Avustralyalı yetkililer, kuruluşların veri ihlallerini zamanında bildirmelerini sağlamada sorunlar devam ettiğinden, ihlal edilen bir BT hizmet sağlayıcısından müşteri listesi almak için resmi olarak yetki almak zorunda kaldı.
Avustralyalı kuruluşların bir veri ihlalinin zorunlu bildirimini küçümsemeye veya geciktirmeye çalışması sorunu iki yıldan fazla bir süre önce gündeme getirilmişti.
Salı günü yayınlanan düzenleyici rapor, sorunun devam ettiğini gösteriyor.
Avustralya bilgi komiseri ve gizlilik komiseri Angelene Falk yaptığı açıklamada, “Hızlı bildirim, bireylerin bilgilendirilmesini ve dolandırıcılıklara karşı daha dikkatli olmak gibi kendilerini korumak için daha ileri adımlar atabilmelerini sağlar.” dedi.
“Kuruluşlar bildirimi ne kadar geciktirirse, zarar olasılığı da o kadar artar.”
Avustralya Bilgi Komiserliği Ofisi (OAIC) şunları söyledi: [pdf] Fidye yazılımına maruz kalan bir BT hizmet sağlayıcısı, sağlık hizmeti sağlayıcısı müşterilerini bilgilendirdi – onların da hastaları bilgilendireceğini umdu – ancak müşteri listesini ofise vermeyi reddetti.
OAIC, olaydan “farkına vardığını” söyleyerek, olayın gerektiği gibi açıklanmadığını öne sürdü.
Sağlayıcı, müşteri listesini ancak OAIC’den bunu yapmaya zorlayan yazılı bir bildirim aldıktan sonra devretti.
OAIC, “Bu bilgi, komiserin etkilenen bireylerin bilgilendirildiğinden ve veri ihlaline karışan tüm kuruluşların bildirilebilir veri ihlalleri planına uyduğundan emin olmasını sağladı” dedi.
İkinci bir vakada OAIC, yazılı bir bildirimde bulunmadan durduğunu söyledi ancak yine de ihlale uğrayan başka bir şirkete “olayın uygun bir veri ihlali olup olmadığını teyit edemeyeceğini veya şu ana kadar herhangi bir soruyu yanıtlayamayacağını” bildirerek uyarıda bulundu. [an] Analiz tamamlandı.”
Şirket, işin tamamlanması için “10 ila 12 hafta” istedi.
OAIC ayrıca, bazı kuruluşların şüpheli bir ihlalin etkisini değerlendirmeden önce adli tıp ve soruşturma çalışmalarının arkasına saklanma taktiklerini geciktirme olarak gördüğü durumdan duyduğu hayal kırıklığını da dile getirdi.
Ofisin beklentisi, değerlendirme ve soruşturmanın “eş zamanlı” veya “hızlı bir şekilde art arda” gerçekleşmesidir.
OAIC ayrıca, uygun bir ihlalin meydana geldiğine dair şüphe olması durumunda kuruluşların bir ihlalin meydana geldiğini varsayması ve buna göre hareket etmesi gerektiğini söyledi.
“Bir kuruluşun uygun bir veri ihlalinin meydana geldiğini değerlendirmesi için yetkisiz erişim, ifşa veya kayıp konusunda kesin veya olumlu kanıt gerekli değildir” dedi.
OAIC, veri hırsızlığının da bir ihlalin meydana gelip gelmediği konusunda “belirleyici bir faktör” olarak kullanılmaması gerektiğini söyledi.
Açıklamada, “Sadece yetkisiz erişime dayalı olarak geçerli bir veri ihlali meydana gelebilir ve bireylerin verileri, ekran görüntüleri gibi daha az takip edilebilir araçlarla çalınabilir” denildi.
“Kuruluşların, bir tehdit aktörünün eriştiği tüm bilgileri veya onların erişebildiği bilgileri dikkate alması gerekiyor.”
Yılın ilk altı ayında bildirilmesi gereken veri ihlali ham sayısı yüzde 16 düşüşle 409’a geriledi.