Yönetişim ve Risk Yönetimi, Olay ve İhlallere Müdahale, Mevzuat ve Dava
Grup Davası Hukuk Firmaları Mega İhlalle İlgili Yetkili Deloitte Raporuna Erişim İstiyor
Jayant Chakravarti (@JayJay_Tech) •
27 Mayıs 2024
Avustralya Federal Mahkemesi, telekomünikasyon devi Optus’un, 2022’de uğradığı büyük veri ihlaline ilişkin ayrıntılı adli tıp soruşturması raporunun gizli tutulması yönündeki talebini reddetti. İhlal, 9,8 milyona kadar Optus müşterisine ait özel ve gizli bilgileri açığa çıkardı.
Ayrıca bakınız: Gelişen Tehdit Ortamına Kimlik Güvenliği Öncelikli Bir Yaklaşım
Avustralya’nın yüksek mahkemesi bu kararı Pazartesi günü verdi. Bunu yaparken mahkeme, Optus’un, şirketin Deloitte’un görevlendirdiği ihlalle ilgili harici bir soruşturmanın ayrıntılarını gizli tutmak için yasal mesleki ayrıcalık talep edemeyeceğine hükmeden geçen Kasım ayındaki bir alt mahkeme kararını iptal etmeye çalışan Optus’un itirazını reddetti. yürütmek.
Mahkeme, hukuki imtiyaz talebinde bulunabilmek için Optus’un, Deloitte’u ciddi güvenlik olayına ilişkin derinlemesine soruşturmayı yalnızca hukuki tavsiye amacıyla yürütmesi ve aynı zamanda kendisine karşı savunma yapması için görevlendirdiğini şüpheye yer bırakmayacak şekilde kanıtlaması gerektiğine karar verdi. Etkilenen müşteriler tarafından veya onlar adına gelecekte açılacak düzenleyici soruşturmalar veya davalar.
Optus, Eylül 2022’de saldırganların sistemlerini ihlal ederek yaklaşık 10 milyon mevcut ve eski müşteriye ait hassas bilgileri çaldığını duyurdu. Açığa çıkan veriler arasında isimler, doğum tarihleri, telefon numaraları, e-posta adresleri ve müşterilerin bir alt kümesi için adresler ile ehliyet ve pasaport numaraları gibi kimlik belgesi bilgileri yer alıyordu.
Gelecek ay şirket, “son siber saldırı ile güvenlik sistemleri, kontrolleri ve süreçleri hakkında bağımsız bir dış inceleme yürütmek üzere” uluslararası profesyonel hizmetler şirketi Deloitte ile anlaştığını duyurdu.
Avustralya’nın en yüksek mahkemesi bu hafta verdiği kararda, Optus CEO’su Bayer Rosmarin’in soruşturmayı başlattıktan sonra 2022’de yaptığı açıklamalara atıfta bulundu. CEO, bunun Optus’un güvenlik olayına etkili bir şekilde yanıt vermesini sağlayacağını, verilerine erişilen çalınan müşterilere verilen zararı en aza indireceğini ve kuruluşun böyle bir olayın tekrar yaşanmasını önlemek için atılması gereken sonraki adımları bilmesine yardımcı olacağını söyledi.
O sırada Rosmarin, “Müşterilerimizi korumaya ve bilgilerinin çalınmasından kaynaklanabilecek zararları en aza indirmeye yoğun bir şekilde odaklanmış olsak da, neyin yanlış gittiğini bulmaya kararlıyız” dedi. “Müşterilerimizin güvenini yeniden inşa etmeye kararlıyım ve bu önemli süreç bu çabalara yardımcı olacaktır.”
Hem federal mahkeme hem de alt mahkeme, Optus’un basın açıklamasına ve Rosmarin’in açıklamasına atıfta bulunarak, şirketin hiçbir aşamada, öncelikle kendisini gelecekteki davalardan veya düzenleyici soruşturmalardan korumak için saldırıya ilişkin harici dijital adli değerlendirme yaptırdığını belirtmediği sonucuna vardı.
