Argumentando que la reciente violación de seguridad de datos “no debería haber ocurrido”, el primer ministro de Australia quiere que Optus pague por el reemplazo de los pasaportes, cuyos detalles se vieron comprometidos, e insinúa que las leyes de seguridad cibernética del país pueden actualizarse para impulsar la protección del cliente.
La administración actual de Australia está pidiendo leyes de privacidad más estrictas, luego de la violación de seguridad cibernética de la semana pasada que comprometió los datos personales de 9.8 millones de clientes de Optus. Al describir el ataque cibernético como “no un desafío tecnológico”, el gobierno dice que la violación nunca debería haber ocurrido y que Optus debería pagar para rectificar la situación.
Cuando los clientes dan sus datos personales a las empresas, esperan que la información se mantenga segura, dijo el miércoles el primer ministro australiano, Anthony Albanese, en el parlamento. Al calificar la violación de datos de Optus como “una gran preocupación”, dijo que el incidente debería servir como una llamada de atención para las empresas en Australia.
El operador móvil informó la semana pasada una brecha de seguridad que, según dijo, comprometió varios datos de los clientes, incluidas las fechas de nacimiento, las direcciones de correo electrónico y los números de pasaporte. La información perteneciente a clientes actuales y anteriores se vio afectada, dijo Optus, que su director ejecutivo, Kelly Bayer Rosmarin, dijo más tarde que fue el resultado de un ataque “sofisticado” que se infiltró en múltiples capas de seguridad.
Sin embargo, la empresa de telecomunicaciones aún no ha proporcionado más detalles sobre cómo ocurrió la violación o qué sistemas fueron violados. Los informes locales han señalado una API en línea (interfaz de programación de aplicaciones) que aparentemente no requería autenticación o autorización para acceder a los datos del cliente.
Albanese dijo que el gobierno estaba trabajando con Optus para obtener la información necesaria “para realizar una investigación criminal” dirigida por la Policía Federal Australiana, en cooperación con el FBI.
“Sabemos que esta violación nunca debería haber ocurrido”, dijo el primer ministro. “Claramente, necesitamos mejores leyes nacionales después de una década de inacción para administrar la inmensa cantidad de datos recopilados por las empresas sobre los australianos, y consecuencias claras para cuando no los manejen bien”.
Desestimó los llamados del partido de oposición para que el gobierno pague por el reemplazo de los pasaportes, argumentando en cambio que se debe hacer que Optus cubra tales costos. No se debe obligar a los contribuyentes a pagar por un problema que fue el resultado de las propias vulnerabilidades de Optus en la regulación de la seguridad cibernética y la privacidad, dijo, y agregó que el Ministro de Relaciones Exteriores le había pedido a Optus que cubriera los costos asociados.
Optus es una subsidiaria de propiedad total del grupo de telecomunicaciones de Singapur, Singtel.
Albanese agregó que el gobierno estaba buscando fortalecer las leyes locales bajo su revisión actual de la Ley de Privacidad.
Según la ministra de Asuntos Internos de Australia, Clare O’Neil, el país estaba unos cinco años atrasado en cuanto a protección cibernética. “Simplemente no es lo suficientemente bueno”, dijo O’Neil, quien también es Ministro de Seguridad Cibernética.
“Lo que sucedió en Optus no fue un ataque sofisticado. No deberíamos tener un proveedor de telecomunicaciones en este país que efectivamente dejó la ventana abierta para el robo de datos de esta naturaleza”, dijo.
Al describir la violación como inaceptable, agregó que el incidente fue una vulnerabilidad importante por parte de Optus. “Ellos tienen la culpa”, dijo el ministro. “El hackeo cibernético llevado a cabo aquí no fue particularmente desafiante desde el punto de vista tecnológico”.
Agregó que una infracción de tal escala, que involucre a una empresa como Optus, habría resultado en sanciones financieras significativas en otros países. En cambio, en Australia, la multa máxima superó los 2,2 millones de dólares australianos en virtud de la Ley de privacidad, que dijo que era “totalmente inapropiada”.
O’Neil señaló además que si bien pudo establecer estándares mínimos de seguridad cibernética para empresas en varios sectores, no pudo hacerlo para las empresas de telecomunicaciones, que se habían mantenido al margen de las leyes existentes del país sobre la base de que sus estándares eran lo suficientemente altos. y estaban suficientemente regulados por otras leyes.
Claramente, este no fue el caso, como lo demuestra la reciente violación, dijo.
Al enfatizar la necesidad de fortalecer las leyes de privacidad del país, el ministro dijo que los dispositivos estaban cada vez más conectados a Internet. “Es un mensaje muy claro para mí, para los australianos y para las empresas australianas, tenemos que elevar los estándares aquí y tenemos que hacerlo mejor para proteger a los australianos”.
Ella dijo que la revisión actual de la Ley por parte del gobierno analizaría una variedad de temas, incluidos los poderes que tenía para exigir estándares mínimos de seguridad cibernética que podrían haber evitado que ocurriera la violación de Optus.
“Esta es una importante llamada de atención”, dijo. “Lo que esto nos dice es que las empresas que se han considerado expertas en ciberseguridad están fallando en este tipo de ataques”.
O’Neil también reveló en un comunicado el martes que los números de Medicare de los clientes se vieron comprometidos en la violación de Optus, que inicialmente no se reveló como parte de los datos afectados en el ataque.
Expresó además su preocupación por los informes de que la información personal robada en la violación ahora se ofrece de forma gratuita y a cambio de rescate.
Fuente: https://www.zdnet.com/article/australia-government-wants-optus-to-pay-for-data-breach/
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad