Optus, gizlilik bekçi köpeği, yaklaşık 9.5 milyon Avustralyalı’nın verilerini ortaya çıkaran 2022 siber saldırıya dava açtığı için başka bir ağır ceza ile karşılaşabilir.
Avustralya Bilgi Komiseri Ofisi (OAIC), Optus’un tüketicilerin verilerini düzgün bir şekilde koruyamayarak gizlilik yasalarını ihlal ettiğini iddia ederek federal mahkemede hukuk cezası işlemleri yaptı.
OAIC, Eylül 2022 yılına kadar yaklaşık üç yıllık bir süre boyunca, bir siber saldırı sonucunda ihlalin meydana geldiği, Optus’un kişisel bilgilerini yanlış kullanım, müdahale ve kayıptan korumak için makul adımlar atarak yaklaşık 9,5 milyon Avustralyalı gizliliğe ciddi şekilde müdahale ettiğini iddia etti.
Düzenleyici, Optus’un siber güvenlik ve bilgi güvenliğini büyüklüğünde bir kuruluş için, sahip olduğu kişisel bilgilerin hacmi ve şirketin “threat profili” için yeterince yönetemediğini iddia etti.
“Bu işlemlerin başlaması, [Office of the Australian Information Commissioner] Komisyon üyelerinden Elizabeth Tydd, Avustralya topluluğunun haklarını korumak için gerekli eylemi gerçekleştirecek.
“Kuruluşlar kişisel bilgileri yasal gereklilikler dahilinde ve güvene dayalı olarak tutarlar.
Diyerek şöyle devam etti: “Avustralya topluluğu, kuruluşların buna göre hareket edeceğine dair güven duymalı ve eğer yapmazlarsa, düzenleyici olarak OAIC bu hakları güvence altına almak için harekete geçecektir.”
Bir Optus sözcüsü, şirketin yargılamalarda toplanan konuları incelediğini ve iddialara “zamanında” yanıt vereceğini söyledi.
ABC Information Learn, “Optus, müşterilerimize ve 2022 siber saldırının gerçekleştiği daha geniş topluluğa tekrar özür diliyor.”
Telco, 2022 olayının etkisini en aza indirmenin “çok çalıştığını” ve “müşterilerimizin bilgilerinin, sistemlerimizin ve siber savunma yeteneklerimizin güvenliğine yatırım yapmaya devam edeceğini” söyledi.
Telco’nun karşılaşabileceği teorik para cezası, federal mahkeme, Gizlilik Yasası uyarınca her bir ihlal için 2,22 milyon dolara kadar bir sivil ceza uygulayabileceğinden trilyonlarca dolara ulaşabilir.
OAIC, “mahremiyeti Optus’un ciddi şekilde müdahale ettiğini iddia eden 9.5 milyon bireyin her biri için bir ihtilaf olduğunu iddia ettiğini” söyledi, ancak düzenleyici herhangi bir cezanın mahkemenin belirlenmesi konusu olduğunu belirtti.
İletişim tüketicilerini temsil eden bir organ olan Ackan, OAIC’in eylemini memnuniyetle karşıladı ve sektöre “Optus için trilyonlarca tehlikede” olan “açık bir mesaj” gönderdiğini söyledi.
Accan genel müdürü Carol Bennett, “Son birkaç yıldır Optus’tan gördüğümüz türden uygulama ve davranışları çözmek için uzun bir yolumuz var.” Dedi.
“Bu kültürü değiştirmek kolay olmayacak ve OAIC’in bu çok önemli eylemi başka bir uyandırma çağrısı.“
Optus zaten yüksek profilli saldırı konusunda yasal işlemlerle karşılaştı ve geçen yıl Avustralya İletişim ve Medya Otoritesi (ACMA) tarafından veritabanındaki gizli ayrıntıları koruyamadığını iddia etmeyi amaçladığını söyledi.
Haziran ayında Optus, uygunsuz satış uygulamalarını ve suistimalleri kabul ettikten sonra 100 milyon dolarlık bir ceza ödemeyi kabul etti ve tüketici bekçisinin ilgisiz bir konuda getirdiği yasal işlemlerin ardından.
Potansiyel Cezalar Kurumsal Avustralya’ya bir mesaj
Şirketlerin güvenlik açıklarını bulmak için ödediği bir firmanın kurucusu Jamieson O’Reilly, Avustralya’nın en önemli veri ihlallerinden biri hakkında mahkeme eylemini memnuniyetle karşıladı.
“Bu sivil işlemlerin Avustralya şirketlerinin siber güvenliği için internet bir pozitif olduğuna inanıyorum.
ABC Information’e verdiği demeçte, “Tarihsel olarak birçok kez özel şirketler müşteri bilgilerini ortaya çıkarmak için etkili bir şekilde uzaklaştı.” Dedi.
Gizlilik ve veri güvenliği, 2022 Optus siber saldırısının ardından manşetlerde kaldı, Avustralya ve küresel şirketler hack ve ihlalle karşı karşıya kalmaya devam ediyor.
Son aylarda, 5.7 milyon Qantas müşterisinin bilgileri havayolunun sistemlerine siber saldırıdan ödün verildi.
Dvuln’ın kurucusu Bay O’Reilly, sivil cezaların caydırıcı olduğunu ve şirketleri siber güvenliği ciddiye almaya teşvik ettiğini söyledi.
“Geleneksel olarak, kuruluşlardaki güvenlik liderleri siber güvenliğe yatırım yapmak için yönetim kurulundan para almak için mücadele ediyorlar, bu onların yönetim kuruluna gidecek bir şeyleri olmasını ve siber güvenliğe yatırım yapmazsak, bu olan budur.”
Bay O’Reilly, tüketicilerin de işlerini başka bir yere götürerek şirketlerin hesaba katılmasına yardımcı olabileceğini söyledi.
“Etkinliğin şokundan ve huşudan sonra, müşterilerin yasal ve hukuk eylemlerini sürdürmek veya şirketten ayrılmak için zamanına veya çabası yoksa, bu da tahtaya almak zorunda olmadıkları bir mesaj gönderir. [cybersecurity] Ciddi “
