Η Medibank αντιμετωπίζει έξοδα έως και 30 εκατ. δολάρια, μετά την αποκάλυψη ότι δεν είχε ασφάλιση για να προστατευτεί από επίθεση στον κυβερνοχώρο που επηρέασε σχεδόν τέσσερα εκατομμύρια πελάτες.
Η χρηματιστηριακή αξία της εταιρείας ιδιωτικής ασφάλειας υγείας έπεσε κατά 1,7 δισ. δολάρια περίπου, την Τετάρτη, καθώς Ρώσοι χάκερ απειλούν ότι θα εκθέσουν τα αρχεία υγείας και άλλα ευαίσθητα δεδομένα εκατομμυρίων Αυστραλών.
Οι χάκερ ισχυρίζονται ότι έχουν κλέψει 200 gigabytes δεδομένων και έχουν παρουσιάσει κάποιες αποδείξεις, συμπεριλαμβανομένων των ιατρικών αρχείων πελατών.
Η ομοσπονδιακή υπουργός αρμόδια για θέματα Ασφάλειας στον Κυβερνοχώρο, Clare O’Neil, δήλωσε ότι «Η τελευταία ενημέρωση της Medibank είναι βαθιά ανησυχητική… η κυβέρνηση αναγνωρίζει ότι το περιστατικό αυτό είναι πολύ αγχωτικό για τους Αυστραλούς που επηρεάζονται».
Η κ. O’Neil δήλωσε ότι βρίσκεται σε συνεχή επαφή με την ασφαλιστική εταιρεία και ότι η κυβέρνηση παρέχει τους πόρους για την αντιμετώπιση της παραβίασης.
«Οι πιο δυνατοί και έξυπνοι άνθρωποι της κυβέρνησης συνεργάζονται άμεσα με τη Medibank για να προσπαθήσουν να διασφαλίσουν ότι αυτή η φρικτή εγκληματική πράξη δεν θα μετατραπεί σε κάτι που θα μπορούσε να προκαλέσει ανεπανόρθωτη ζημιά για ορισμένους Αυστραλούς πολίτες», δήλωσε στο Κανάλι 7.
Ενώ η ομοσπονδιακή κυβέρνηση επιδιώκει να αυξήσει τα πρόστιμα για τις εταιρείες που υφίστανται παραβίαση δεδομένων, η Medibank παραδέχτηκε ότι δεν είχε ασφάλεια για να προστατευτεί σε περίπτωση παραβίασης δεδομένων.
Ο οικονομικός διευθυντής της Medibank, Mark Rogers, δήλωσε όσον αφορά την ασφάλιση στον κυβερνοχώρο ότι «το κόστος αυξήθηκε σημαντικά τα τελευταία δύο χρόνια. Το πόση κάλυψη μπορείτε να διασφαλίσετε στην πραγματικότητα όσον αφορά το συνολικό ποσό έκθεσης συν το μερίδιο κινδύνου».
«Έτσι, παρά το γεγονός ότι δεν είχαμε ασφάλιση στον κυβερνοχώρο, δεν θα περίμενα… ότι η πλειοψηφία των δαπανών που ζητάμε σήμερα, της τάξης των 25 έως 35 εκατομμυρίων, θα μπορούσε να καλυφθεί».
Ο στρατηγικός εμπειρογνώμονας για την ασφάλεια στον κυβερνοχώρο Jamie Norton δήλωσε ότι η πλήρης έκταση της παραβίασης των δεδομένων της Medibank πιθανώς δεν είναι ακόμη γνωστή.
«Αυτό που με ανησυχεί λίγο είναι ο χρόνος που χρειάστηκε, η διαδικασία και η ορατότητα που έχουν για το τι συνέβη» δήλωσε στο ραδιόφωνο ABC.
Ο κ. Norton, ο οποίος έχει περάσει περισσότερες από δύο δεκαετίες στη διαχείριση της ασφάλειας στον κυβερνοχώρο, μεταξύ άλλων και στην Αυστραλιανή Φορολογική Υπηρεσία, δήλωσε ότι οι εταιρείες πρέπει να προστατευθούν οικονομικά.
«Υπάρχει σημαντική επιβάρυνση εάν ένας οργανισμός παραβιαστεί και δεν έχει ασφάλιση στον κυβερνοχώρο», είπε.
Είπε ότι το 70% των εταιρειών έχουν βιώσει μια απόπειρα ransomware μέσα στα τελευταία πέντε χρόνια.
«Οπότε μιλάμε για πολύ ψηλό αριθμό και το 80% αυτών επιλέγουν να πληρώσουν τα λύτρα. Επομένως, πρόκειται για ένα συνηθισμένο γεγονός», είπε.
Ο κ. Norton δήλωσε ότι το ζήτημα της καταβολής λύτρων από τη Medibank είναι ένα πολύπλοκο θέμα.
«Εξαρτάται σε μεγάλο βαθμό από το εύρος των περιστάσεων, και η καταβολή λύτρων δεν αποτελεί καμία απολύτως εγγύηση ότι οι πληροφορίες της Medibank για τέσσερα εκατομμύρια Αυστραλούς δεν πρόκειται να διαρρεύσουν ούτως ή άλλως».
Ο Mitchell Maider δήλωσε στο ABC ότι έχει επηρεαστεί τόσο από την επίθεση στη Medibank όσο και στην Optus, παρά το γεγονός ότι δεν είναι πλέον πελάτης κανενός από τα δύο.
Έφυγε από την Optus πριν από επτά χρόνια και από τη Medibank πριν από τέσσερα χρόνια και δεν καταλαβαίνει γιατί οι εταιρείες εξακολουθούν να κρατάνε τα δεδομένα του.
«Η ειρωνεία είναι για γέλια. Είναι μια ασφαλιστική εταιρεία, μια εταιρεία ασφάλισης υγείας. Χειρίζονται ευαίσθητα δεδομένα ανθρώπων, συμπεριλαμβανομένων των αρχείων υγείας τους. Θα πρέπει να εξασφαλίσουν κάθε δυνατή προστασία» είπε.
Ο κ. Maider δήλωσε ότι οι εταιρείες θα πρέπει να αναγκάζονται να διαγράφουν τα δεδομένα μετά την αποχώρηση ενός πελάτη τους.
«Πρέπει να υπάρξει νόμος που να λέει ότι αν δεν είσαι πια σε μια εταιρεία, η εταιρεία οφείλει να διαγράψει τα αρχεία σου εντός έξι μηνών, για παράδειγμα. Είναι ανατριχιαστικό το γεγονός ότι κράτησαν όλα αυτά τα δεδομένα».
Η ομοσπονδιακή κυβέρνηση έχει εισαγάγει νομοθεσία που θα αυξήσει τα πρόστιμα για τις εταιρείες που έχουν σοβαρές ή επαναλαμβανόμενες παραβιάσεις των προσωπικών δεδομένων.
Σύμφωνα με το σχέδιο του νόμου, στις εταιρείες μπορεί να επιβληθεί πρόστιμο 50 εκατ. δολαρίων ή και περισσότερο.
Ο υπουργός Δικαιοσύνης, Mark Dreyfus, δήλωσε ότι τα αυξημένα πρόστιμα είναι απαραίτητα.
«Όπως ανέδειξαν πρόσφατα οι κυβερνοεπιθέσεις στην Optus, Medibank και MyDeal, οι παραβιάσεις δεδομένων έχουν τη δυνατότητα να προκαλέσουν σοβαρή οικονομική και συναισθηματική ζημία στους Αυστραλούς, και αυτό είναι απαράδεκτο» δήλωσε.
