A raíz de una violación de datos que afectó a 9,7 millones de consumidores, Australia está intensificando su investigación sobre Medibank y determinará si se requiere alguna acción regulatoria. Se cree que los piratas informáticos rusos fueron los responsables de la infracción.
La compañía de seguros ha prometido revelar los resultados de una investigación independiente sobre el asunto.
Supervisión “intensificada”
Residencia en ZDNETEn el informe, la Autoridad Australiana de Regulación Prudencial (APRA) dijo el lunes 28 de noviembre que había “intensificado” su supervisión de Medibank a la luz de la infracción, que según la APRA generaba preocupaciones sobre la idoneidad de los controles de riesgo operativo de Medibank.
Se había contratado a Deloitte, una empresa consultora, para investigar la falla de seguridad y las respuestas y procedimientos de Medibank.
Una vez establecidos los resultados de la revisión externa, el regulador de servicios financieros ha acordado decidir si se requieren medidas regulatorias adicionales.
Suzanne Smith, miembro de APRA, ha dicho que la administración espera que Medibank ejecute todas las actividades correctivas sugeridas y garantice una gestión adecuada de las consecuencias, incluidos los efectos sobre la compensación de los ejecutivos cuando sea necesario.
ZDNET informó que si las empresas u organizaciones del país no implementan las precauciones enumeradas en CPS 234, el estándar nacional para la seguridad de la información, el gobierno las supervisará.
Las recientes infracciones cibernéticas subrayan la necesidad de vigilancia de la junta directiva y resiliencia operativa, dijo Smith.
El director ejecutivo de Medibank, David Koczkar, dijo que la compañía había discutido con APRA el alcance de la evaluación externa para la que había contratado a Deloitte.
“Compartiremos los principales resultados y consecuencias de la revisión, cuando corresponda, teniendo en cuenta los intereses de nuestros clientes y partes interesadas y la naturaleza en curso de la investigación de la Policía Federal Australiana (AFP)”, afirmó Koczkar.
Ver también: Actualización sobre la infracción de Medibank: los piratas informáticos exponen datos confidenciales de salud mental y amenazan con filtrar más
Las identidades de los hackers
En una declaración anterior de este mes, los funcionarios de policía culparon a los piratas informáticos con sede en Rusia por el ataque. Afirmaron que se estaban desarrollando medidas encubiertas en conjunto con redes internacionales como Interpol.
El comisario de la AFP, Reece Kershaw, dijo que las investigaciones se centraban en todas las partes implicadas y que su equipo sabía quién era el responsable de la agresión, pero no revelaba sus identidades.
Planean hablar con las autoridades rusas sobre las personas mencionadas.
La AFP está a cargo de la filial australiana de Interpol, que tiene una línea de comunicación directa con su homóloga en Moscú.
Kershaw enfatizó que las Oficinas Centrales Nacionales de Interpol podrían buscar ayuda en investigaciones transfronterizas.
Medibank ha actualizado información sobre el incidente que apareció en un foro de la web oscura. Una declaración del 20 de noviembre reveló que se filtraron en línea cuatro archivos más que comprenden 1.496 datos, incluidas 123 entradas de ataques anteriores.
El director ejecutivo, Koczkar, afirmó que la empresa no pagaría ningún rescate por consejo de especialistas en delitos cibernéticos y que hacerlo sólo tendría una pequeña probabilidad de evitar la divulgación de datos de los clientes.
Señaló que pagar podría alentar a los ciberdelincuentes a extorsionar a sus consumidores, poniendo a más personas en peligro al convertir a Australia en un objetivo mayor.
Protección de Datos
Según ZDNET, el gobierno australiano aprobó una ley para aumentar las sanciones económicas a los infractores de la privacidad de datos.
Las multas máximas por infracciones graves o repetidas aumentarán de 2,22 millones de dólares australianos (1,48 millones de dólares) a 50 millones de dólares australianos (32,34 millones de dólares), o tres veces el valor de cualquier beneficio obtenido mediante el uso indebido de datos, o el 30% de los ingresos ajustados de la empresa en el período correspondiente. período, el que sea mayor.
Ver también: Violación de datos de Optus: un adolescente de Sydney se declara culpable de chantajear a casi 100 personas
ⓒ 2023 . .
