David Koczkar, giám đốc điều hành công ty bảo hiểm y tế Medibank. Ảnh: SBS

 

AUSTRALIA - Medibank cho biết sẽ không trả khoản tiền chuộc cho cuộc tấn công mạng vào tháng trước nhắm vào hoạt động kinh doanh của mình. Vụ tấn công làm lộ dữ liệu cá nhân của khoảng 9,7 triệu khách hàng hiện tại và trước đây. Giám đốc điều hành của công ty cho biết việc trả tiền chuộc không chắc chắn dẫn đến việc tin tặc trả lại dữ liệu khách hàng bị đánh cắp hoặc ngăn chặn thông tin này bị công bố.

 

Medibank cho biết họ sẽ không trả bất kỳ khoản tiền chuộc nào cho tin tặc đã đánh cắp tất cả dữ liệu khách hàng của mình, sau khi tiết lộ gần 500.000 yêu cầu bồi hoàn sức khỏe đã bị truy cập.

 

Công ty bảo hiểm sức khỏe lớn nhất của Úc cho biết tên, ngày sinh, địa chỉ, số điện thoại và địa chỉ email của 9,7 triệu khách hàng cũ và hiện tại của họ cũng bị truy cập, cùng với số Medicare và hộ chiếu của một số khách hàng.

 

Nhưng giám đốc điều hành của Medibank, David Koczkar, nói rằng tin tặc có thể sẽ không trả lại dữ liệu ngay cả khi Medibank trả tiền chuộc. Ngoài ra, việc trả tiền chuộc có thể tạo động cơ cho những tên tội phạm khác làm điều tương tự.

"Lời khuyên của chúng tôi rất rõ ràng. Trả bất kỳ khoản tiền nào cũng không bảo đảm rằng các hành vi vi phạm sẽ không xảy ra và ta không thể nào tin tưởng vào bọn tội phạm sẽ trả lại dữ liệu của khách hàng cho chúng tôi."

 

Khoảng 300.000 yêu cầu bồi hoàn sức khỏe từ các khách hàng AHM và khoảng 20.000 khách hàng quốc tế đã bị tiếp cận.

 

Không có thẻ tín dụng hoặc chi tiết ngân hàng nào được truy cập.

Giám đốc điều hành Medibank, David Koczka, nói “Trên thực tế, trả tiền sẽ chỉ làm tăng khả năng tội phạm tiếp tục tống tiền khách hàng của chúng tôi và khiến nhiều người Úc gặp rủi ro hơn. Một lần nữa, điều này nhất quán với chính sách của chính phủ. Và đó là lý do tại sao tôi đưa ra quyết định này.”

 

Ông Koczkar cho biết công ty bảo hiểm sẽ làm việc với chính phủ liên bang, các cơ quan và công ty khác, đồng thời đã tiến hành một cuộc đánh giá độc lập về vụ này.

 

"Chúng tôi biết rằng tin tặc đã đánh cắp tài khoản và mật khẩu của một trong số những người của chúng tôi có đặc quyền truy cập vào hệ thống. Đó là cách chúng xâm nhập. Và đó là cách chúng đánh cắp dữ liệu.”

“Như một phần điều tra nội bộ do chúng tôi phân tích và bây giờ là đánh giá độc lập, chúng tôi đảm bảo rút ra được kinh nghiệm từ điều này.”

 

“Chúng tôi làm những gì có thể để bảo vệ khách hàng của mình hơn nữa và chia sẻ kiến thức này. Tội phạm mạng là một nguy cơ luôn hiện hữu.”

“Đó là nguy cơ ngày càng tăng ở đất nước này. Cam kết của chúng tôi là chia sẻ tất cả những gì chúng ta có thể học được với chính phủ, với các công ty khác để họ có thể làm tất cả để bảo vệ người Úc trong tương lai."

 

Bộ trưởng Bộ Dịch vụ Tài chính Liên bang Stephen Jones cho biết vụ tấn công Medibank chỉ là vụ mới nhất trong tiến trình gia tăng liên tục các vụ tấn công dữ liệu trong những năm gần đây.

