Avustralya Bilgi Komiseri, 9.8 milyon müşterinin kişisel verilerini ortaya çıkaran büyük 2022 veri ihlali üzerinde telekomünikasyon devi Optus’a karşı sivil ceza işlemleri başlattı – ülke nüfusunun% 40’ı.
Cuma günü bir medya açıklamasında, Avustralya Bilgi Komiseri (OAIC), “Optus, siber güvenlik ve bilgi güvenliği riskini Optus’un tuttuğu kişisel bilgilerin doğası ve hacmi, Optus büyüklüğü ve Optus risk profili ile orantılı bir şekilde yeterince yönetemedi.” Dedi.
Optus sözcüsü anlattı Cyber Express“[The Company] Bildirilerde ortaya konan konuları gözden geçirecek ve ele alacak ve AIC tarafından yapılan iddialara zamanında yanıt verecek. ”
Eylül 2022’de açıklanan ihlal, isimler, doğum tarihleri, telefon numaraları, e -posta adresleri ve – bazı durumlarda – Pasport ve Medicare ayrıntılarını maruz bırakan hassas müşteri verilerini gördü. Daha önce bildirildiği gibi, saldırganlar bu bilgi trove’ye, siber güvenlik uzmanlarının daha sonra “temel” ve “önlenebilir” gözetim olarak tanımladığı kimlik doğrulaması gerektirmeyen halka açık bir API aracılığıyla erişti.
Ayrıca okuyun: 2022 Optus veri ihlali dört yıl önce önlenebilirdi, diyor Avustralya Telekom bekçi
OAIC’in soruşturması, Optus’un veri tutma ve yıkım uygulamaları da dahil olmak üzere sahip olduğu kişisel verileri korumak için makul adımlar atıp almadığına ve Avustralya Gizlilik Prensibi (APP) 11.1’e uyup uymadığına odaklandı. Bu ilke, kuruluşların kişisel bilgilerin yetkisiz erişimini veya ifşa edilmesini önlemek için aktif önlemler almasını gerektirir.
OAIC gizlilikle “ciddi müdahaleyi” iddia ediyor
Komiser Carly Kind, OAIC’in soruşturmasının Optus’un, sahip olduğu kişisel bilgileri yeterince güvence altına alamayan müşterilerin mahremiyetine “ciddi şekilde müdahale ettiğini” söyledi.
Kişisel bilgilerin serbest bırakılması etkilenen bireylere ciddi zarar verebilir. Aynı zamanda, kuruluşların kişisel verileri nasıl ele aldığına dair kamu güvenini de aşındırıyor.
Federal Mahkemeden ceza arayan OAIC’in arkasındaki ana neden, hesap verebilirliği teşvik etmek ve gizlilik yasalarına uymaktır. Başarılı olursa, dava milyonlarca dolara girmeye neden olabilir.
Deloitte Review yükseltilmiş kırmızı bayraklar
İhlalin ardından Optus, olayın bağımsız bir incelemesini yapmak için Deloitte’yi görevlendirdi. Optus, tüm raporu kamuoyuna atıfta bulunan yasal ayrıcalığa atıfta bulunmayı reddetti, 2024’te bir federal mahkeme kararı, etkilenen müşterilerin sınıf eylemi davalarını desteklemek için raporun bölümlerine erişmesine izin verdi.
Oku: Federal Mahkeme, 2022 Cyberattack hakkında Deloitte Raporu’na Optus’un temyizini reddetti
Bu raporun, eski sistemlerin işten çıkarılmaması ve yetersiz iç erişim kontrolleri de dahil olmak üzere önemli yönetişim, risk yönetimi ve teknik başarısızlıklar belirlediği bildirildi.
Singapur Telco Singtel’e ait Optus, defalarca bir siber saldırının kurbanı olduğunu ve ihlalin ihmalden kaynaklanmadığını iddia etti. Bununla birlikte, OAIC tarafından yapılan bu son eylem, Avustralya düzenleyicilerinin davayı sadece dış saldırı değil, önlenebilir sistemik başarısızlık merceğiyle gördüğüne işaret ediyor.
