Wat ging er mis toen Optus werd aangeklaagd en welke lessen kunnen we leren?

De wielen van de rechtspraak draaien soms langzaam. Zo is het ook in Australië, waar de privacytoezichthouder... heeft uiteindelijk een civiele boeteprocedure aangespannen tegen telecomgigant Optus voor een datalek uit 2022 dat nog steeds gevolgen heeft.

De federale rechtbank kan een boete opleggen van maximaal AU$ 2.2 miljoen (£ 1.1 miljoen) per overtreding, en de Australische informatiecommissaris (AIC) beweert dat er één overtreding is gepleegd voor elk van de 9.5 miljoen personen waarvan Optus beweert dat ze "ernstig inbreuk hebben gemaakt op hun privacy". Hoewel zeer onwaarschijnlijk, betekent dit een theoretische maximale boete van meer dan AU$ 20 biljoen (£ 9.8 biljoen).

Maar misschien nog wel belangrijker dan de uitkomst van de zaak is wat lokale bedrijven van het incident kunnen leren – over hoe ze omgaan met gegevens en risicobeheer.

Een inbreuk die Australië schokte

Het incident dateert van september 2022, toen een cybercrimineel toegang kreeg tot de persoonlijke gegevens van miljoenen klanten bij het op één na grootste telecombedrijf van Australië. Dit omvatte:

• Namen, geboortedata, huisadressen, telefoonnummers en e-mailadressen
• Paspoortnummers, rijbewijsnummers, Medicare-kaartnummers, geboorteakte- en huwelijksaktegegevens, en identificatiegegevens van de strijdkrachten, defensiemacht en politie

De AIC beweert dat Optus "geen redelijke stappen heeft ondernomen" om deze informatie te beschermen. Volgens de AIC zijn de omvang en de middelen van het bedrijf, de omvang van de datalekken en het risico op schade voor individuen bij openbaarmaking van de gegevens het gevolg.

Hoeveel schade de slachtoffers daadwerkelijk hebben geleden, is omstreden. Hoewel de dader aanvankelijk een losgeld van 1 miljoen dollar (£740,000) eiste, kwam hij later op zijn beslissing terug en beweerde hij de gegevens te hebben verwijderd. Of deze zijn doorverkocht of gebruikt door fraudeurs, blijft een raadsel. Maar de emotionele druk die dit op talloze Australiërs en de overheidsorganisaties die identiteitsdocumenten opnieuw moesten uitgeven, legde, is duidelijk.

De nationale verontwaardiging die door het incident ontstond, luidde een nieuw cybersecurityregime in met hogere boetes voor datalekken, en de eerste zelfstandige wet van het land op dit gebied: de Wet cyberveiligheidDe Australian Communications and Media Authority (ACMA) klaagt Optus ook aan wegens overtreding van de Telecommunications (Interception and Access) Act uit 1979.

Wat is er gebeurd?

De AIC heeft de lippen stijf op elkaar gehouden over de details van de inbreuk. De documenten in de ACMA-zaak zijn echter ingezien door Beveiligingskaart Vertel een gedetailleerd verhaal over wat er is gebeurd en wat er mis is gegaan. De beveiligingsleverancier beweert dat:

• De dreigingsactor kreeg toegang tot Optus-gegevens via een verkeerd geconfigureerde, inactieve API
• De API werd in 2020 internetgericht, maar de toegangscontroles waren niet langer effectief vanwege een programmeerfout die in 2018 werd geïntroduceerd
• Hoewel soortgelijke problemen in 2021 werden gevonden en opgelost op het hoofddomein van Optus, bleef het subdomein met de API 'blootgesteld, niet bewaakt en niet gepatcht'
• De dreigingsactor kon gedurende meerdere dagen klantgegevens opvragen en daarbij tienduizenden IP-adressen doorlopen om detectie te ontwijken

Afgezien van de beveiligingsfout zelf, zijn er vraagtekens gerezen over de reden waarom miljoenen gestolen records van voormalige klanten werden verwijderd. De best practice voor dataminimalisatie stelt dat veel van deze records verwijderd hadden moeten worden. Er waren ook klachten over de crisiscommunicatie-inspanningen van OptusHet bedrijf beweerde aanvankelijk dat het slachtoffer was geworden van een "geavanceerde aanval", wat later door experts werd betwist. Sommigen klaagden vervolgens dat het bedrijf traag was met het vrijgeven van belangrijke details aan bezorgde klanten, het aanbieden van excuses, het nemen van verantwoordelijkheid en het verstrekken van bruikbaar advies aan de getroffenen.

