Ключевые факты
- Австралийский информационный комиссар (AIC) подал иск против Medibank Private Limited, обвиняя компанию в нарушении Закона о конфиденциальности 1988 года.
- Иск связан с серьезной утечкой данных около 9,7 млн текущих и бывших клиентов Medibank в период с 12 марта 2021 года по 13 октября 2022 года.
- AIC утверждает, что Medibank не предприняла разумных шагов для защиты персональных данных от неправомерного использования, несанкционированного доступа или раскрытия, нарушив Австралийский принцип конфиденциальности (APP) 11.1.
- Украденная информация включала имена, даты рождения, адреса, номера телефонов, электронные адреса, паспортные данные, номера Medicare, финансовую информацию и конфиденциальные медицинские данные.
- С 9 ноября по 1 декабря 2022 года злоумышленники публиковали похищенные данные клиентов Medibank в даркнете.
Предполагаемые нарушения Закона о конфиденциальности
- AIC утверждает, что Medibank нарушила APP 11.1, не предприняв разумных шагов для защиты персональных данных, учитывая размер компании, характер и объем хранимой информации, а также риск ущерба для людей в случае утечки.
- Согласно иску, эти действия представляют собой серьезное или неоднократное вмешательство в частную жизнь в нарушение статьи 13G Закона о конфиденциальности.
- Каждое нарушение в рамках соответствующего периода влечет максимальный штраф в размере 2,22 млн австралийских долларов.
Ключевые недостатки в системе кибербезопасности Medibank
Согласно иску AIC, во время соответствующего периода в системе кибербезопасности и защиты информации Medibank были серьезные недостатки:
- Отсутствие многофакторной аутентификации (MFA) для удаленного доступа пользователей к корпоративной VPN и другим критически важным информационным активам.
- Ненадлежащее управление привилегированными учетными записями и мониторинг их активности.
- Отсутствие контроля сложности паролей и мониторинга их использования.
- Неэффективные процессы мониторинга безопасности для своевременного выявления и реагирования на инциденты.
- Недостаточное тестирование ключевых средств контроля информационной безопасности.
- Неэффективный контроль безопасности критически важных серверов и подрядчиков.
Согласно иску, Medibank была осведомлена о серьезных недостатках в своей системе кибербезопасности, в том числе благодаря различным отчетам и оценкам, проведенным как сторонними организациями, так и внутренними аудитами.
Предполагаемый ущерб
AIC утверждает, что неспособность Medibank предпринять разумные шаги для защиты персональных данных подвергла около 9,7 млн человек риску потенциального эмоционального стресса, кражи личных данных, вымогательства и финансовых преступлений. Это нарушает фундаментальный принцип Закона о конфиденциальности, согласно которому организации несут ответственность за защиту хранимой ими личной информации.
Запрашиваемые средства правовой защиты
AIC добивается судебного решения, штрафов за нарушение гражданского законодательства в соответствии со статьей 80U Закона о конфиденциальности, а также возмещения судебных издержек.Этот громкий иск подчеркивает важность надежной защиты персональных данных и потенциально серьезные последствия для компаний, которые не соблюдают свои обязательства по обеспечению конфиденциальности информации в Австралии. Окончательное решение по делу прояснит масштабы ответственности организаций за утечки данных и, вероятно, станет важным прецедентом в области защиты информации.