Yasal, finansal ve itibar serpinti
Hukuk davası, Avustralya’daki kurumsal veri uygulamaları üzerinde artan incelemenin ortasında geliyor. Optus ihlalini kısa süre sonra Medibank ve Latitude Financial’da büyük olaylar izledi ve Gizlilik Yasası uyarınca hükümet soruşturmaları ve daha sert cezalar çağrısında bulundu.
Mevcut mevzuat uyarınca, OAIC, ihlal başına 2.22 milyon $ ‘a kadar ceza isteyebilir. İhlalden sonra geçen Gizlilik Mevzuat Değişikliği (İcra ve Diğer Önlemler) Yasası, şimdi 50 milyon $ ‘a kadar cezalara izin veriyor, ancak Optus davası ihlal sırasında var olan yasalar uyarınca ilerleyecek.
Optus ayrıca 2022’den bu yana en az iki büyük sınıf eylemi davasıyla karşı karşıya kaldı. Etkilenen müşterileri temsil eden hukuk firmaları, kişisel verilerin maruz kalmasından kaynaklanan duygusal sıkıntı, kimlik hırsızlığı ve finansal sahtekarlık gösterdi.
“Optus özür diliyor”
Optus sözcüsü, şirketin 2022 siber saldırı için müşterilerine “tekrar özür dilediğini” söyledi.
“Her gün müşterilerimizin bilgilerini korumak için çalışıyoruz ve siber saldırının sahip olabileceği herhangi bir etkiyi en aza indirmek için çok çalışıyoruz. Siber tehdit ortamı geliştikçe, müşterilerimizin güvenliğinin ve kişisel bilgilerinin hiç bu kadar önemli olmadığını kabul etmeye devam ediyoruz.
Şirketin aynı kapasitede gelecekteki olayları önlemek için hangi önlemleri aldığı sorulduğunda, sözcü Avustralya mahkemelerinde olduğu konuyu daha fazla yorumlamayı reddetti, ancak “Müşterilerimizin bilgilerinin, sistemlerimizin ve siber savunma yeteneklerimizin güvenliğine yatırım yapmaya devam edeceğiz” dedi.
Sırada ne var?
Federal Mahkeme şimdi Optus’un Gizlilik Yasası kapsamındaki yükümlülüklerini yerine getirip karşılamadığına ve eğer öyleyse hangi cezaların uygun olduğuna karar verecektir. Davanın, Avustralya düzenleyicilerinin ve potansiyel olarak küresel yetkililerin kritik endüstrilerde ihmalkar veri yönetiminin nasıl tedavi edilmesine dair bir emsal oluşturması bekleniyor.
Kind şunları söyledi: “Optus veri ihlali, özellikle bunlar kişisel bilgileri tutan dahili veritabanlarıyla etkileşime girdiğinde dışa bakan web siteleri ve alanlarla ilişkili bazı riskleri ve üçüncü taraf sağlayıcıları kullanma risklerini vurgulamaktadır.
“Kişisel bilgilere sahip tüm kuruluşların güçlü veri yönetişimi ve güvenlik uygulamalarına sahip olduklarından emin olmaları gerekir. Tehdit aktörlerinin sömürülmeye hazır olacağı güvenlik açıklarına karşı korunmak için bunların hem kapsamlı hem de gömülü olması gerekir.”
Bu eylem aynı zamanda kişisel verileri ele alan tüm şirketler için önemli sorular da gündeme getirmektedir. Hassas bilgileri depolamak ne kadar uzun ve onu korumak için “makul adımlar” nı oluşturan nedir?
Şimdilik, OAIC, uyumluluğun isteğe bağlı olmadığı ve çubuğu karşılamamanın ciddi yasal ve finansal sonuçlara yol açabileceği açıktır.