Eine Pattsituation zwischen dem Telekommunikationsgiganten Optus und der Regierung über die von einem Hacker gestohlenen sensiblen Daten hat zu weitreichenden Änderungen der Cybersicherheitsgesetze geführt.
Optus ist von der Regierung unter heftigen Beschuss geraten, weil es nicht genügend Informationen über den verheerenden Hack geteilt hat, bei dem die persönlichen Daten von rund 10 Millionen Kunden gestohlen wurden.
Am Mittwoch wurde jedoch bekannt, dass die Telekom dies für illegal hielt.
Kommunikationsministerin Michelle Rowland hat Gesetzesänderungen angekündigt, um eine Pattsituation mit Optus darüber zu beenden, wie viele Informationen sie über den verheerenden Hackangriff austauschen können
Nach den neuen Gesetzen können Telekommunikationsunternehmen wie Optus Daten einfacher mit der Regierung teilen, um Cyberkriminalität zu verhindern.
Bei der Bekanntgabe der Gesetze sagte Kommunikationsministerin Michelle Rowland, dass das Telekommunikationsunternehmen der Ansicht sei, dass die Weitergabe von Informationen darüber, welche Daten gestohlen wurden, gegen das Telekommunikationsgesetz verstoßen würde.
„Optus hat der Regierung gegenüber die Ansicht vertreten, dass sie in ihrer Analyse nicht unter eine dieser Ausnahmen (vom Gesetz) fallen“, sagte Frau Rowland am Mittwoch auf einer gemeinsamen Pressekonferenz mit Schatzmeister Jim Chalmers.
„Wir hielten es für vernünftig, die richtige Rechtsberatung in Anspruch zu nehmen und zu prüfen, dass der effektivste Weg, um eine zweifelsfreie Weitergabe dieser Daten zu ermöglichen, darin besteht, diese Vorschriften zu ändern.
“Diese Vorschriften sind speziell eine Reaktion auf diese Cyber-Bedrohungen in einem Ausmaß und Umfang, das es in Australien noch nie gegeben hat.”
Die Änderungen dienen dem „einzigen Zweck des Verbraucherschutzes“, Frau Rowland.
Hacker durchbrachen die Cybersicherheit des Telekommunikationsunternehmens Optus, um persönliche Daten von 9,8 Millionen Kunden zu entwenden, die bereits 2017 gestohlen wurden (im Bild ein Optus-Geschäft in Sydney).
Frau Rowland sagte, die neuen Gesetze würden es Telekommunikationsunternehmen ermöglichen, sich besser mit Finanzinstituten abzustimmen, um die Risiken böswilliger Aktivitäten, einschließlich Identitätsdiebstahl und Betrug, zu erkennen und zu mindern.
Die neue Vereinbarung zum Informationsaustausch würde nur für Finanzinstitute gelten, die von der Finanzaufsichtsbehörde Australian Prudential Regulation Authority (APRA) reguliert werden.
„Informationen dürfen nur zu dem alleinigen Zweck verwendet werden, Cybersicherheitsvorfälle, Betrug, Betrugsaktivitäten oder Identitätsdiebstahl zu verhindern oder darauf zu reagieren“, sagte Frau Rowland.
„Die zugelassenen Empfänger müssen sehr strenge Informationssicherheitsanforderungen und Protokolle für die Übertragung und Speicherung von Daten erfüllen.
“Und erhaltene Informationen müssen vernichtet werden, wenn sie nicht mehr benötigt werden.”
Frau Rowland sagt, die neuen Gesetze werden sicherstellen, dass Unternehmen personenbezogene Daten vernichten, wenn sie „nicht mehr erforderlich“ sind.
Um Betrug zu verhindern, dürfen Telekommunikationsunternehmen auch „begrenzte Informationen“ über Kunden an Regierungsbehörden wie Services Australia weitergeben.
„Es geht darum, die Auswirkungen dieser Datenschutzverletzung auf Optus-Kunden zu verringern und Finanzinstituten zu ermöglichen, verbesserte Sicherheitsvorkehrungen und Überwachungen zu implementieren“, sagte Frau Rowland.
Herr Chalmers wiederholte die Zusicherungen von Frau Rowland, dass die gemeinsam genutzten Daten sicher aufbewahrt und nur zum Zweck der Verhinderung von Identitätsbetrug verwendet würden.
„Wir haben wirklich eng mit der Branche zusammengearbeitet, mit APRA, dem ACCC, dem Information Commissioner und anderen Behörden, um sicherzustellen, dass wir den sicheren Austausch von Daten zwischen Optus und regulierten Finanzinstituten so gut wie möglich erleichtern können“, sagte Herr Chalmers sagte.
„Sie (die neuen Gesetze) wurden sorgfältig mit strengen Datenschutz- und Sicherheitsvorkehrungen entworfen, um sicherzustellen, dass nur begrenzte Informationen vorübergehend verfügbar gemacht werden können, um Cybersicherheitsvorfälle, Betrug, Betrug und damit verbundene Aktivitäten zu verhindern und darauf zu reagieren. ‘
Optus-Kunden wurden bei der massiven Datenpanne Pass- und Führerscheinnummern gestohlen (Bild, ein Stock-Foto)
Die Banken und andere Finanzinstitute von Herrn Chalmers haben proaktiv versucht, den Schaden der massiven Optus-Sicherheitsverletzung im September zu begrenzen, bei der persönliche Daten von rund 10 Millionen Kunden des Telekommunikationsunternehmens gestohlen wurden.
