IDCare, een non-profit organisatie die slachtoffers van internetcriminaliteit helpt, zei dat Australië onbedoeld een cybercriminaliteitsgolf kan aanwakkeren door het voor toezichthouders gemakkelijker te maken bedrijven te beboeten voor slechte gegevensbeveiliging en het betalen van losgeld niet strafbaar te stellen.

De boodschap kwam in een ongepubliceerde verklaring, die door Reuters is ingezien, aan de procureur-generaal die werkt aan een update van de privacywetgeving voor het internettijdperk, net nu het land een piek ervaart in grootschalige gegevensdiefstallen die volgens de regering bijna elk gezin hebben getroffen.

"Een belangrijke reden waarom Australische overheden en bedrijven steeds vaker het doelwit zijn van ransomware-aanvallen ... is omdat we betalen", aldus IDCare in de inzending.

De standpunten van IDCare zullen zwaar wegen bij een herziening van de privacywetgeving door de regering, die het naar verwachting gemakkelijker zal maken om bedrijven die er niet in slagen klantgegevens te beschermen te beboeten of aan te klagen, aangezien IDCare is uitgegroeid tot een van Canberra's referentiegroepen om slachtoffers van cybercriminaliteit te helpen.

Canberra verhoogde de maximumboete van A$ 2,2 miljoen naar A$ 50 miljoen ($ 34 miljoen) voor bedrijven die er niet in slagen diefstal van gegevens tegen te gaan na de eerste grote aanval in oktober, waarbij informatie werd buitgemaakt van ongeveer 10 miljoen klantenrekeningen bij nummer 2, Optus, eigendom van Singapore Telecommunications.

De regering overweegt nu om het gemakkelijker te maken die boete op te leggen en het voor particulieren eenvoudiger te maken om een aanklacht in te dienen wegens diefstal van persoonlijke informatie.

IDCare zei dat Australië door de dreiging van hoge boetes bedrijven zou dwingen om te kiezen of ze A$1 miljoen betalen, de typische kosten van een losgeldeis, of de autoriteiten op de hoogte brengen en een boete tot A$50 miljoen riskeren.

"In termen van ransomware-aanvallen is Australië open voor zaken", aldus het bedrijf.

IDCare merkte op dat Australië in januari 2023 het vijfde land was dat het meest het doelwit was van gegevensdieven, veel erger dan andere landen in verhouding tot zijn economie en bevolking.

Zonder regels die losgeldbetalingen verbieden of ontmoedigen, is het volgens IDCare "onwaarschijnlijk dat ransomware-groepen die zich op onze organisaties richten hun activiteiten zullen inperken".

Een woordvoerder van procureur-generaal Mark Dreyfus zei dat de regering snel had gehandeld om de straffen te verhogen na grootschalige datalekken en dat zij 116 voorstellen zou overwegen in een herziening van de privacywetgeving alvorens verdere stappen te nemen.

Het Office of the Australian Information Commissioner zei dat zijn aanpak bij het eisen van sancties of het vaststellen van nieuwe regels "pragmatisch, op bewijs gebaseerd en proportioneel" zou zijn.

VRAAGSTUKKEN

Sinds Australië het melden van datalekken in 2018 verplicht stelde voor bedrijven, zei IDCare dat de vraag van de gemeenschap naar zijn diensten explosief was gestegen.

Binnen een maand na de Optus-hack onthulde de topzorgverzekeraar Medibank Private Ltd dat miljoenen van zijn rekeningen waren gecompromitteerd, waarbij mogelijk gevoelige medische informatie van honderdduizenden mensen was gestolen.

Vorige maand zei Latitude Financial Group Holdings Ltd, een aanbieder van consumentenkrediet, dat hackers gegevens hadden gestolen van ongeveer 14 miljoen klantenrekeningen over een periode van bijna 20 jaar.

In alle gevallen verwezen de autoriteiten de getroffen klanten naar IDCare, dat slachtoffers begeleidt bij het afsluiten van blootgestelde rekeningen, het inlichten van relevante dienstverleners en het voorkomen van verliezen.

Om de toename van het aantal oproepen tegen te gaan, zet IDCare nu "major incident" websites op voor mensen die getroffen zijn door inbreuken, vertelde zijn chief commercial officer Mark Rowley aan Reuters.

Het bedrijf is ook van plan om tegen medio 2023 een nieuw ondersteuningscentrum te openen in Sydney, naast de centra in Brisbane, Perth en Nieuw-Zeeland, en om het personeelsbestand uit te breiden van 40 naar 60 personen.

"Het lijdt geen twijfel dat sinds oktober vorig jaar de golf van aanhoudende data-incidenten zich heeft voortgezet, zo niet geëscaleerd, dus het heeft echt een versnelling van de plannen vereist," zei Rowley.

"Ik denk niet dat iemand van ons dit jaar gebeurtenissen van deze omvang in Australië had voorzien."

($1 = 1,4806 Australische dollar)