CANBERRA, Australie (AP) – L’Australie pourrait mettre en place de nouvelles lois strictes sur la protection des données cette année en réponse urgente à une cyberattaque qui a volé à une entreprise de télécommunications les données personnelles de 9,8 millions de clients, a déclaré jeudi le procureur général.
Le procureur général Mark Dreyfus a déclaré que le gouvernement apporterait des « réformes urgentes » à la loi sur la protection des renseignements personnels à la suite du piratage sans précédent d’Optus la semaine dernière.le deuxième opérateur de téléphonie mobile d’Australie.
Dreyfus a déclaré « Je pense qu’il est possible » que la loi soit modifiée dans les quatre semaines restantes que le Parlement doit siéger cette année.
« Je vais regarder très attentivement au cours des quatre prochaines semaines si nous pouvons ou non faire adopter des réformes de la loi sur la protection des renseignements personnels au Parlement avant la fin de l’année », a déclaré Dreyfus aux journalistes. Le Parlement siègera ensuite le 25 octobre.
Dreyfus a déclaré que les sanctions pour non-protection des données personnelles devaient être augmentées afin que les conseils d’administration des entreprises ne puissent pas rejeter les amendes comme un « coût de faire des affaires ».
Les « quantités absolument énormes » de sociétés de données clients détenues pendant des années devraient être justifiées en vertu de la loi modifiée, a déclaré Dreyfus.
« Les entreprises doivent considérer le stockage des données non pas comme un atout, mais comme un passif ou un passif potentiel », a déclaré Dreyfus. « Pendant trop longtemps, les entreprises ont uniquement considéré les données comme un atout qu’elles peuvent utiliser commercialement. »
Le gouvernement accuse la cybersécurité laxiste d’Optus, une filiale de Singapore Telecommunications Ltd., également connue sous le nom de Singtel, d’avoir volé les informations personnelles de ses clients actuels et anciens.
Singtel a présenté ses excuses dans un communiqué publié mercredi par sa direction disant : « Nous sommes profondément désolés pour toutes les personnes touchées par le vol de données ».
« Depuis l’incident, notre objectif a été de soutenir les efforts d’Optus pour aider les clients concernés et renforcer leurs contrôles de sécurité », indique le communiqué.
« La sécurité de l’information est d’une importance capitale pour le groupe Singtel et une priorité absolue dans toutes ses unités commerciales et nous investissons des ressources importantes pour renforcer continuellement nos défenses contre les menaces émergentes », ajoute le communiqué.
Les données comprenaient les numéros de passeport, de permis de conduire et d’identification nationale des soins de santé qui pourrait être utilisé pour le vol d’identité et la fraude.
Les autorités critiquent l’échec initial d’Optus à divulguer que les numéros d’assurance-maladie faisaient partie des données volées. Cela est devenu évident mardi lorsque le pirate informatique a vidé les enregistrements de 10 000 clients sur le dark web – six jours après qu’Optus a découvert la cyberattaque.
La réponse législative urgente est distincte d’un examen plus large de la Loi sur la protection des renseignements personnels qui a commencé il y a trois ans. La loi a été adoptée en 1988 et les critiques affirment qu’elle doit absolument être adaptée à l’ère numérique.
Optus pourrait être condamné à une amende maximale de 2 millions de dollars australiens (1,3 million de dollars) pour avoir enfreint la loi sur la protection de la vie privée, a déclaré le gouvernement.
Il pourrait être condamné à une amende de centaines de millions de dollars pour une violation de sécurité similaire en vertu des lois de l’Union européenne, a déclaré le gouvernement.
Les soumissions à l’examen de la loi sur la protection de la vie privée ont suggéré des sanctions pour les violations équivalant à 10 % des revenus des opérations australiennes.
Le PDG d’Optus, Kelly Bayer Rosmarin, s’est opposé à l’augmentation des amendes, déclarant mardi à l’Australian Broadcasting Corp. : « Honnêtement, je ne sais pas quelles sanctions profitent à quiconque. »
Optus affirme qu’il a été la cible d’une cyberattaque sophistiquée qui a pénétré plusieurs couches de sécurité.
Après une réunion d’urgence avec les régulateurs des banques et des consommateurs, le ministre des Services financiers, Stephen Jones, a déclaré que les « fraudeurs » et les « escrocs » commençaient déjà à utiliser les données volées, notamment les numéros de téléphone et les adresses e-mail.
Avec des informations personnelles volées à 38% de la population australienne de 26 millions dans le piratage, « vous ne pouvez pas surestimer l’impact de cette violation sur les problèmes des consommateurs », a déclaré Jones.
Il a mis en garde les clients Optus compromis contre l’activation des URL qu’ils reçoivent par SMS ou par e-mail, car ils pourraient provenir de criminels tentant de voler plus d’informations.
« Nous travaillons tous de notre mieux pour essayer de nous frayer un chemin à travers la longue queue de problèmes qui seront la conséquence de cette violation massive de données », a déclaré Jones.