 

"Trong hai năm qua, chúng tôi đã chứng kiến sự bùng nổ của các vụ lừa đảo xảy ra trong đại dịch.

“Trong 12 tháng qua, khoản thiệt hại trị giá 2 tỷ đô-la cho hoạt động lừa đảo. Chúng tôi dự đoán rằng trong 12 tháng tới, con số sẽ tăng gấp đôi lên 4 tỷ đô-la.”

“Khi các gia đình Úc đang gặp khó khăn do chi phí sinh hoạt tăng quá lớn, để mất 2 tỷ đô la do tội phạm tài chính và kinh tế, con số đó nhiều hơn bất cứ điều gì mà chúng ta có thể chịu đựng."

 

Ông Jones cũng đã công bố một bước nữa trong chính sách chống lừa đảo của mình.

 

Điều này bao gồm việc ban hành luật mới vào tháng trước sẽ tăng tiền phạt đối với các công ty có liên quan đến vi phạm dữ liệu, với mức phạt tối đa tăng từ 2,2 triệu đô la lên ít nhất 50 triệu đô-la.

 

Ông Jones nói rằng chính phủ cũng đang làm việc để theo dõi nhanh thời gian phản hồi đối với các vụ vi phạm dữ liệu quy mô lớn.

 

Bộ trưởng Bộ Dịch vụ Tài chính Liên bang Stephen Jones “Chính phủ sẽ thành lập một trung tâm chống lừa đảo quốc gia thông qua cơ quan ACCC để đảm bảo rằng chúng tôi có thể phối hợp và phản ứng nhanh chóng trong thời gian thực đối với những trò gian lận đang hoành hành khắp nền kinh tế.”

"Điều này sẽ được đặt lên hàng đầu trong công việc mà chúng tôi đang tiến hành, áp dụng các quy tắc mới với các công ty viễn thông, với các nền tảng mạng xã hội, với các tổ chức tài chính để đảm bảo rằng chúng tôi có một tiêu chuẩn cao về việc bảo vệ người tiêu dùng thông qua tất cả các tổ chức đó."

 

Tiến sĩ Clement Canonne là một chuyên gia an ninh mạng từ Đại học Sydney.

 

Ông nói rằng cần phải rõ ràng hơn trong cách các công ty và chính phủ phản ứng với các vụ tấn công dữ liệu.

 

"Ở đây có một số cấp độ. Cấp độ đầu tiên là cách chúng ta bảo vệ dữ liệu, rõ ràng tồn tại rất nhiều lỗi ở đó. Chúng ta không bảo vệ dữ liệu tốt.”

“Cấp độ tiếp theo là chúng ta nên làm gì khi xảy ra các vụ tấn công dữ liệu, đây là một vấn đề hoàn toàn mới. Chúng ta có nói đồng ý khi có nhu cầu đòi tiền chuộc không? Chúng ta nên minh bạch như thế nào với khách hàng của mình?”

Tôi nghĩ ngay bây giờ, các chính sách vẫn chưa hoàn chỉnh. Nó không giống như một trò lừa đảo. Mọi người không biết họ sẽ phản ứng như thế nào khi những điều đó xảy ra."

 

Phát ngôn viên nội vụ của phe đối lập Karen Andrews cho biết các vi phạm dữ liệu của khách hàng Medibank, cùng với các vụ tấn công tương tự tại Optus chứng tỏ chính phủ đã bỏ qua vấn đề an ninh mạng.

 

Bà Andrews kêu gọi chính phủ ủng hộ một đề xuất của liên đảng, trong đó đưa ra một tội danh độc lập đối với hành vi tống tiền trên mạng.

 

Việc xem xét Đạo luật về quyền riêng tư cũng sẽ được hoàn thành vào cuối năm nay, với các khuyến nghị sẽ được đưa ra để cải tổ thêm.