Australia tăng mức phạt đối với các công ty vi phạm dữ liệu

Sau một loạt các cuộc tấn công mạng liên quan đến Optus và Medibank cùng một số tổ chức khác, Australia sẽ trình lên quốc hội dự luật để tăng hình phạt đối với các công ty bị vi phạm dữ liệu lớn.

 Hàng loạt vụ tấn công mạng và rò rỉ thông tin khách hàng đã diễn ra trong vòng hơn một tháng qua tại Australia. Đầu tiên, cuộc tấn công nhằm vào Tập đoàn viễn thông Optus  đánh cắp dữ liệu cá nhân của khoảng 10 triệu tài khoản - đây là một trong những vụ tấn công lớn nhất từ trước đến nay của đất nước này.

Vài tuần sau, công ty bảo hiểm y tế Medibank Private cho biết 200GB dữ liệu thông tin cá nhân khách hàng của họ đã bị đánh cắp, bao gồm cả các chẩn đoán và quy trình y tế.

Trước đó không lâu, MyDeal, một cửa hàng bán lẻ trực tuyến thuộc sở hữu của Woolworths, cũng tiết lộ rằng 2,2 triệu thông tin chi tiết về khách hàng của họ đã bị lộ trong một vụ vi phạm dữ liệu.

Thậm chí, ngay cả những công ty nhỏ hơn như công ty bán rượu trực tuyến Vinomofo cũng trở thành nạn nhân của một vụ vi phạm dữ liệu, với 500.000 dữ liệu của khách hàng bị lộ.

Sau vụ tấn công vi phạm lớn nhất liên quan đến Optus và một loạt các chi nhánh, Bộ trưởng Tư pháp Úc Mark Dreyfus cho rằng chính phủ nước này cần có những quy định chặt chẽ hơn để điều chỉnh cách các công ty quản lý lượng lớn dữ liệu mà họ thu thập và tăng đáng kể hình phạt đối với các vi phạm quyền riêng tư tái diễn hoặc nghiêm trọng.

20230512-pg30.jpg

Theo đó, ông Dreyfus cho biết dự luật sẽ được trình lên quốc hội liên bang trong thời gian tới. Luật sẽ tăng mức phạt tối đa đối với các hành vi vi phạm quyền riêng tư nghiêm trọng hoặc nhiều lần từ 2,22 triệu AUD hiện nay lên 50 triệu AUD.

Ông nhấn mạnh khi người dân được yêu cầu giao dữ liệu cá nhân cho các công ty, họ có quyền mong đợi dữ liệu được bảo vệ. Những vi phạm quyền riêng tư lớn trong những tuần gần đây cho thấy các biện pháp bảo vệ hiện tại là không đầy đủ. Dự luật sắp tới sẽ cung cấp cho cho các cơ quan quản lý quyền hạn lớn hơn để giải quyết các vi phạm quyền riêng tư.

Nhận định về vấn đề này, Bộ trưởng An ninh mạng Clare O'Neil cũng đưa ra cảnh báo về một thế giới mới "đang bị tấn công mạng không ngừng". Các vi phạm của Medibank và Optus là một "hồi chuông cảnh tỉnh lớn" cho thấy sự cần thiết phải gia tăng quản lý và bảo vệ quyền riêng tư.

Trên thực tế, chính phủ Australia cũng đã xem xét một cuộc sửa đổi bổ sung sâu rộng về luật bảo mật và lưu giữ dữ liệu sau cuộc tấn công mạng nhắm vào Optus.

Dreyfus cho biết ngoài việc hoàn thành việc xem xét các luật về quyền riêng tư, chính phủ nước này sẽ xem xét lập pháp "những cải cách cấp bách hơn" vào cuối năm nay hoặc vào đầu năm 2023. Những cải cách ngay lập tức bên cạnh các hình phạt có thể bao gồm các biện pháp bảo vệ thông tin cá nhân và tăng cường các yêu cầu đối với các công ty để thông báo cho khách hàng về các hành vi vi phạm.

Ngoài ra, trong một tuyên bố từ Văn phòng Bộ trưởng Ngân khố Jim Chalmers gần đây cho biết, chính quyền Albanese thậm chí đã chuẩn bị các sửa đổi đối với Quy định Viễn thông 2021 để bảo vệ người Australia tốt hơn sau vụ vi phạm dữ liệu Optus. 

Cụ thể, các sửa đổi sẽ cho phép các công ty viễn thông tạm thời chia sẻ thông tin nhận dạng được chính phủ phê duyệt với các tổ chức dịch vụ tài chính được quản lý để cho phép họ thực hiện giám sát nâng cao và các biện pháp bảo vệ an toàn cho khách hàng bị ảnh hưởng bởi vi phạm dữ liệu.

"Các quy định được sửa đổi để cho phép Optus và các công ty viễn thông khác phối hợp tốt hơn với các tổ chức tài chính, Khối thịnh vượng chung cũng như các bang và vùng lãnh thổ, nhằm phát hiện và giảm thiểu rủi ro về sự cố an ninh mạng, gian lận, lừa đảo và các hoạt động mạng độc hại khác", tuyên bố viết./.