Optus demandado por el regulador de privacidad en advertencia a las empresas australianas para proteger los datos o enfrentar multas

Optus podría enfrentar otra penalización considerable, ya que el perro guardián de la privacidad demanda a la telecomunicidad por el ataque cibernético 2022 que expuso los datos de alrededor de 9.5 millones de australianos.

La Oficina del Comisionado de Información de Australia (OAIC) ha presentado procedimientos de sanción civil en el Tribunal Federal, alegando que Optus violó las leyes de privacidad al no proteger adecuadamente los datos de los consumidores.

El OAIC ha alegado que durante un período de casi tres años hasta septiembre de 2022, cuando la violación ocurrió como resultado de un ataque cibernético, Optus “interfirió seriamente con la privacidad de aproximadamente 9.5 millones de australianos al no tomar medidas razonables para proteger su información personal del uso indebido, la interferencia y la pérdida, y del acceso inautorizado, la modificación o la discripción” bajo la Ley de Privacía.

El regulador ha afirmado que Optus no pudo administrar adecuadamente la seguridad cibernética y la información para una organización de su tamaño, para el volumen de información personal que tenía y para el “perfil de riesgo” de la compañía.

“El comienzo de estos procedimientos confirma que el [Office of the Australian Information Commissioner] Tomará las medidas necesarias para mantener los derechos de la comunidad australiana “, dijo uno de los comisionados, Elizabeth Tydd.

“La comunidad australiana debe tener la confianza de que las organizaciones actuarán en consecuencia, y si no lo hacen, el OAIC como regulador actuará para asegurar esos derechos”.

Un portavoz de Optus dijo que la compañía estaba revisando los asuntos planteados en los procedimientos y responderá a las reclamaciones “a su debido tiempo”.

La compañía de telecomunicaciones dijo que había estado “trabajando duro” para minimizar El impacto del incidente de 2022 y “continuará invirtiendo en la seguridad de la información de nuestros clientes, nuestros sistemas y nuestras capacidades de defensa cibernética”.

La multa teórica que puede enfrentar la tela podría alcanzar billones de dólares, ya que el tribunal federal puede imponer una multa civil de hasta $ 2.22 millones por cada contravención en virtud de la Ley de Privacidad.

El OAIC dijo que alegaba una contravención para “cada uno de los 9.5 millones de personas cuya privacidad alega que Optus interfirió seriamente”, pero el regulador señaló que cualquier sanción era un asunto que la corte determinara.

Un cuerpo que representa a los consumidores de comunicaciones, Accan, dio la bienvenida a la acción del OAIC y dijo que envió un “mensaje claro” al sector, con “billones en juego para Optus”.

“Tenemos un largo camino por recorrer para remediar el tipo de prácticas y comportamientos que hemos visto en Optus en los últimos años”, dijo la directora ejecutiva de Accan, Carol Bennett.

Optus ya ha enfrentado procedimientos legales sobre el ataque de alto perfil y el año pasado dijo que tenía la intención de defender las afirmaciones de la Autoridad de Comunicaciones y Medios de Australia. (ACMA) que no pudo proteger los detalles confidenciales en su base de datos.

En junio, Optus acordó pagar una multa de $ 100 millones después de admitir las prácticas de ventas inapropiadas y mala conducta, luego de los procedimientos legales presentados por el organismo de control del consumidor en un asunto no relacionado.

Potenciales sanciones un mensaje a Australia corporativa

Jamieson O’Reilly, conocido como un “hacker ético” y fundó un pago de empresas de empresas para encontrar vulnerabilidades, dio la bienvenida a la acción judicial sobre una de las infracciones de datos más importantes de Australia.

“Muchas veces, históricamente, las empresas privadas se han salido con la suya de manera efectiva para exponer la información de sus clientes”, dijo a ABC News.

Richard Buckland, profesor asociado en seguridad cibernética en la Universidad de Nueva Gales del Sur, dijo que, hasta hace poco, el OAIC no había estado involucrado con grandes sanciones, por lo que no había habido un mensaje fuerte para las empresas para tratar el respeto de los datos de los clientes.

“Es una pena que la respuesta haya tardado tanto en llegar, pero los reguladores tienen el deber de hacerlo bien, y ciertamente hubo muchas cosas geniales que Optus hizo una vez que se dieron cuenta de que habían sido violados, por lo que no son villanos”, dijo Buckland.

“El verdadero papel de un regulador en la sociedad es mejorar el comportamiento y establecer una barra alta para que las empresas trabajen. Esta acción del regulador será un buen paso en esa dirección.

“Espero que las juntas y el liderazgo de la compañía inviertan en mejorar la seguridad y mejorar la forma en que cuidan los datos”.

En los últimos meses, La información de 5.7 millones de clientes de Qantas se comprometió en un ataque cibernético en los sistemas de la aerolínea.

El Sr. O’Reilly, el fundador de Dvuln, dijo que las sanciones civiles actuaron como un elemento disuasorio y alentó a las empresas a tomar en serio la seguridad cibernética.

“Tradicionalmente, los líderes de seguridad en las organizaciones luchan por obtener dinero de la junta para invertir en ciberseguridad, esto les permite tener algo para ir a la junta y decir que si no inventamos en ciberseguridad, esto es lo que sucede”.

O’Reilly dijo que los consumidores también podrían ayudar a que las empresas tengan en cuenta al llevar su negocio a otra parte.

“Después de la conmoción y el asombro del evento, si los clientes no tienen el tiempo o el esfuerzo para seguir medidas legales y civiles, o abandonar la empresa, eso también envía un mensaje a la Junta de que no tienen que tomarlo. [cybersecurity] tan en serio “