Австралийский информационный комиссар подал иск против Medibank Private Limited в связи с масштабной утечкой данных

Ключевые факты

• Австралийский информационный комиссар (AIC) подал иск против Medibank Private Limited, обвиняя компанию в нарушении Закона о конфиденциальности 1988 года.
• Иск связан с серьезной утечкой данных около 9,7 млн текущих и бывших клиентов Medibank в период с 12 марта 2021 года по 13 октября 2022 года.
• AIC утверждает, что Medibank не предприняла разумных шагов для защиты персональных данных от неправомерного использования, несанкционированного доступа или раскрытия, нарушив Австралийский принцип конфиденциальности (APP) 11.1.
• Украденная информация включала имена, даты рождения, адреса, номера телефонов, электронные адреса, паспортные данные, номера Medicare, финансовую информацию и конфиденциальные медицинские данные.
• С 9 ноября по 1 декабря 2022 года злоумышленники публиковали похищенные данные клиентов Medibank в даркнете.

Предполагаемые нарушения Закона о конфиденциальности

• AIC утверждает, что Medibank нарушила APP 11.1, не предприняв разумных шагов для защиты персональных данных, учитывая размер компании, характер и объем хранимой информации, а также риск ущерба для людей в случае утечки.
• Согласно иску, эти действия представляют собой серьезное или неоднократное вмешательство в частную жизнь в нарушение статьи 13G Закона о конфиденциальности.
• Каждое нарушение в рамках соответствующего периода влечет максимальный штраф в размере 2,22 млн австралийских долларов.

Ключевые недостатки в системе кибербезопасности Medibank

Согласно иску AIC, во время соответствующего периода в системе кибербезопасности и защиты информации Medibank были серьезные недостатки:

• Отсутствие многофакторной аутентификации (MFA) для удаленного доступа пользователей к корпоративной VPN и другим критически важным информационным активам.
• Ненадлежащее управление привилегированными учетными записями и мониторинг их активности.
• Отсутствие контроля сложности паролей и мониторинга их использования.
• Неэффективные процессы мониторинга безопасности для своевременного выявления и реагирования на инциденты.
• Недостаточное тестирование ключевых средств контроля информационной безопасности.
• Неэффективный контроль безопасности критически важных серверов и подрядчиков.

Согласно иску, Medibank была осведомлена о серьезных недостатках в своей системе кибербезопасности, в том числе благодаря различным отчетам и оценкам, проведенным как сторонними организациями, так и внутренними аудитами.

Предполагаемый ущерб

AIC утверждает, что неспособность Medibank предпринять разумные шаги для защиты персональных данных подвергла около 9,7 млн человек риску потенциального эмоционального стресса, кражи личных данных, вымогательства и финансовых преступлений. Это нарушает фундаментальный принцип Закона о конфиденциальности, согласно которому организации несут ответственность за защиту хранимой ими личной информации.

Запрашиваемые средства правовой защиты

AIC добивается судебного решения, штрафов за нарушение гражданского законодательства в соответствии со статьей 80U Закона о конфиденциальности, а также возмещения судебных издержек.Этот громкий иск подчеркивает важность надежной защиты персональных данных и потенциально серьезные последствия для компаний, которые не соблюдают свои обязательства по обеспечению конфиденциальности информации в Австралии. Окончательное решение по делу прояснит масштабы ответственности организаций за утечки данных и, вероятно, станет важным прецедентом в области защиты информации.

Author: admin