استرالیا به دنبال مجازات شدیدتر برای نقض داده ها در میان موج حوادث امنیتی است

در این بیانیه آمده است: «با توجه به پیچیدگی چیزهایی که دریافت کرده‌ایم، برای تعیین میزان کامل اطلاعات مشتری که به سرقت رفته است خیلی زود است. ما به تجزیه و تحلیل آنچه که دریافت کرده‌ایم ادامه می‌دهیم تا تعداد کل مشتریانی که تحت تأثیر قرار گرفته‌اند و به‌خصوص اینکه کدام اطلاعات به سرقت رفته است را بفهمیم.»

قوانین جدید در لایحه اصلاحیه قانون حفظ حریم خصوصی استرالیا (اجرا و سایر اقدامات) لایحه 2022، که می تواند تحت قانون حفظ حریم خصوصی 1988 برای نقض “جدی یا مکرر” حریم خصوصی اعمال شود، مشخص خواهد شد.

به دنبال این نقض، تنظیم کننده خدمات مالی، اداره مقررات احتیاطی استرالیا (APRA) روز دوشنبه گزارشی را منتشر کرد. بیانیه به بازیگران صنعت یادآوری می‌کند که کنترل‌های امنیتی داده‌ها را اعمال کنند و اطمینان حاصل کنند که با مقررات بخشی مطابقت دارند.

او گفت: «ما به قوانین بهتری برای تنظیم نحوه مدیریت شرکت‌ها حجم عظیمی از داده‌هایی که جمع‌آوری می‌کنند و جریمه‌های بزرگ‌تری برای تشویق رفتار بهتر نیاز داریم».

Medibank یکی از بزرگترین شرکت های بیمه سلامت استرالیا است هفته گذشته گفت هکر ادعا کرد که اطلاعاتی به ارزش 200 گیگابایت را دزدیده است که شامل نام مشتری، آدرس، تاریخ تولد و شماره خط‌مشی است. داده های به خطر افتاده در مورد ادعاهای مشتری شامل مکانی است که مشتری خدمات پزشکی و کدهای مربوط به تشخیص و روش های خود را در آن دریافت کرده است.

این شرکت بیمه افزود که این تخلف در حال حاضر توسط پلیس فدرال استرالیا تحت تحقیقات جنایی قرار دارد. این شرکت همچنین با فروشندگان امنیت سایبری، مرکز امنیت سایبری استرالیا و سایر سازمان های دولتی مرتبط کار می کرد.

در نقض دیگری که پس از Optus انجام شد، Medibank در 13 اکتبر فاش کرد که “فعالیت غیرمعمول” را در شبکه خود شناسایی کرده است که بعداً مشخص شد اطلاعات شخصی مشتریان تحت شرکت تابعه خود، ahm، و همچنین مشتریان دانشجوی بین‌المللی را به خطر انداخته است.

APRA افزود که نقض های امنیتی اخیر یادآوری است که چنین تهدیدهایی همچنان تشدید می شود. این امر بر نیاز نهادهای تحت نظارت برای بررسی و آزمایش منظم طرح‌های واکنش به حوادث تأکید کرد.

پوشش مرتبط

منبع: https://www.zdnet.com/article/australia-seeks-stiffer-penalty-for-data-breaches-amidst-spate-of-security-incidents/#ftag=RSSbaffb68

سیاستگذاران استرالیایی پیشتر برای اعمال جریمه های شدیدتر به دنبال یک نقض بزرگ مربوط به مخابرات محلی Optus که داده های 9.8 میلیون مشتری از جمله آدرس های ایمیل، شماره تلفن و سایر اطلاعات هویتی شخصی را به خطر انداخت، فشار آورده بودند.

نقض Medibank سوابق سلامت را به خطر می اندازد

مارک دریفوس، دادستان کل، از طرح هایی برای معرفی قانونی در پارلمان این هفته رونمایی کرد که مجازات مالی ناقضان حریم خصوصی را از 2.22 میلیون دلار استرالیا (1.4 میلیون دلار) افزایش می دهد.

هکر همچنین گفت که داده‌های مربوط به امنیت کارت اعتباری را در اختیار دارد، اما مدی‌بانک گفت که هنوز این موضوع را تأیید نکرده است.

این لایحه همچنین به کمیسر اطلاعات استرالیا «قدرت بیشتر» برای حل و فصل نقض حریم خصوصی و همچنین تقویت طرح نقض داده‌های قابل اطلاع را می‌دهد، که به کمیسیونر اطلاعات کاملی از اطلاعاتی که در یک نقض به خطر افتاده است ارائه می‌دهد تا بتواند خطرات آسیب را ارزیابی کند. به افراد آسیب دیده علاوه بر این، کمیسیونر و اداره ارتباطات و رسانه استرالیا اختیار بهتری برای به اشتراک گذاشتن اطلاعات در صورت نقض داده ها خواهند داشت.

در یک بیانیه دیروز، فایل‌هایی از هکر ادعایی دریافت کرده بود که حاوی 1100 سوابق خط‌مشی اهمی بود که شامل داده‌های ادعاهای شخصی و سلامتی، و برخی از Medibank و اطلاعات بیشتر ahm و مشتریان بین‌المللی دانشجویان بود.

استرالیا از سازمان‌ها می‌خواهد که برای نقض جدی یا مکرر حریم خصوصی داده‌ها عمیق‌تر شوند و حداکثر جریمه‌هایی تا سقف 50 میلیون دلار استرالیا (31.57 میلیون دلار) اعمال کنند. اقدام برای افزایش مجازات‌ها برای تخلفات در بحبوحه سیل حوادث امنیت سایبری که داده‌های مشتریان را به خطر می‌اندازد، با آخرین مورد مربوط به گروه بیمه Medibank انجام می‌شود.

اشاره به الزامات ذکر شده در استاندارد محتاطانه امنیت اطلاعات CPS234آژانس دولتی گفت که نهادهای تحت نظارت APRA باید نقش‌ها و مسئولیت‌های امنیت سایبری را که توسط هیئت‌مدیره، مدیریت ارشد، ارگان‌های حاکم و همچنین افراد بر عهده دارند، به وضوح تعریف شده باشند. آنها همچنین باید قابلیت امنیت اطلاعات را مطابق با اندازه و گستره تهدیدات علیه دارایی های داده خود حفظ می کردند و همچنین کنترل هایی را برای محافظت از دارایی های داده خود و اجرای آزمایش های سیستماتیک برای اطمینان از اثربخشی این کنترل ها به کار می گرفتند.

پس از به‌روزرسانی، شرکت‌هایی که تشخیص داده می‌شوند تخلفات را مرتکب شده‌اند، 50 میلیون دلار استرالیا یا سه برابر ارزش هر سودی که از طریق سوء استفاده از اطلاعات به‌دست آورده‌اند، یا 30 درصد از گردش مالی تعدیل‌شده شرکت در دوره مربوطه، هر کدام که بیشتر باشد، جریمه خواهند شد. .

دریفوس گفت: “وقتی از استرالیایی ها خواسته می شود اطلاعات شخصی خود را تحویل دهند، آنها حق دارند انتظار داشته باشند که از آنها محافظت شود. متأسفانه، نقض قابل توجه حریم خصوصی در هفته های اخیر نشان داده است که حفاظت های موجود کافی نیستند. این برای جریمه برای یک داده بزرگ کافی نیست. نقض به عنوان هزینه انجام تجارت در نظر گرفته شود.

مدیبانک گفت: با ادامه بررسی ابعاد این جرایم سایبری، انتظار داریم تعداد مشتریان آسیب‌دیده در این زمینه افزایش یابد.