Dolandırıcılık Yönetimi ve Siber Suç, Coğrafi Spesifik, Fidye Yazılımı
Avustralyalı Sigortacı 2022’deki Saldırıyla İlgili Yıllar Sürecek Dava Bekliyor
Jayant Chakravarti (@JayJay_Tech) •
23 Ağustos 2024
Avustralya’nın en büyük özel sağlık sigortası sağlayıcısı, 2022’de yaşanan bir fidye yazılımı olayının ardından BT güvenliğini yükseltmek için üç yıllık bir süre içinde toplam 126 milyon AU$ veya 84,78 milyon dolar harcamayı beklediğini söylüyor.
Ayrıca bakınız: İngiltere’nin Kamu Sektörü ve Eğitiminde Fidye Yazılımı Önleme İçin 3 Nihai Strateji
Medibank, mali yıl sonu açıklamasında, Haziran ayında sona eren 12 ayda BT sistemlerini yükseltmek için yaklaşık 40 milyon AU$ harcadığını söyledi. Finans Direktörü Mark Rogers, Perşembe günü yaptığı bir kazanç görüşmesinde yatırımcılara Medibank’ın bu yıl da yaklaşık aynı miktarda harcama beklediğini söyledi.
Medibank’ın açıklaması, Avustralya Bilgi Komiserliği Ofisi’nin, 9,7 milyon mevcut ve eski müşteriye ait kişisel ve hassas sağlık bilgilerini tehlikeye atan iddia edilen veri gizliliği ihlalleri nedeniyle şirkete dava açmasının ardından geldi.
Geçici Bilgi Komiseri Elizabeth Tydd, “Medibank, büyüklüğü, kaynakları, ele aldığı hassas ve kişisel bilgilerin niteliği ve hacmi ve bir ihlal durumunda bir bireyin ciddi şekilde zarar görme riski göz önüne alındığında, elinde bulundurduğu kişisel bilgileri korumak için makul adımlar atmakta başarısız oldu” dedi.
Rusya merkezli bir siber suç grubu, Ekim 2022’de Medibank’ı hackledi ve o yılın Aralık ayında, çalınan tüm veri setinin 5 gigabaytlık bir kopyasını karanlık ağa attı. Hack, Avustralya’da ikamet eden 1,8 milyon yabancı da dahil olmak üzere 9,7 milyon mevcut ve eski müşteriyi etkiledi. Amerika Birleşik Devletleri, Avustralya ve Birleşik Krallık, bu yılın başlarında hack’in arkasında olduğunu söyledikleri bir Rus adama yaptırım uyguladı ve bu adamın, Aleksandr Gennadievich Ermakov’un, muhtemelen iflas etmiş Rus siber gaspçı çetesi REvil ile bağlantılı olduğunu belirtti (bkz: Avustralya, ABD ve İngiltere, 2022 Medibank İhlali Nedeniyle Rusya’ya Yaptırım Uyguluyor).
Avustralyalı Bilgi Komiseri, Avustralya mahkemesine yaptığı açıklamada, Medibank’ın 2022’deki siber güvenlik bütçesinin, 7,1 milyar Avustralya doları gelire rağmen sadece 1 milyon Avustralya doları olduğunu söyledi.
Uluslararası hukuk uygulaması Dentons, Medibank’ın teorik olarak en fazla 21,5 trilyon AU$ tutarında bir ceza ile karşı karşıya olduğunu, zira Gizlilik Yasası’nın Avustralya Federal Mahkemesi’ne her ihlal için 2,22 milyon AU$’a kadar bir ceza verme yetkisi verdiğini söyledi. Şirket, “Hiçbir sivil cezanın bu miktara yakın olması bile çok düşük bir ihtimal, ancak bu, davanın ne kadar ciddi olduğunu gösteriyor,” dedi.
Haziran 2023’te ülkenin finansal düzenleyicisi olan Avustralyalı ihtiyati düzenleme kurumu, sigorta devinin bilgi güvenliği ortamındaki zayıflıkları ortaya çıkaran bir incelemenin ardından Medibank’a bilgi güvenliği sistemlerini güçlendirmek için 250 milyon Avustralya doları veya 167 milyon dolar ek sermaye ayırmasını emretti.
APRA, revize edilmiş sermaye ayarlaması gereksiniminin Medibank’ın mutabık kalınan bir iyileştirme programını tamamlamasına ve APRA’nın risk yönetimi uygulamalarına yönelik hedefli teknoloji incelemesini geçmesine kadar devam edeceğini söyledi. Medibank CEO’su David Koczkar o dönemde şirketin “güçlü ve iyi sermayelendirilmiş” kaldığını ve müşterilere daha iyi güvenlik sağlamak için sistemleri ve süreçleri geliştirmeye devam edeceğini söyledi.
Rogers Perşembe günü yatırımcılara sigortacının 2025 mali yılından sonra da veri ihlaliyle ilgili daha fazla maliyetle karşılaşmayı beklediğini ancak bu masrafların çoğunlukla dava masraflarını karşılayacağını söyledi. Medibank ayrıca hissedarlar ve etkilenen müşterilerden önemli ödemelerle sonuçlanabilecek birkaç toplu dava ile karşı karşıya (bkz: Avustralyalı Hukuk Firmaları Medibank Davalarında İşbirliği Yapıyor).
Şirket, 20214 mali yılında bir önceki yıla göre %4,7 artışla 8,1 milyar Avustralya doları net gelir elde ettiğini ve faaliyet kârının %7,9 artışla yaklaşık 700 milyon Avustralya doları olduğunu bildirdi.