רשות התקשורת והמדיה האוסטרלית פתחה בהליכים משפטיים נגד חברת הטלקומוניקציה Optus בבית משפט פדרלי, מאחר והחברה לא הצליחה להגן על מידע רגיש של לקוחותיה במהלך פריצת מידע בספטמבר 2022 – פריצה שהשפיעה על קרוב ל- 10 מיליון אנשים: "Optus לא הצליחה להגן על סודיות המידע האישי של לקוחותיה מפני גישה בלתי מורשית כנדרש על פי חוק הטלקומוניקציה", אמרה הרשות השבוע.
Optus סבלה מדלף מידע מאסיבי של לקוחותיה בשנת 2022, בעקבות השגת גישה של פושעי סייבר למידע רגיש של כ- 9.8 מיליון לקוחותיה לשעבר ובהווה: שמות, תאריכי לידה, מספרי טלפון, כתובות דוא"ל וכן, מתת-קבוצה של לקוחות נגנבו גם כתובות מגורים ומסמכים מזהים כמו רישיון נהיגה או דרכון. החברה אמרה ל- Information Security Media Group כי היא כבר נקטה צעדים משמעותיים כדי להגן על לקוחותיה לאחר פריצת המידע ובכוונתה להגן על עצמה בבית המשפט הפדרלי של אוסטרליה: "Optus התנצלה בעבר בפני לקוחותיה ונקטה בצעדים משמעותיים, כולל עבודה מול המשטרה ורשויות אחרות כדי להגן עליהם. היא גם החזירה ללקוחות את עלות החלפת תעודות הזהות", מסרה החברה שבבעלות SingTel.
תביעה זו הינה התיק השני של רשות התקשורת האוסטרלית נגד Optus: במרץ שילמה Optus קנס של 1.5 מיליון דולר אוסטרלי לאחר שחקירה קבעה כי החברה לא העלתה את המידע של קרוב ל- 200,000 לקוחות למאגר המספרים הציבוריים המשולב, תוך הפרה של חוק התקשורת. מאגר זה מסייע לשירותים קריטיים להזהיר אזרחים מפני אסונות כמו שיטפונות ושריפות וכן, מנהל שירות המשתף מידע מיקום של אזרחים עם המשטרה, אמבולנסים ומכבי האש בשעת חירום.
משרד נציב המידע האוסטרלי חוקר גם הוא את אירוע אבטחת המידע של Optus ב- 2022, כאשר משרדי עורכי דין אוסטרליים הציעו תביעות ייצוגיות נגד Optus בשם מיליוני לקוחות שהאקרים ניגשו למידע שלהם – מידע אשר פורסם ברשת האינטרנט האפלה. המשרד החל בחקירת נהלי הטיפול במידע אישי של Optus באוקטובר 2022 והצהיר כי בכוונתו לחקור אם החברה נקטה בצעדים סבירים כדי להגן על המידע האישי שברשותם מפני שימוש לרעה, אובדן, גישה בלתי מורשית, שינוי וכן, האם המידע שנאסף ונשמר היה הכרחי לביצוע עסקיהם. המשרד גם חוקר האם נקטה Optus בצעדים סבירים כדי לציית לעקרונות הפרטיות האוסטרליים במהלך אירוע אבטחת המידע ובעקבותיו.
חודשיים לאחר דלף המידע העביר הפרלמנט האוסטרלי תיקונים לחוק הפרטיות, המסמיכים את משרד נציב המידע האוסטרלי להטיל קנסות של עד 50 מיליון דולר אוסטרלי או 30% מהמחזור של חברה בתקופה הרלוונטית, לפי הגדול מביניהם, בגין הפרה חוזרת או הפרה בוטה של חוק פרטיות: "העונשים המעודכנים יביאו את חוק הפרטיות האוסטרלי להתאמה קרובה יותר עם התחרות בשוק, עם התרופות הצרכניות הנדרשות ועם עונשים בינלאומיים במסגרת תקנת הגנת המידע הכללית של אירופה", אמרה נציבת המידע – אנג'לין פאלק והדגישה: "בגישת עונשין, או בנקיטת פעולות רגולטוריות, הגישה שלנו תמשיך להיות פרגמטית, מבוססת ראיות ומידתית".