Başsavcı Perşembe günü yaptığı açıklamada, Avustralya’nın bir telekomünikasyon şirketinden 9,8 milyon müşterinin kişisel verilerini çalan bir siber saldırıya acil bir yanıt olarak bu yıl yürürlükte yeni veri koruma yasalarına sahip olabileceğini söyledi.
Başsavcı Mark Dreyfus, geçen hafta Avustralya’nın en büyük ikinci kablosuz operatörü Optus’a yapılan benzeri görülmemiş saldırının ardından hükümetin Gizlilik Yasasında “acil reformlar” yapacağını söyledi.
Dreyfus, Parlamento’nun bu yıl oturması planlanan kalan dört hafta içinde yasanın değiştirilmesinin “mümkün olduğunu düşünüyorum” dedi.
Dreyfus gazetecilere verdiği demeçte, “Önümüzdeki dört hafta boyunca Gizlilik Yasası’nda reformları yıl sonundan önce Parlamento’ya getirip getiremeyeceğimizi çok araştıracağım” dedi. Parlamento bir sonraki 25 Ekim’de toplanacak.
Dreyfus, şirket yönetim kurullarının para cezalarını “iş yapmanın maliyeti” olarak görmemesi için kişisel verileri korumama cezalarının artırılması gerektiğini söyledi.
Dreyfus, yıllarca tutulan müşteri veri şirketlerinin “kesinlikle büyük miktarlarda” değiştirilen yasaya göre gerekçelendirilmesi gerektiğini söyledi.
Dreyfus, “Şirketlerin veri depolamaya bir varlık olarak değil, bir yükümlülük veya potansiyel bir yükümlülük olarak bakmaları gerekiyor” dedi. “Çok uzun süredir, verilere yalnızca ticari olarak kullanabilecekleri bir varlık olarak bakan şirketlere sahibiz.”
Hükümet, Singtel olarak da bilinen Singapur Telekomünikasyon’un bir yan kuruluşu olan Optus’taki gevşek siber güvenliği mevcut ve eski müşterilerin kişisel bilgilerinin çalınmasıyla suçluyor.
Singtel, yönetimi tarafından Çarşamba günü yayınlanan bir açıklamada, “Veri hırsızlığından etkilenen herkes için çok üzgünüz” diyerek özür diledi.
Açıklamada, “Olaydan bu yana odak noktamız, Optus’un etkilenen müşterilere yardım etme ve güvenlik kontrollerini güçlendirme çabalarını desteklemek oldu” dedi.
Açıklamada, “Bilgi güvenliği, Singtel Grubu için büyük önem taşıyor ve tüm iş birimlerinde birinci önceliğe sahip ve ortaya çıkan tehditlere karşı savunmamızı sürekli olarak güçlendirmek için önemli kaynaklar yatırıyoruz” dedi.
Veriler, kimlik hırsızlığı ve dolandırıcılık için kullanılabilecek pasaport, ehliyet ve ulusal sağlık hizmetleri kimlik numaralarını içeriyordu.
Yetkililer, Optus’un ilk başta Medicare numaralarının çalınan veriler arasında olduğunu açıklamamasını eleştiriyor. Bu, Salı günü, Optus’un siber saldırıyı keşfetmesinden altı gün sonra, hacker 10.000 müşterinin kayıtlarını dark web’e attığında ortaya çıktı.
Acil yasal yanıt, üç yıl önce başlayan Gizlilik Yasasının daha kapsamlı bir incelemesinden ayrıdır. Yasa 1988’de kabul edildi ve eleştirmenler, dijital çağa fena halde adapte edilmesi gerektiğini savunuyorlar.
Hükümet, Optus’un Gizlilik Yasasını ihlal ettiği için potansiyel olarak maksimum 2 milyon AUD (kabaca 10 crore) para cezasına çarptırılabileceğini söyledi.
Hükümet, Avrupa Birliği yasaları uyarınca benzer bir güvenlik ihlali nedeniyle yüz milyonlarca dolar para cezasına çarptırılabileceğini söyledi.
Gizlilik Yasası incelemesine yapılan başvurular, Avustralya operasyonlarından elde edilen gelirin %10’una eşdeğer ihlaller için cezalar önerdi.
Optus CEO’su Kelly Bayer Rosmarin, Salı günü Australian Broadcasting Corp.’a verdiği demeçte, artan para cezalarına karşı çıktı: “Dürüst olmak gerekirse, hangi cezaların kimseye fayda sağlayacağından emin değilim.”
Optus, birkaç güvenlik katmanına sızan karmaşık bir siber saldırının hedefi olduğunu iddia ediyor.
Finansal Hizmetler Bakanı Stephen Jones, bankacılık ve tüketici düzenleyicileriyle yaptığı acil toplantının ardından, “dolandırıcıların” ve “dolandırıcıların” telefon numaraları ve e-posta adresleri de dahil olmak üzere çalınan verileri kullanmaya başladığını söyledi.
Jones, saldırıda Avustralya’nın 26 milyonluk nüfusunun yüzde 38’inden çalınan kişisel bilgilerle, “bu ihlalin tüketici sorunları üzerindeki etkisini abartamazsınız” dedi.
Güvenliği ihlal edilmiş Optus müşterilerini, metin veya e-posta yoluyla aldıkları URL’leri etkinleştirmemeleri konusunda uyardı, çünkü bunlar daha fazla bilgi çalmaya çalışan suçlulara ait olabilir.
Jones, “Hepimiz bu büyük veri ihlalinin bir sonucu olacak uzun sorunlar kuyruğunda yolumuza çalışmak için elimizden gelenin en iyisini yapmaya çalışıyoruz” dedi.