Banken und andere Finanzinstitute hätten „verschärfte Kontrollen zum Schutz ihrer Kunden eingeführt“, und die neuen Gesetze würden „auf diesen aufbauen“, um eine verstärkte Überwachung und zusätzliche Schutzmaßnahmen zu ermöglichen.
Die Informationen, die leichter weitergegeben werden könnten, seien „Regierungsidentifikationsdaten“, sagte Herr Chalmers, wie z. B. Führerscheinnummern, Medicare- und Passnummern.
Namen, Adressen, Geburtsdaten oder andere persönliche Informationen werden nicht weitergegeben.
Um die Informationen zu erhalten, müsste die Institution „schriftliche Verpflichtungen“ eingehen und die Datenschutz- und Informationssicherheitsgesetze einhalten
„Sie müssen sicherstellen, dass die gesuchten Informationen notwendig und verhältnismäßig sind“, sagte Herr Chalmers.
“Sie müssen strenge Sicherheitsanforderungen und Protokolle für die Datenübertragung und -speicherung erfüllen und sicherstellen, dass die erhaltenen Informationen vernichtet werden, wenn sie nicht mehr benötigt werden.”
In einem bizarren Beitrag behauptete „optusdata“, es seien „zu viele Augen“ auf sie gerichtet und behauptete, sie würden die gehackten Daten von über 10 Millionen Australiern nicht verkaufen oder durchsickern lassen
Herr Chalmers sagte, aus Sicherheitsgründen würden die Institutionen, die Daten mit Optus teilen, nicht offengelegt.
Der Hacker hat persönliche Daten von 10.200 Kunden online preisgegeben, als Teil einer Lösegeldforderung, von der sie sich später plötzlich zurückzogen.
In einer anonym in einem Chat-Forum geposteten Nachricht sagte der Hacker, dass „zu viele Augen“ auf sie gerichtet seien, entschuldigte sich bei Optus und behauptete, sie hätten bereits alle gestohlenen Daten gelöscht.
Frau Rowland sagte, die US-Strafverfolgungsbehörde FBI sei von der australischen Bundespolizei angeworben worden, um bei der Suche nach dem Hacker zu helfen.
Sie sagte, es habe eine separate Polizeioperation gegeben, um die 10.000 Kunden zu schützen, deren Informationen „im Darknet veröffentlicht“ wurden.
Schatzmeister Jim Chalmers sagte, neue Gesetze würden es Optus ermöglichen, „Identifikations“-Informationen wie Führerscheinnummern, Medicare- und Passnummern mit Banken und Finanzinstituten zu teilen
Regierungsminister stellten sich am Sonntagmorgen an, um Optus wegen des massiven Hacking-Skandals zu beschuldigen, und verprügelten das Unternehmen, weil es nicht genug getan habe.
Generalstaatsanwalt Mark Dreyfus sagte, er habe noch keine Erklärung dafür bekommen, warum Optus sensible persönliche Informationen von Menschen hortete, selbst nachdem sie das Telekommunikationsunternehmen verlassen hatten, während die Daten liefen zurück ins Jahr 2017.
Die Ministerin für Cybersicherheit und Inneres, Clare O’Neil, sagte, Optus habe nicht genug getan, um die am stärksten gefährdeten 10.200 Personen zu warnen, deren Daten vom Hacker online durchgesickert seien.
„Optus hat mitgeteilt, dass es diesen Leuten gesagt hat, dass eine E-Mail unter diesen Umständen einfach nicht ausreicht“, sagte Frau O’Neil auf einer Medienkonferenz.
„Wir müssen einen Prozess durchlaufen, bei dem wir direkt mit diesen 10.200 Personen sprechen.
“Optus muss hier den Mantel übernehmen, um direkt sicherzustellen, dass die Menschen sich bewusst sind, wenn sie direkt gefährdet sind, wie es diese Menschen sind.”
Sie sagte, Optus habe es versäumt, der Regierung Informationen darüber zu liefern, wer und wie viele gefährdet seien.
“Wir möchten, dass Optus die Anzahl der Personen transparent macht, bei denen bestimmte Ausweisdokumente kompromittiert wurden und diese Informationen noch nicht bereitgestellt wurden.”
Die Kritik wurde von Dienstleistungsminister Bill Shorten wiederholt, der sagte, seine Abteilung habe am 27. September an Optus geschrieben und um Einzelheiten zu allen Personen gebeten, denen Medicare-Nummern oder andere Centrelink-Informationen gestohlen worden seien, aber bis jetzt keine Antwort erhalten hätten.
„Seit dem Einbruch sind elf Tage vergangen“, sagte er.
Optus schaltete eine ganzseitige Anzeige und entschuldigte sich bei seinen Millionen von Kunden, deren persönliche Daten bei der größten Datenschutzverletzung des Landes gestohlen wurden
„Am merkwürdigsten ist, dass wir immer noch nicht feststellen können, wer seine Medicare-Informationsnummer hatte, um seine Informationen zu erhalten.
“Wir brauchen das nicht morgen oder übermorgen, wir haben es wirklich schon vor Tagen gebraucht.”
Herr Shorten bestätigte die Optus-Anzeige, in der er sich bei den Kunden entschuldigte, sagte aber, „business as usual“ und „im vierten Gang fahren“ sei nicht genug.
„Eine Anzeige ist keine Strategie, eine Anzeige ist kein Plan“, sagte er.
„Wir bitten Optus, ihre Transparenz zu verbessern.
“Der australischen Blutbahn wurde ein systemisches Risiko in Bezug auf die Vertraulichkeit (ihrer) Informationen injiziert. Wir wissen, dass Optus versucht, zu tun, was es kann, aber wir haben gesagt, dass es nicht ausreicht.”