Avustralya’nın en büyük telekomünikasyon şirketlerinden biri olan Optus, Federal Mahkeme’deki hukuk mücadelesini kaybetti. Avustralya Federal Mahkemesi, şirkete, hassas müşteri verilerinin açığa çıkmasına yol açan 2022’deki önemli bir siber saldırının nedenini araştırmak için Deloitte tarafından gerçekleştirilen harici bir incelemeyi yayınlama emri verdi.
Optus 2022 veri ihlali, 10 milyondan fazla müşterinin adlarının, doğum tarihlerinin, telefon numaralarının ve e-posta adreslerinin ifşa edilmesine yol açtı; etkilenen müşterilerin bir kısmının adresleri, ehliyet veya pasaport numaraları da ifşa edildi.
Optus’tan Harici Deloitte Raporunun Paylaşılmasına İtiraz
Telekomünikasyon hizmetlerinde 14 saatlik kesinti, bilgi/kredi izleme hizmetlerinin kullanılabilirliği konusundaki hayal kırıklıkları ve saldırganların ele geçirilen verileri SMS kimlik avı saldırılarında kullanmak üzere kullanma girişimleri ile birlikte veri ihlali olayı, şirkete yönelik yoğun incelemelere yol açtı.
Şirket, o zamanın CEO’su Kelly Bayer Rosmarin’in tavsiyesi ve yönetim kurulunun onayı ile Deloitte’un güvenlik sistemleri, kontrolleri ve süreçlerine ilişkin siber saldırının bağımsız bir harici adli incelemesini yaptırdı. Bayer, karara ilişkin şu açıklamayı yaptı:
“Bu inceleme, olayın nasıl meydana geldiğini ve tekrar meydana gelmesini nasıl önleyebileceğimizi anlamamıza yardımcı olacak. Optus’un olaya vereceği tepkiyi bilgilendirmeye yardımcı olacak. Bu aynı zamanda hassas verilerin tutulduğu ve siber saldırı riskinin mevcut olduğu özel ve kamu sektöründeki diğer kişilere de yardımcı olabilir.
Kelly daha sonra, Optus’un ‘zorlu’ bir pazarda müşterilerin güvenini yeniden inşa etmeye çalışan yeni bir CEO tarafından yönetilmesiyle yaşanan olay nedeniyle istifa etti.
Şirketin veri ihlaliyle başa çıkma çabalarına rağmen, son mahkeme kararı, Optus’un, raporun Slater & Gordon’a teslim edilmesi gerektiği yönündeki daha önceki bir karara itiraz etmesinden sonra geldi; hukuk firması, bu hukuk firmasının, şirkete karşı toplu dava başlatmadığı iddiasıyla. müşterilerinin kişisel bilgilerini korur.
Optus, Federal Mahkeme’nin kararına ilişkin henüz kamuoyuna bir açıklama yapmadı. Ancak şirket daha önce Deloitte raporunun hukuki danışmanlık sağlamak üzere görevlendirildiğini ve bu nedenle imtiyazlı olduğunu ileri sürmüştü. Ancak mahkeme, Optus’un raporun esas amacının hukuki danışmanlık olduğunu kanıtlayamadığına karar verdi.
Optus’a Karşı Toplu Dava Davası ve Mahkeme Kararının Sonuçları
Etkilenen Optus müşterilerini temsil eden hukuk firması Slater & Gordon, mahkemenin kararını memnuniyetle karşıladı. Hukuk firmasının toplu dava uygulama grubu lideri Ben Hardwick, Optus’un raporu gizli tutma çabalarını eleştirerek, bunun şirketin veri ihlalindeki rolünün ve bunun milyonlarca müşterisi üzerindeki etkisinin sorumluluğunu kabul etmeyi reddettiğini gösterdiğini belirtti.
Nisan 2023 tarihli basın bülteninde hukuk firmasının lideri, Optus’un 100.000’den fazla mevcut ve eski müşterisinin toplu davaya kaydolduğunu belirtmişti; grup grubu içindeki bazı önemli örneklerle birlikte:
-
video kameralar ve kapı ve pencerelere ekstra kilitler takmak da dahil olmak üzere evin etrafındaki güvenlik önlemlerinin arttırılması konusunda çocuklarına danışmanlık yapmak amacıyla para harcayan aile içi şiddet mağduru
-
Daha önce hırsızlığa maruz kalan ve kimliği çalınan eski bir Optus müşterisi, kişisel bilgilerinin internette paylaşıldığını öğrendikten sonra ciddi bir endişe yaşıyor
-
Veri ihlali nedeniyle hayatının gerçekten tehlikeye girdiğinden korkan, mahremiyetini, özellikle de adresini korumak için aşırı önlemler alan takip mağduru
-
Optus siber saldırısının ardından dolandırıcılık telefon görüşmelerinde artış olduğunu fark ettikten sonra artık telefona cevap veremeyecek kadar korkan bir kadın ve
-
Emekli bir polis memuru, ev adresinin, kovuşturma ve hapsedilmesine dahil olduğu suçlularla paylaşılmış olabileceğinden endişe duyuyordu.
Basın bülteninde ayrıca birçok müşterinin, Optus’un veri ihlaliyle ilgili ayrıntıları sağlamada geciktiği iddiaları nedeniyle dile getirdiği hayal kırıklığına da değinildi ve telekomünikasyon devinin etkilenen müşterilere nasıl davrandığına ilişkin tutarsızlıklar bildirildi
Optus’a kaydolanlardan bazıları hukuk firmasına Optus’tan daha fazla bilgi almak istediklerinde işten çıkarıldıklarını iddia ederken, diğerleri artık Optus müşterisi olmadıkları gerekçesiyle şirketin kredi izleme hizmetleri için ödeme yapmayı reddettiğini bildirdi.
“Verileri ele geçirilen herkesin aynı şekilde muamele görmesini sağlayan koordineli bir yaklaşım yerine Optus’tan parça parça bir yanıt gelmiş gibi görünüyor.”
Federal Mahkemenin kararı, veri ihlaline karışan şirketler için önemli bir emsal teşkil ediyor. Bu tür durumlarda şeffaflığın ve hesap verebilirliğin öneminin altını çiziyor ve diğer şirketleri, müşterilerinin kişisel bilgilerini korumak için daha güçlü önlemler almaya teşvik edebilir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.