遭遇嚴重數據泄露事件后,這家公司宣布投入超6億元升級安全系統
責編:gltian |2024-09-03 16:54:09澳大利亞最大的健康保險公司Medibank表示,為應對2022年發生的勒索軟件事件所帶來的影響,預計在未來三年內將總共投入1.26億澳元(約合人民幣6.07億元)用于升級其IT安全系統。
Medibank在其財年終結聲明中表示,截至今年6月的近12個月內,已投入近4000萬澳元用于升級其IT系統。首席財務官Mark Rogers在8月22日的財報電話會議上告訴投資者,預計今年的投入金額將與去年持平。
此前遭到個保機構起訴,被指責網安預算過低
此前,澳大利亞信息專員辦公室已經將該公司告上法庭,指控其涉嫌數據隱私違規,導致多達970萬現有客戶和舊客戶的個人及敏感健康信息受到損害。
代理信息專員Elizabeth Tydd表示,Medibank“未能根據其規模、資源、所處理的敏感和個人信息的性質與數量,以及數據泄露對個人造成嚴重損害的風險,采取合理的措施保護其持有的個人信息”。
2022年10月,一個總部位于俄羅斯的網絡犯罪集團黑客攻擊了Medibank,并在當年12月將5GB副本數據發布在暗網上,聲稱這是竊取的全部數據。這次黑客攻擊影響了970萬現有客戶和舊客戶,其中包括180萬居住在澳大利亞的外國人。
今年早些時候,美國、澳大利亞和英國對一名俄羅斯男子實施制裁,稱其為此次黑客攻擊的幕后主使。這名男子名為Aleksandr Gennadievich Ermakov,可能與已解散的俄羅斯網絡勒索團伙REvil有關。
澳大利亞信息專員向澳大利亞法院表示,盡管Medibank在2022年的收入達到71億澳元,但其網絡安全預算卻僅為100萬澳元。
金監機構要求預留超12億元費用,用作網安系統升級
國際律師事務所Dentons表示,理論上,根據《隱私法》,澳大利亞聯邦法院理論上有權對每次違規行為處以最高222萬澳元的民事罰款,這意味著Medibank面臨最高21.5萬億澳元的民事罰款。該律師事務所指出:“盡管最終的民事罰款金額不太可能接近這個數字,但這一數字確實反映了案件的嚴重性。”
2023年6月,澳大利亞的金融監管機構審慎監管局(APRA)在審查中發現Medibank信息安全環境存在缺陷,隨后命令這家保險巨頭預留2.5億澳元(約合人民幣12億元)作為額外資本,以加強其信息安全系統。
APRA表示,這一修訂后的資本調整要求將保持有效,直到Medibank完成雙方同意的整改計劃并通過APRA對其風險管理實踐的目標技術評估為止。Medibank首席執行官David Koczkar當時表示,公司仍然“強大且資本充足”,并將繼續改善系統和流程,以為客戶提供更好的安全保障。
Rogers在8月22日的投資者會議上表示,公司預計在2025財年之后仍將面臨與數據泄露相關的進一步成本,但這些費用主要與訴訟相關。Medibank還面臨來自股東和受影響客戶的多起集體訴訟,可能導致大量賠付。
該公司表示,2023-2024財年凈收入達到81億澳元,比上一年增長了4.7%,運營利潤約為7億澳元,增長了7.9%。
參考資料:https://www.govinfosecurity.com/medibank-to-spend-au126m-on-post-breach-security-upgrade-a-26129