Optus varētu saskarties ar vēl vienu dūšīgu sodu, jo privātuma sargsuns iesūdz telco par 2022. gada kiberuzbrukumu, kas atklāja datus par aptuveni 9,5 miljoniem austrāliešu.
Austrālijas informācijas komisāra (OAIC) birojs federālajā tiesā ir iesniedzis civiltiesisko soda procesu, apgalvojot, ka Optus pārkāpj privātuma likumus, neveicot pienācīgi aizsargāt patērētāju datus.
OAIC ir apgalvojis, ka gandrīz trīs gadu laikā līdz 2022. gada septembrim, kad pārkāpums notika kiberuzbrukuma rezultātā, Optus “nopietni iejaucās aptuveni 9,5 miljonu austrāliešu privātumā, neveicot pamatotus pasākumus, lai aizsargātu viņu personisko informāciju no ļaunprātīgas izmantošanas, iejaukšanās un no neatļautas piekļuves, modifikācijas vai neatbilstības” privātuma likuma.
Regulators ir apgalvojis, ka Optus nav izdevies pietiekami pārvaldīt kiberdrošību un informācijas drošību tās lieluma organizācijai, par turēto personiskās informācijas apjomu un uzņēmuma “riska profilu”.
“Šo procesu sākšana apstiprina, ka [Office of the Australian Information Commissioner] veiks nepieciešamās darbības, lai uzturētu Austrālijas kopienas tiesības, “sacīja viena no komisārēm Elizabete Tidda.
“Organizācijām ir personiska informācija juridiskās prasībās un balstās uz uzticību.
“Austrālijas kopienai vajadzētu būt pārliecībai, ka organizācijas rīkosies attiecīgi, un, ja tās to nedarīs, OAIC kā regulators rīkosies, lai nodrošinātu šīs tiesības.”
Optus pārstāvis sacīja, ka uzņēmums pārskata tiesvedībā izvirzītās lietas un atbildēs uz prasībām “noteiktā laikā”.
“Optus vēlreiz atvainojas mūsu klientiem un plašākai sabiedrībai, ka notika 2022. gada kiberuzbrukums,” lasīts paziņojums ABC Information.
Telco paziņoja, ka tas ir bijis “smagi strādājis”, lai samazinātu 2022. gada incidenta ietekmi un “turpinās ieguldīt mūsu klientu informācijas, mūsu sistēmu un kiberdrošības spēju drošībā”.
Teorētiskais naudas sods, ar kuru telco var saskarties, varētu sasniegt triljonus dolāru, jo federālā tiesa var noteikt civiltiesisko sodu līdz 2,22 miljoniem USD par katru pārkāpumu saskaņā ar Privātuma likumu.
OAIC paziņoja, ka tā apgalvo, ka ir viena pretruna par “katrai no 9,5 miljoniem cilvēku, kuru privātums apgalvo, ka Optus nopietni iejaucas”, wager regulators atzīmēja, ka jebkurš sods ir tiesas noteikšana.
Ķermenis, kas pārstāv komunikāciju patērētājus, Accan, atzinīgi novērtēja OAIC darbību un sacīja, ka tā nozarei nosūtīja “skaidru ziņojumu” ar “triljoniem, kas apdraud Optus”.
“Mums ir tāls ceļš ejams, lai labotu praksi un izturēšanos, ko mēs esam redzējuši no Optus pēdējo gadu laikā,” sacīja Accan izpilddirektors Karols Bennetts.
“Šīs kultūras maiņa nebūs viegla, un šī ļoti nozīmīgā darbība no OAIC ir vēl viens modināšanas aicinājums rīkoties.“
Optus jau ir saskāries ar tiesvedību par augsta līmeņa uzbrukumu un pagājušajā gadā paziņoja, ka Austrālijas Komunikāciju un plašsaziņas līdzekļu pārvaldes (ACMA) ir paredzēts aizstāvēt prasības, ka tā savā datu bāzē nav aizsargājusi konfidenciālu informāciju.
Jūnijā Optus piekrita samaksāt sodu 100 miljonu dolāru apmērā pēc tam, kad tas atzina par nepiemērotu pārdošanas praksi un nepareizu rīcību pēc tiesvedības, ko patērētāju sargsuns nesa nesaistītā jautājumā.
Potenciālie sodi par ziņu korporatīvajai Austrālijai
Džeimijs O’Reilijs, firmas dibinātājs, kuru uzņēmumi maksā, lai atrastu IT ievainojamību, atzinīgi novērtēja tiesas prasību par vienu no Austrālijas nozīmīgākajiem datu pārkāpumiem.
“Es uzskatu, ka šie civilprocesi ir pozitīvi pozitīvi Austrālijas uzņēmumu kiberdrošībai.
“Daudzas reizes, vēsturiski, privātie uzņēmumi ir efektīvi atkāpušies, pakļaujot klientu informāciju,” viņš sacīja ABC Information.
Privātums un datu drošība ir palikušas virsrakstos pēc 2022. gada Optus kiberuzbrukuma, Austrālijas un globālajiem korporācijām turpinot saskarties ar hacks un pārkāpumiem.
Pēdējos mēnešos kiberuzbrukumā aviokompānijas sistēmām tika apdraudēta 5,7 miljonu Qantas klientu informācija.
Dvulnas dibinātājs O’Reilijs sacīja, ka civilie sodi rīkojās kā preventīvs līdzeklis un mudināja uzņēmumus nopietni uztvert kiberdrošību.
“Tradicionāli drošības vadītāji organizācijās cīnās, lai iegūtu naudu no valdes, lai ieguldītu kiberdrošībā, tas ļauj viņiem kaut ko iet uz valdi un pateikt, ja mēs neieguldīsim kiberdrošībā, tas notiek.”
Dž. O’Reilijs sacīja, ka patērētāji varētu arī palīdzēt noturēt uzņēmumus uzskaiti, pārņemot viņu biznesu citur.
“Pēc notikuma šoka un bailes, ja klientiem nav laika vai pūļu, lai veiktu likumīgu un civilprasību vai pamestu uzņēmumu, kas arī nosūta ziņu, ka viņiem tas nav jāņem vērā [cybersecurity] kā nopietni “
