Le gouvernement déclare qu'il augmentera les amendes maximales pour violations graves ou répétées de la confidentialité des données à 50 millions de dollars australiens, contre 50 millions de dollars australiens. 2,22 millions de dollars australiens actuels, suite à une série d'incidents de cybersécurité qui ont compromis les données des clients, notamment Médibanque.
L'Australie souhaite que les organisations enquêtent plus profondément sur les violations graves ou répétées de la confidentialité des données, en imposant des amendes maximales pouvant aller jusqu'à 50 millions de dollars australiens (31,57 millions de dollars). La décision d'augmenter les sanctions en cas de violation intervient au milieu d'une série d'incidents de cybersécurité qui ont compromis les données des clients, le dernier en date impliquant le groupe d'assurance Medibank.
Le procureur général Mark Dreyfus a dévoilé cette semaine son intention de présenter au Parlement un projet de loi qui augmenterait les sanctions financières pour les contrevenants à la vie privée par rapport aux 2,22 millions de dollars australiens actuels (1,4 million de dollars).
Les nouvelles règles seront décrites dans l'amendement de la législation australienne sur la protection de la vie privée (application et autres Mesures) Projet de loi 2022, qui peut être appliqué en vertu de la Loi sur la protection de la vie privée de 1988 pour des raisons de confidentialité « sérieuses ou répétées » violations.
Suite à la mise à jour, les entreprises reconnues coupables de violations se verront infliger une amende de 50 millions de dollars australiens, soit trois fois la valeur de tout bénéfice obtenu grâce à l'utilisation abusive d'informations, ou 30 % du chiffre d'affaires ajusté de l'entreprise au cours de la période concernée, selon le montant retenu plus grand.
Le projet de loi donnera également au commissaire australien à l'information « un plus grand pouvoir » pour résoudre les violations de la vie privée et renforcer les violations de données à notifier. système, qui fournira au commissaire une connaissance complète des informations compromises lors d'une violation afin qu'il puisse évaluer les risques de préjudice pour les personnes concernées personnes. En outre, le commissaire et l'Australian Communications and Media Authority seront mieux placés habilité à partager des informations en cas de violation de données.
Dreyfus a déclaré: « Lorsqu'on demande aux Australiens de fournir leurs données personnelles, ils sont en droit de s'attendre à ce qu'elles soient protégées. Malheureusement, d’importantes atteintes à la vie privée ces dernières semaines ont montré que les garanties existantes sont inadéquates. Il ne suffit pas qu’une pénalité pour violation majeure de données soit considérée comme le coût de l’activité.
"Nous avons besoin de meilleures lois pour réglementer la manière dont les entreprises gèrent l'énorme quantité de données qu'elles collectent et de sanctions plus lourdes pour encourager un meilleur comportement", a-t-il déclaré.
Les décideurs australiens avaient auparavant fait pression pour des amendes plus sévères seront infligées suite à une majeure violation impliquant la société de télécommunications locale Optus, qui a compromis les données de 9,8 millions de clients, notamment les adresses e-mail, les numéros de téléphone et d'autres informations d'identification personnelle.
Une violation de Medibank compromet les dossiers de santé
Dans une autre violation qui a suivi celle d'Optus, Medibank a révélé le 13 octobre avoir détecté une « activité inhabituelle » sur son réseau qui était il a été découvert plus tard que les données personnelles des clients de sa filiale ahm, ainsi que celles d'un étudiant international, avaient été compromises. clients.
Dans un déclaration hier, il avait reçu du pirate informatique présumé des fichiers contenant 1 100 enregistrements de politique ahm comprenant données personnelles et de réclamations de santé, ainsi que certaines Medibank et d'autres clients ahm et étudiants internationaux information.
Medibank, l'une des plus grandes compagnies d'assurance maladie d'Australie. la semaine dernière, j'ai dit le pirate informatique a affirmé avoir volé 200 Go de données comprenant les noms, adresses, dates de naissance et numéros de police des clients. Les données compromises concernant les réclamations des clients comprenaient l'endroit où le client a reçu des services médicaux et les codes liés à son diagnostic et à ses procédures.
Le pirate informatique a également déclaré qu'il disposait de données liées à la sécurité des cartes de crédit, mais Medibank a déclaré qu'il n'avait pas encore vérifié cela.
"Compte tenu de la complexité de ce que nous avons reçu, il est trop tôt pour déterminer l'étendue des données clients qui ont été volées", a-t-il déclaré. "Nous continuerons d'analyser ce que nous avons reçu pour comprendre le nombre total de clients concernés et, plus précisément, quelles informations ont été volées."
La compagnie d'assurance a ajouté que cette violation faisait actuellement l'objet d'une enquête criminelle de la part de la police fédérale australienne. Il travaille également avec des fournisseurs de cybersécurité, le Centre australien de cybersécurité et d'autres agences gouvernementales compétentes, indique-t-il.
Medibank a déclaré: « Alors que nous continuons à enquêter sur l'ampleur de cette cybercriminalité, nous nous attendons à ce que le nombre de clients concernés augmente à mesure que cela se déroule. »
À la suite de cette violation, le régulateur des services financiers Australian Prudential Regulatory Authority (APRA) a publié lundi un déclaration rappelant aux acteurs du secteur de mettre en place des contrôles de sécurité des données et de s’assurer du respect des réglementations sectorielles.
Rappelant les exigences décrites dans la norme prudentielle CPS234 Sécurité des informations, l'agence gouvernementale a déclaré que les entités réglementées par l'APRA devraient avoir des rôles de cybersécurité clairement définis et les responsabilités exercées par leurs conseils d'administration, la haute direction, les organes directeurs ainsi que personnes. Ils devaient également maintenir une capacité de sécurité de l'information adaptée à la taille et à l'étendue des menaces pesant sur ses actifs de données. ainsi que déployer des contrôles pour protéger leurs actifs de données et exécuter des tests systématiques pour garantir l'efficacité de ces contrôles.
L'APRA a ajouté que les récentes failles de sécurité ont rappelé que de telles menaces continuaient de s'intensifier. Cela a souligné la nécessité pour les entités réglementées d’examiner et de tester régulièrement leurs plans de réponse aux incidents.
COUVERTURE CONNEXE
- L'Australie ouvre une enquête sur la violation de données Optus
- L'Australie envisage de modifier ses lois sur la confidentialité après la violation de données Optus
- Optus révèle l'étendue de la violation de données, mais reste muet sur la façon dont cela s'est produit
- Le gouvernement australien veut qu'Optus paie pour la violation de données
- Une faille de sécurité Optus compromet les détails du passeport des clients
- Singtel donne à Optus plus « d'autonomie » pour gérer l'unité d'entreprise