ một công ty viễn thông, Bộ trưởng Tư pháp cho biết hôm thứ Năm.

Bộ trưởng Tư pháp Mark Dreyfus cho biết chính phủ sẽ thực hiện “những cải cách khẩn cấp” đối với Đạo luật Quyền riêng tư sau vụ hack chưa từng có vào tuần trước vào Optus, nhà mạng không dây lớn thứ hai của Úc.

Dreyfus cho biết “Tôi nghĩ có thể” luật sẽ được thay đổi trong 4 tuần còn lại mà Quốc hội dự kiến ​​họp trong năm nay.

Dreyfus nói với các phóng viên: “Trong bốn tuần tới, tôi sẽ xem xét rất kỹ xem liệu chúng tôi có thể đưa những cải cách về Đạo luật quyền riêng tư vào Nghị viện hay không trước cuối năm nay”. Quốc hội tiếp theo sẽ diễn ra vào ngày 25 tháng XNUMX.

Dreyfus cho biết các hình phạt đối với việc không bảo vệ dữ liệu cá nhân phải được tăng lên để hội đồng quản trị công ty không thể bác bỏ các khoản tiền phạt như một “chi phí kinh doanh”.

Dreyfus cho biết “số lượng cực kỳ lớn” các công ty dữ liệu khách hàng nắm giữ trong nhiều năm sẽ phải được chứng minh theo luật sửa đổi.

Dreyfus nói: “Các công ty cần xem việc lưu trữ dữ liệu không phải là tài sản mà là trách nhiệm pháp lý hoặc trách nhiệm pháp lý tiềm ẩn”. “Đã quá lâu rồi, chúng ta đã có những công ty chỉ coi dữ liệu như một tài sản mà họ có thể sử dụng cho mục đích thương mại.”

Chính phủ đổ lỗi cho an ninh mạng lỏng lẻo tại Optus, một công ty con của Viễn thông Singapore, còn được gọi là Singtel, đã đánh cắp thông tin cá nhân của khách hàng hiện tại và trước đây.

Singtel đã xin lỗi trong một tuyên bố do ban quản lý đưa ra hôm thứ Tư rằng: “Chúng tôi vô cùng xin lỗi những người bị ảnh hưởng bởi vụ đánh cắp dữ liệu”.

Tuyên bố cho biết: “Kể từ khi sự cố xảy ra, trọng tâm của chúng tôi là hỗ trợ các nỗ lực của Optus nhằm giúp đỡ những khách hàng bị ảnh hưởng và tăng cường kiểm soát an ninh của họ”.

Tuyên bố cho biết thêm: “Bảo mật thông tin có tầm quan trọng tối cao đối với Tập đoàn Singtel và là ưu tiên hàng đầu trên tất cả các đơn vị kinh doanh của tập đoàn và chúng tôi đầu tư các nguồn lực đáng kể để liên tục tăng cường phòng thủ trước các mối đe dọa mới nổi”.

Dữ liệu bao gồm hộ chiếu, giấy phép lái xe và số nhận dạng chăm sóc sức khỏe quốc gia có thể được sử dụng để đánh cắp danh tính và gian lận.

Các nhà chức trách chỉ trích việc Optus ban đầu không tiết lộ rằng số Medicare nằm trong số dữ liệu bị đánh cắp. Điều đó trở nên rõ ràng vào thứ Ba khi hacker tung hồ sơ của 10,000 khách hàng lên web đen - sáu ngày sau khi Optus phát hiện ra cuộc tấn công mạng.

Phản ứng lập pháp khẩn cấp tách biệt với việc xem xét rộng hơn về Đạo luật quyền riêng tư đã bắt đầu ba năm trước. Luật này được thông qua vào năm 1988 và các nhà phê bình cho rằng nó cần phải được điều chỉnh phù hợp với thời đại kỹ thuật số.

Chính phủ cho biết Optus có thể bị phạt tối đa 2 triệu AUD (khoảng 10 crore Rs) vì vi phạm Đạo luật quyền riêng tư.

Chính phủ cho biết họ có thể bị phạt hàng trăm triệu USD vì vi phạm an ninh tương tự theo luật của Liên minh châu Âu.

Các bản đệ trình xem xét Đạo luật quyền riêng tư đã đề xuất các hình phạt đối với các vi phạm tương đương 10% doanh thu từ các hoạt động của Úc.

Giám đốc điều hành Optus Kelly Bayer Rosmarin đã lập luận chống lại việc tăng tiền phạt, nói với Australian Broadcasting Corp. hôm thứ Ba: “Thành thật mà nói, tôi không chắc hình phạt nào có lợi cho bất kỳ ai”.

Optus khẳng định đây là mục tiêu của một cuộc tấn công mạng tinh vi, xuyên qua nhiều lớp bảo mật.

Sau cuộc họp khẩn cấp với các cơ quan quản lý ngân hàng và người tiêu dùng, Bộ trưởng Dịch vụ Tài chính Stephen Jones cho biết “những kẻ lừa đảo” và “những kẻ lừa đảo” đã bắt đầu sử dụng dữ liệu bị đánh cắp, bao gồm số điện thoại và địa chỉ email.

Với thông tin cá nhân bị đánh cắp từ 38% dân số 26 triệu người Úc trong vụ hack, “bạn không thể đánh giá quá cao tác động của hành vi vi phạm này đối với các vấn đề của người tiêu dùng,” Jones nói.

Ông cảnh báo những khách hàng bị xâm phạm của Optus không nên kích hoạt các URL mà họ nhận được qua tin nhắn hoặc email vì chúng có thể đến từ bọn tội phạm đang cố gắng đánh cắp thêm thông tin.

Jones cho biết: “Tất cả chúng tôi đang làm việc tốt nhất có thể để cố gắng giải quyết hàng loạt vấn đề sẽ là hậu quả của vụ vi phạm dữ liệu lớn này”.