"De inbreuk op Optus is een duidelijke herinnering dat het beheersen van cyberrisico's twee kanten heeft. De eerste kant zit in de softwareontwikkeling zelf: het identificeren en beheersen van risico's vóór, tijdens en na de livegang van de code. Onveilige software of een verkeerde configuratie kan grote gevolgen hebben wanneer er klantgegevens bij betrokken zijn", vertelt Mac Moeun, directeur Patterned Security, aan ISMS.online.

Ten tweede hoe u met het incident omgaat. Zorg voor een bewezen, getest plan voor noodherstel, wees open en eerlijk, communiceer vroeg en vaak en geef klanten duidelijkheid over de gevolgen. Met deze stappen heeft u de beste kans om het vertrouwen van uw klanten te behouden.

Welke lessen kunnen we hieruit leren?

De Optus-inbreuk was de eerste in een lange reeks grote incidenten die Australië troffen, waaronder Medibank en Latitude Financial. Maar als eerste en een van de ergste, is het een waarschuwend verhaal voor velen. Moederbedrijf Singtel opzij zetten AU$140 miljoen (£68.5 miljoen) om de kosten van de gevolgen te dekken, en er waren berichten over aanzienlijke klantverloop naar aanleiding van het incident.

Vanuit een puur technisch perspectief moeten CISO's het volgende overwegen:

• Het volgen van potentiële beveiligingsrisico's zoals inactieve API's en onbeheerde activa
• Het implementeren van gedragsgebaseerde monitoring om verdachte activiteiten te signaleren (zoals IP-rotatie)
• Gegevensminimalisatie als best practice, waarbij ervoor wordt gezorgd dat alles wat de organisatie niet langer nodig heeft, wordt verwijderd
• Veilige coderingspraktijken (DevSecOps), inclusief geautomatiseerd scannen

Ryan Sherstobitoff, Field Chief Threat Intelligence Officer bij SecurityScorecard, vertelt ISMS.online: "Het lek in Optus onderstreept de noodzaak van strikte API-inventarissen en -audits (inclusief inactieve eindpunten), veilige codering met continue kwetsbaarheidsscans, sterk beleid voor het bewaren en verwijderen van gegevens en geavanceerde anomaliedetectie om aanvallers met weinig verfijning maar die wel effectief zijn, te detecteren."

Los daarvan richt de AIC zich op de noodzaak van gelaagde beveiligingsmaatregelen, duidelijke domeineigenaarschap, robuuste beveiligingsmonitoring en regelmatige evaluaties. Organisaties kunnen echter nog een stap verder gaan. Een meer holistische aanpak zou zijn om best practice-normen zoals ISO 27001 en 27701 te implementeren (respectievelijk voor de implementatie van een Information Security Management System en een Privacy Information Management System).

Ze bieden een uitgebreid, risicogebaseerd raamwerk voor het beheren en beschermen van gevoelige gegevens, waaronder persoonlijk identificeerbare informatie (PII). De weg naar naleving zorgt ervoor dat organisaties inzicht krijgen in welke gegevens ze beheren, waar beveiligingslekken zich voordoen en welke controles en processen deze kunnen helpen dichten. Cruciaal is dat de normen het idee van continue monitoring en verbetering promoten, zodat organisaties die aan de normen voldoen zich succesvol kunnen aanpassen aan veranderende IT-infrastructuur, dreigingstrends en andere factoren.

"Deze ISMS-frameworks bieden gestructureerde, controleerbare controles voor activabeheer, veilige ontwikkeling, monitoring en PII-levenscyclusbeheer. Hiermee kunnen organisaties zero-trustprincipes handhaven, de blootstelling van gegevens minimaliseren en blinde vlekken op het gebied van codering of retentie op de lange termijn vermijden", aldus Sherstobitoff.

De Optus-inbreuk is misschien drie jaar geleden, maar werpt nog steeds een schaduw over Australische bedrijven. Als meer mensen leren van de fouten uit het verleden, is dat geen slechte zaak.