遭遇严重数据泄露事件后,这家公司宣布投入超6亿元升级安全系统

澳大利亚最大的健康保险公司Medibank表示,为应对2022年发生的勒索软件事件所带来的影响,预计在未来三年内将总共投入1.26亿澳元(约合人民币6.07亿元)用于升级其IT安全系统。

Medibank在其财年终结声明中表示,截至今年6月的近12个月内,已投入近4000万澳元用于升级其IT系统。首席财务官Mark Rogers在8月22日的财报电话会议上告诉投资者,预计今年的投入金额将与去年持平。

此前遭到个保机构起诉,被指责网安预算过低

此前,澳大利亚信息专员办公室已经将该公司告上法庭,指控其涉嫌数据隐私违规,导致多达970万现有客户和旧客户的个人及敏感健康信息受到损害。

代理信息专员Elizabeth Tydd表示,Medibank“未能根据其规模、资源、所处理的敏感和个人信息的性质与数量,以及数据泄露对个人造成严重损害的风险,采取合理的措施保护其持有的个人信息”。

2022年10月,一个总部位于俄罗斯的网络犯罪集团黑客攻击了Medibank,并在当年12月将5GB副本数据发布在暗网上,声称这是窃取的全部数据。这次黑客攻击影响了970万现有客户和旧客户,其中包括180万居住在澳大利亚的外国人。

今年早些时候,美国、澳大利亚和英国对一名俄罗斯男子实施制裁,称其为此次黑客攻击的幕后主使。这名男子名为Aleksandr Gennadievich Ermakov,可能与已解散的俄罗斯网络勒索团伙REvil有关。

澳大利亚信息专员向澳大利亚法院表示,尽管Medibank在2022年的收入达到71亿澳元,但其网络安全预算却仅为100万澳元。

金监机构要求预留超12亿元费用,用作网安系统升级

国际律师事务所Dentons表示,理论上,根据《隐私法》,澳大利亚联邦法院理论上有权对每次违规行为处以最高222万澳元的民事罚款,这意味着Medibank面临最高21.5万亿澳元的民事罚款。该律师事务所指出:“尽管最终的民事罚款金额不太可能接近这个数字,但这一数字确实反映了案件的严重性。”

2023年6月,澳大利亚的金融监管机构审慎监管局(APRA)在审查中发现Medibank信息安全环境存在缺陷,随后命令这家保险巨头预留2.5亿澳元(约合人民币12亿元)作为额外资本,以加强其信息安全系统。

APRA表示,这一修订后的资本调整要求将保持有效,直到Medibank完成双方同意的整改计划并通过APRA对其风险管理实践的目标技术评估为止。Medibank首席执行官David Koczkar当时表示,公司仍然“强大且资本充足”,并将继续改善系统和流程,以为客户提供更好的安全保障。

Rogers在8月22日的投资者会议上表示,公司预计在2025财年之后仍将面临与数据泄露相关的进一步成本,但这些费用主要与诉讼相关。Medibank还面临来自股东和受影响客户的多起集体诉讼,可能导致大量赔付。

该公司表示,2023-2024财年净收入达到81亿澳元,比上一年增长了4.7%,运营利润约为7亿澳元,增长了7.9%。

参考资料:https://www.govinfosecurity.com/medibank-to-spend-au126m-on-post-breach-security-upgrade-a-26129

声明:本文来自安全内参,稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场,转载目的在于传递更多信息。如有侵权,请联系rhliu@skdlabs.com,我们将及时按原作者或权利人的意愿予以更正。

上一篇:欧盟框架计划监督评估实践与启示研究

下一篇:俄罗斯最大社交网站VK超3.9亿用户个人信息疑似泄露