Avustralya Klinik Laboratuvarları (ACL), yan kuruluşlarından biri olan Medlab Pathology’de 2022’de veri gizliliği ihlali nedeniyle 5,8 milyon dolar ceza ödeyecek.
Medlab Patoloji, olaydan yaklaşık 10 ay sonra, patoloji testi sonuçlarının yanı sıra ödeme ve Medicare ayrıntılarını da etkileyen bir veri ihlali olduğunu açıkladı.
Olay, Avustralya Bilgi Komiserliği Ofisi’nin (OAIC) resmi bir soruşturma başlatmasını sağladı ve bu soruşturma, bir yıl sonra bir hukuk davası açılmasına yol açtı.
Nihai sonuç, Federal Mahkemenin gizlilik yasalarını ihlal ettiği için 5,8 milyon dolar ceza ve OAIC’in yasal masrafları için 400.000 dolar ceza vermesi oldu.
Mahkeme, Avustralya Klinik Laboratuarlarının gizlilik kurallarını ihlalinin, müşterilerinin kişisel bilgilerini korumadaki başarısızlıklarla sınırlı olmadığını ve bunun toplam cezanın 4,2 milyon dolarını oluşturduğunu tespit etti.
İhlalin araştırılması ve OAIC’e “makul olan en kısa sürede” bildirimde bulunulması için makul adımların atılmaması nedeniyle 1,6 milyon dolar daha cezalandırıldı.
Avustralyalı bilgi komiseri Elizabeth Tydd, cezaların şirketlere kişisel bilgiler içeren verileri yönetirken dikkatli olmaları gerektiğini hatırlatacağını söyledi.
Tydd, “Bu emirler aynı zamanda kayda değer bir caydırıcıyı temsil ediyor ve kuruluşlara, potansiyel veri ihlallerine ilişkin makul ve hızlı soruşturmalar yapmalarını ve bunları uygun şekilde raporlamalarını sağlamaları için bir sinyal sunuyor.” dedi.
Mahkeme dosyalarına göre, fidye yazılımı çetesi Quantum Group, 223.000’den fazla kişinin hassas sağlık bilgilerini içeren 86 GB veriyi sızdırarak ve daha sonra bunu karanlık ağda yayınlayarak saldırının sorumluluğunu üstlendi.
ACL, üçüncü taraf bir siber güvenlik sağlayıcısıyla yazışmalarda, ihlalin Avustralya Gizlilik İlkeleri kuralları uyarınca bildirime uygun olmadığı sonucuna vardı.
Aynı sıralarda Avustralya Siber Güvenlik Merkezi (ACSC), farklı istihbarat kaynakları aracılığıyla fidye yazılımı saldırısının gerçekleştiğini fark etti ve ACL’ye olayı bildirmesinin gerekebileceğini bildirdi.
Ancak ACL’nin CIO’su ACSC’ye şirketin herhangi bir verinin çalındığına inanmadığını söyledi ve şirketin yönetim kuruluna şu tavsiyede bulundu: “(a)şu noktada herhangi bir verinin çalındığına inanmamız için hiçbir neden yok.” [personal health information] veya şirket verileri ihlal edildi”.
Daha sonra şirketin değerlendirmesinin yanlış olduğu ortaya çıktı.
ACSC, ACL’ye üçüncü bir tarafın karanlık ağdaki veri hazinesini tespit ettiğini bildiren ikinci bir bildirim gönderdi.
Mahkeme, Medlab’ın antivirüs yazılımının kötü amaçlı yazılımın kendi sisteminde çalıştırılmasını engelleyemediğini, şirketin zayıf kimlik doğrulaması kullandığını, yalnızca bir saatlik etkinliği günlüğe kaydedebilen bir güvenlik duvarı kullandığını, hiçbir dosya şifreleme biçimi kullanmadığını ve o zamanlar Ocak 2020’den bu yana Microsoft tarafından desteklenmeyen bir Windows Server sürümü çalıştırdığını tespit etti.
Antivirüs yazılımı sağlayıcısının kimliği mahkeme kararından çıkarıldı.
ACL, ASX’e 7 Kasım’a kadar mahkemenin emirlerini yerine getirmesi gerektiğini bildiren kısa bir not yayınladı.