澳大利亚最大的健康保险公司Medibank表示，为应对2022年发生的勒索软件事件所带来的影响，预计在未来三年内将总共投入1.26亿澳元（约合人民币6.07亿元）用于升级其IT安全系统。

Medibank在其财年终结声明中表示，截至今年6月的近12个月内，已投入近4000万澳元用于升级其IT系统。首席财务官Mark Rogers在8月22日的财报电话会议上告诉投资者，预计今年的投入金额将与去年持平。

此前遭到个保机构起诉，被指责网安预算过低

此前，澳大利亚信息专员办公室已经将该公司告上法庭，指控其涉嫌数据隐私违规，导致多达970万现有客户和旧客户的个人及敏感健康信息受到损害。

代理信息专员Elizabeth Tydd表示，Medibank“未能根据其规模、资源、所处理的敏感和个人信息的性质与数量，以及数据泄露对个人造成严重损害的风险，采取合理的措施保护其持有的个人信息”。

2022年10月，一个总部位于俄罗斯的网络犯罪集团黑客攻击了Medibank，并在当年12月将5GB副本数据发布在暗网上，声称这是窃取的全部数据。这次黑客攻击影响了970万现有客户和旧客户，其中包括180万居住在澳大利亚的外国人。

今年早些时候，美国、澳大利亚和英国对一名俄罗斯男子实施制裁，称其为此次黑客攻击的幕后主使。这名男子名为Aleksandr Gennadievich Ermakov，可能与已解散的俄罗斯网络勒索团伙REvil有关。

澳大利亚信息专员向澳大利亚法院表示，尽管Medibank在2022年的收入达到71亿澳元，但其网络安全预算却仅为100万澳元。

金监机构要求预留超12亿元费用，用作网安系统升级

国际律师事务所Dentons表示，理论上，根据《隐私法》，澳大利亚联邦法院理论上有权对每次违规行为处以最高222万澳元的民事罚款，这意味着Medibank面临最高21.5万亿澳元的民事罚款。该律师事务所指出：“尽管最终的民事罚款金额不太可能接近这个数字，但这一数字确实反映了案件的严重性。”

2023年6月，澳大利亚的金融监管机构审慎监管局（APRA）在审查中发现Medibank信息安全环境存在缺陷，随后命令这家保险巨头预留2.5亿澳元（约合人民币12亿元）作为额外资本，以加强其信息安全系统。

APRA表示，这一修订后的资本调整要求将保持有效，直到Medibank完成双方同意的整改计划并通过APRA对其风险管理实践的目标技术评估为止。Medibank首席执行官David Koczkar当时表示，公司仍然“强大且资本充足”，并将继续改善系统和流程，以为客户提供更好的安全保障。

Rogers在8月22日的投资者会议上表示，公司预计在2025财年之后仍将面临与数据泄露相关的进一步成本，但这些费用主要与诉讼相关。Medibank还面临来自股东和受影响客户的多起集体诉讼，可能导致大量赔付。

该公司表示，2023-2024财年净收入达到81亿澳元，比上一年增长了4.7%，运营利润约为7亿澳元，增长了7.9%。

参考资料：https://www.govinfosecurity.com/medibank-to-spend-au126m-on-post-breach-security-upgrade-a-26129

声明：本文来自安全内参，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。