Avustralya gizlilik gözlemcisi Çarşamba günü, ülkenin en büyük özel sağlık sigortası olan Medibank’a, 2022’de meydana gelen bir veri ihlali olayında 9,7 milyon müşterisinin kişisel bilgilerini korumadığı için dava açtı.
Avustralya Bilgi Komiseri, Federal Mahkemede açılan bir hukuki ceza davasında, Medibank’ın Avustralyalıların verilerini kötüye kullanıma ve yetkisiz erişime karşı korumak için makul adımlar atmayı ihmal ederek onların mahremiyetine “ciddi şekilde müdahale ettiğini” söyledi. OAIC’e göre bu sorunların ülkenin 1988 tarihli Gizlilik Yasası’nı ihlal ettiği iddia ediliyor.
Yasal işlemler, Avustralya Bilgi Komiseri Angelene Falk’ın, tehdit aktörlerinin milyonlarca mevcut ve eski Medibank müşterisinin kişisel bilgilerine eriştiği Medibank siber saldırısına ilişkin yürüttüğü soruşturmanın ardından geldi. Bu ihlalde çalınan kişisel veriler de karanlık ağda yayınlandı.
Avustralya Bilgi Komiseri Vekili Elizabeth Tydd, “Kişisel bilgilerin karanlık ağda yayınlanması, çok sayıda Avustralyalıyı potansiyel duygusal sıkıntı ve maddi kimlik hırsızlığı, gasp ve mali suç riski de dahil olmak üzere ciddi zarar olasılığına maruz bıraktı” dedi.
Tydd, Medibank’ın sağlık sigortası hizmetleri sağlayıcısı olarak işinin, müşterilerin kişisel ve hassas sağlık bilgilerinin toplanıp saklanmasını içerdiğini vurguladı.
“Medibank’ın büyüklüğü, kaynakları, işlediği hassas ve kişisel bilgilerin niteliği ve hacmi ve ihlal durumunda bireye ciddi zarar verme riski göz önüne alındığında, elindeki kişisel bilgileri korumak için makul adımlar atmadığını iddia ediyoruz. ” Gün dedi. “Medibank’ın davranışının çok sayıda bireyin mahremiyetine ciddi bir müdahaleyle sonuçlandığını düşünüyoruz.”
Gizlilikten Sorumlu Komisyon Üyesi Carly Kind, veri güvenliği ve gizliliğinin sorumluluğunu kişisel bilgileri toplayan, kullanan ve saklayan kuruluşlara yüklüyor. Bu kuruluşların, özellikle hassas veriler söz konusu olduğunda, verilerin güvenli ve emniyetli bir şekilde tutulmasını sağlama konusunda önemli bir sorumluluğa sahip olduğunu söyledi.
Kind, “Bu dava Avustralyalı kuruluşlara dijital savunmalarına yatırım yapmaları için bir uyandırma çağrısı görevi görmeli” diye ekledi.
OAIC’in Medibank Veri İhlali Soruşturmasının Amacı ve Bulguları
OAIC, Medibank ve yan kuruluşu ahm’ın Ekim ayındaki veri ihlalinin ardından Aralık 2022’de Medibank’ın gizlilik uygulamalarına ilişkin soruşturmayı başlattı.
Soruşturma, Medibank’ın eylemlerinin mahremiyete müdahale teşkil edip etmediğine veya Avustralya Gizlilik İlkesi (APP) 11.1’i ihlal edip etmediğine odaklandı. Bu yasa uygulayıcısı, kuruluşların bilgilerin kötüye kullanım, müdahale ve yetkisiz erişime karşı korunması için makul adımlar atmasını zorunlu kılar.
OAIC’in bulguları, koşullar göz önüne alındığında Medibank’ın tedbirlerinin yetersiz olduğunu ortaya koydu. Gizlilik Yasasının 13G bölümü uyarınca Komiser, ciddi veya tekrarlanan gizlilik müdahaleleri nedeniyle para cezası kararına başvurabilir. Mart 2021’den Ekim 2022’ye kadar olan dönem için Federal Mahkeme, ihlal başına 2,2 milyon AU$’na (yaklaşık 1,48 milyon ABD Doları) kadar para cezası verebilir.
Sağlık sigortası şirketinin bir sözcüsü, davaya karşı eylem planını ayrıntılı olarak açıklamadı ancak The Cyber Express’e şunları söyledi: “Medibank davayı savunmayı planlıyor.
Sorunları Çözmek İçin Milyonları Bir Kenara Ayırın
Avustralya’nın bankacılık düzenleme kurumu geçen yıl tavsiye edildi Medibank, 2022 veri ihlali olayından sonra bilgi güvenliğinde tespit edilen zayıflıkları gerekçe göstererek 250 milyon AU$ (o sırada yaklaşık 167 milyon ABD Doları) ekstra sermaye ayıracak.
Avustralya İhtiyat ve Düzenleme Otoritesi (APRA), o dönemde sermaye ayarlamasının, Medibank tarafından düzenleyiciyi tatmin edecek şekilde üzerinde anlaşmaya varılan bir iyileştirme programı tamamlanana kadar yürürlükte kalacağını söylemişti. Medibank, yatırımcılara ve müşterilere bu ayarlamayı karşılayacak yeterli mevcut sermayeye sahip olduğunu söyledi.
APRA ayrıca Medibank’ta sağlık sigortası için iyileştirme sürecini hızlandıracak bir teknoloji incelemesi yapacağını da söyledi. The Cyber Express’in bu konuyla ilgili güncelleme talebine hemen yanıt vermedi.
Medibank Hacker’ına Yaptırım Uygulandı ve Tutuklandı
Yılın başında ABD, Avustralya ve Birleşik Krallık, hükümetlerin 2022 Medibank saldırısının arkasında olduğuna inandığı bir Rus adama yaptırım uygulamıştı. Ekranın arkasındaki yüzün AlexanderErmakov, GustaveDore, aiiis_ermak, blade_runner ve JimJones takma adlarını taşıyan 33 yaşındaki Aleksandr Gennadievich Ermakov olduğu söylendi.
Rus siber güvenlik firması FACCT, yaptırımların ardından Rus polisinin, Ermakov’un da aralarında bulunduğu üç kişiyi, ülkenin ceza kanununun zararlı bilgisayar kodlarının oluşturulmasını, kullanılmasını veya dağıtılmasını yasaklayan 273. Maddesini ihlal etmek suçlamasıyla tutukladığını söyledi. olası olmayan.
Medibank’a karşı açılan dava, kuruluşlara veri güvenliğine öncelik vermeleri ve gizlilik düzenlemelerine uymaları konusunda kritik bir hatırlatma görevi görüyor. Bu davanın sonucu muhtemelen Avustralyalı kuruluşların gelecekte kişisel bilgileri nasıl yönetip koruyacağını etkileyecek ve gelişen dijital ortamda sıkı siber güvenlik uygulamalarına olan ihtiyacı güçlendirecektir.
Kind, “Kuruluşların kendilerine emanet edilen kişisel bilgileri koruma konusunda hem etik hem de yasal bir görevi ve bu bilgileri güvende tutma sorumluluğu vardır” dedi.