Resumo

  • Evento confirmado:A Medibank divulgou pela primeira vez atividades incomuns na rede em outubro de 2022 e depois confirmou que um criminoso havia roubado dados de clientes, incluindo dados pessoais e de sinistros de saúde. A empresa informou posteriormente a clientes e investidores que clientes atuais e antigos da Medibank, ahm e estudantes internacionais foram afetados.
  • Dados sensíveis mudaram o modelo de dano:O incidente não envolveu apenas nomes, endereços e detalhes de contato. Atualizações públicas da Medibank e materiais regulatórios descrevem informações relacionadas a sinistros de saúde, dados de apólices e informações de identidade, tornando as consequências emocionais, sociais e práticas, mesmo quando a fraude financeira direta não pode ser comprovada a partir do registro público.
  • Registro regulatório:A OAIC ajuizou ação de penalidade civil em junho de 2024 alegando que a Medibank não tomou medidas razoáveis para proteger informações pessoais. A APRA impôs um aumento de adequação de capital de US$ 250 milhões em 2023 após identificar fraquezas no ambiente de controle de segurança da informação da Medibank. Esses são processos legais e prudenciais distintos, não a mesma constatação.
  • Avaliação:Os criminosos foram responsáveis pelo roubo e publicação. A Medibank controlou a garantia de acesso remoto, monitoramento, minimização de dados, resposta, notificação e suporte ao cliente. As agências públicas controlaram investigação, ação prudencial, aplicação de privacidade e sanções. Os clientes controlaram apenas um conjunto restrito de medidas de proteção posteriores depois que os fatos mais sensíveis já haviam deixado o ambiente da Medibank.

(Conteúdo completo traduzido)