Şirketin soruşturmayı başlatmak için birden fazla nedeni olsa bile mahkeme, Optus’un diğer değerlendirmelerinde herhangi bir “yasal amacın” hakim olduğunu gösteren hiçbir kanıt bulunmadığını söyledi. Mahkemeler ayrıca, Optus’un yönetim kurulu ile şirketin sekreteri arasında paylaşılan mektuplarda veya şirketin ihlalin ardından kamuya yaptığı herhangi bir açıklamada böyle bir yasal amaca dair herhangi bir referans bulamadıklarını söyledi.
Optus Çığ Davalarla Karşı Karşıya
Federal mahkemenin kararı, Deloitte’un 13 Temmuz 2023’te Optus’a sunduğu ayrıntılı dijital adli analize erişim isteyen toplu dava avukatlarına kapıları açıyor. Nisan 2023’te Optus’a karşı toplu dava açan Avustralya’nın önde gelen hukuk firması Slater and Gordon Avustralya Federal Mahkemesi’nde, mahkemenin son kararının Optus’u eylemlerinin sorumluluğunu üstlenmeye zorlayacağı belirtildi.
Şirketin toplu davalar uygulama grubu lideri Ben Hardwick, “Hakemin kararını kabul etmeyi reddetmesine rağmen, Optus’un 2022’deki veri ihlalinin bir sonucu olarak milyonlarca müşterisinin özel bilgilerine nasıl erişildiğine ilişkin Deloitte raporunu şimdi teslim etmesi gerekiyor” dedi. AFR.
“Optus’un bu raporu korumaya yönelik çabaları, bir şirketin olup bitenlerdeki rolünün sorumluluğunu kabul etmeyi reddettiğinin ve bu veri ihlalinin milyonlarca Avustralyalı müşterisi üzerinde yarattığı önemli etkinin göstergesidir” dedi.
Telekomünikasyon devi, Deloitte raporunda yer alan bazı bilgilerin gizli tutulmasının, kurumsal güvenlik programının etkinliği açısından vazgeçilmez olduğunu ileri sürüyor.
Bir şirket sözcüsü, “Önceliğimiz, müşterilerimizin siber savunma sistemlerimizin bütünlüğüne sürekli olarak güvenmelerini sağlamaktır” dedi. “Bu bağlamda Optus, müşteri verilerimizin ve sistemlerimizin siber suçlulardan sürekli olarak korunmasının anahtarı olduğuna inandığımız raporun unsurlarıyla ilgili gizlilik emirlerinin alınmasını da içerebilecek sonraki adımlarımızı değerlendirecektir.”
Avustralya İletişim ve Medya Otoritesi geçen hafta Optus aleyhine federal mahkemede dava açarak şirketi 2022 ihlali sırasında çalınan hassas müşteri verilerini korumamakla suçladı (bkz: Avustralya Telekom Gözlemcisi Optus’a 2022 Veri İhlalinden Dolayı Dava Açtı).
Ayrıca ihlalin bir sonucu olarak, Avustralya Bilgi Komiserliği Ofisi, Optus’un kişisel bilgi işleme uygulamalarına ilişkin henüz sonuçlanmayan bir soruşturma başlattı. Düzenleyici, şirketin “tuttukları kişisel bilgileri kötüye kullanım, müdahale, kayıp, yetkisiz erişim, değişiklik veya ifşaya karşı korumak için makul adımlar atıp atmadığını ve toplanan ve saklanan bilgilerin işlerini yürütmek için gerekli olup olmadığını araştırmayı amaçladığını söyledi. “
OAIC ayrıca Optus’un güvenlik olayı sırasında ve sonrasında Avustralya Gizlilik İlkelerine uymak için makul adımlar atıp atmadığını da araştırdığını söyledi.