L’administration actuelle de l’Australie appelle à des lois plus strictes sur la confidentialité, à la suite de la violation de la cybersécurité de la semaine dernière qui a compromis les données personnelles de 9,8 millions de clients Optus. Décrivant la cyberattaque comme “pas un défi technologique”, le gouvernement affirme que la violation n’aurait jamais dû se produire et qu’Optus devrait payer pour rectifier la situation.
Lorsque les clients donnent leurs données personnelles aux entreprises, ils s’attendent à ce que les informations soient conservées en toute sécurité, a déclaré le Premier ministre australien Anthony Albanese. dit au parlement Mercredi. Qualifiant la violation de données d’Optus de “grande préoccupation”, il a déclaré que l’incident devrait servir de signal d’alarme aux entreprises australiennes.
L’opérateur de téléphonie mobile a signalé la semaine dernière une faille de sécurité qui, selon lui, a compromis diverses données client, notamment les dates de naissance, les adresses e-mail et les numéros de passeport. Les informations appartenant à la fois aux clients actuels et anciens ont été affectées, a déclaré Optus, ce qui, selon son PDG, Kelly Bayer Rosmarin, était le résultat d’une attaque “sophistiquée” qui a infiltré plusieurs couches de sécurité.
La compagnie de téléphone, cependant, n’a pas encore fourni de détails supplémentaires sur la façon dont la violation s’est produite ou sur les systèmes qui ont été violés. Des rapports locaux ont signalé une API en ligne (interface de programmation d’applications) qui ne nécessitait apparemment ni authentification ni autorisation pour accéder aux données des clients.
Albanese a déclaré que le gouvernement travaillait avec Optus pour obtenir les informations nécessaires “pour mener une enquête criminelle” menée par la police fédérale australienne, en coopération avec le FBI.
“Nous savons que cette violation n’aurait jamais dû se produire”, a déclaré le Premier ministre. “Il est clair que nous avons besoin de meilleures lois nationales après une décennie d’inaction pour gérer l’immense quantité de données collectées par les entreprises sur les Australiens, et des conséquences claires lorsqu’elles ne les gèrent pas bien.”
Il a rejeté les appels du parti d’opposition demandant au gouvernement de payer pour le remplacement des passeports, arguant plutôt qu’Optus devrait être obligé de couvrir ces coûts. Les contribuables ne devraient pas être obligés de payer pour un problème résultant des propres échecs d’Optus en matière de réglementation de la cybersécurité et de la confidentialité, a-t-il déclaré, ajoutant que le ministre des Affaires étrangères avait demandé à Optus de couvrir les coûts associés.
Optus est une filiale à part entière du groupe de télécommunications de Singapour, Singtel.
Albanese a ajouté que le gouvernement cherchait à renforcer les lois locales dans le cadre de son examen actuel de la Loi sur la protection des renseignements personnels.
Selon la ministre australienne de l’Intérieur, Clare O’Neil, le pays avait environ cinq ans de retard sur ce qu’il devait être en matière de cyberprotection. “Ce n’est tout simplement pas assez bon”, a déclaré O’Neil, qui est également ministre de la Cybersécurité.
“Ce qui s’est passé à Optus n’était pas une attaque sophistiquée. Nous ne devrions pas avoir un fournisseur de télécommunications dans ce pays qui a effectivement laissé la fenêtre ouverte pour que des données de cette nature soient volées”, a-t-elle déclaré.
Description de la violation comme inacceptable, elle a ajouté que l’incident était une erreur majeure de la part d’Optus. “Ils sont coupables”, a déclaré le ministre. “Le cyber piratage entrepris ici n’était pas particulièrement difficile sur le plan technologique.”
Elle a ajouté qu’un manquement d’une telle ampleur, impliquant une entreprise comme Optus, aurait entraîné des sanctions financières importantes dans d’autres pays. Au lieu de cela, en Australie, l’amende maximale ne s’élevait qu’à 2,2 millions de dollars australiens en vertu de la loi sur la protection de la vie privée, ce qui, selon elle, était “totalement inapproprié”.
O’Neil a en outre noté que si elle était en mesure d’établir des normes minimales de cybersécurité pour les entreprises de plusieurs secteurs, elle n’était pas en mesure de le faire pour les opérateurs de télécommunications, qui s’étaient tenus à l’écart des lois existantes du pays au motif que leurs normes étaient suffisamment élevées. et ils étaient suffisamment réglementés par d’autres lois.
Ce n’était clairement pas le cas, comme l’a démontré la récente violation, a-t-elle déclaré.
Soulignant la nécessité de renforcer les lois sur la protection de la vie privée du pays, le ministre a déclaré que les appareils étaient de plus en plus connectés à Internet. “C’est un message très clair pour moi, pour les Australiens et pour les entreprises australiennes, que nous devons lever les normes ici et nous devons faire mieux pour protéger les Australiens.”
Elle a déclaré que l’examen actuel de la loi par le gouvernement examinerait une série de questions, y compris les pouvoirs dont elle disposait pour imposer des normes minimales de cybersécurité qui auraient pu empêcher la violation d’Optus de se produire.
“C’est un signal d’alarme important”, dit-elle. “Ce que cela nous dit, c’est que les entreprises qui se considéraient comme des experts en cybersécurité échouent sur ces types d’attaques.”
O’Neil a également révélé dans un communiqué mardi que les numéros d’assurance-maladie des clients avaient été compromis dans la violation d’Optus, qui n’avaient initialement pas été révélés comme faisant partie des données affectées par l’attaque.
Elle a en outre exprimé ses inquiétudes concernant les informations selon lesquelles des informations personnelles volées lors de la violation étaient désormais proposées gratuitement et contre rançon.
