オーストラリアの皆さん、おめでとうございます。今四半期、情報コミッショナーに242件の侵害が報告されましたが、ランサムウェア攻撃の被害に遭った人はほとんどいませんでした。
今年4月から6月の間にオーストラリア情報コミッショナー事務局(OAIC)に報告されたすべてのデータ侵害のうち、ランサムウェア攻撃はわずか2件だった。
しかし、オーストラリアのMyHealth Recordをめぐる議論を考慮すると、統計は厳しい状況を示している。医療部門では4月から6月にかけて最も多くの報告義務違反が記録された。
本日発表されたOAICデータは、通知制度が2018年2月22日に施行されて以来、データ侵害統計の最初の四半期分となります。
報告書の対象となった各月において、違反通知は増加しており、これはおそらく、法律に対する企業の認識が高まっていることを示している。通知は4月に65件、5月に87件、6月に90件あり、四半期全体で合計242件であった。
100万人以上の顧客に影響を与えたと報告された侵害は1件のみでした。OAICはどの組織が侵害を受けたかを特定していませんが、Vulture Southがこの3ヶ月間で把握している唯一の大規模侵害候補は、5月に公表されたコモンウェルス銀行のバックアップテープ紛失事件です。
当時、私たちは、この侵害による実質的な影響はおそらく限定的であると主張しました。テープは破棄されるはずでしたし、実際に破棄された可能性もありますが、たとえ破棄されなかったとしても、そこから有用なデータを復旧することは困難でしょう。
侵害の大半(223件)は5,000人未満に影響を与え、93件の侵害は10人以下に影響を与えました。
Vulture South は、個人に影響を及ぼすデータ侵害 (報告されている事件は 51 件) はその個人を標的にしている可能性が高く、電子メール アドレスの大量漏洩よりも被害者にはるかに大きな影響を及ぼす可能性があると指摘しています。
医療分野では「人為的ミス」による侵害が29件、「犯罪的攻撃」による侵害が20件発生しており、OAICが報告した5つの業界分野の中で、両方の侵害発生源が上位を占めた。
OAICによる業界別のデータ侵害分析
これは2つの理由で心配だ。第一に、オーストラリア人はMyHealth Recordの議論を受けて、すでに健康データのセキュリティについて非常に敏感になっている。第二に、OAICのデータでは、この分野での侵害件数が過小評価されている可能性があるからだ。
アナリストのジャスティン・ウォーレン氏が指摘したように、公立病院はこの制度の対象外であり、データにはマイヘルス記録法の対象となる通知も含まれていないからだ。
報告義務のあるデータ漏洩の最も多かった業界は医療でしたが、公立病院はプライバシー法の対象外であるため*除外*されています。また、#MyHealthRecord法で義務付けられている通知も除外されています: https://t.co/Fv50DtBAKq
— ジャスティン・ウォーレン(@jpwarren)2018年7月30日
政府は、MyHealth Record の漏洩はまだ起きていないと考えている。
マイヘルスレコード導入騒動は続く:労働党は保留を要求
続きを読む
医療分野における侵害のほとんどは人為的ミスによるものとされています(「bcc:」フィールドの使い方を覚え、人名を入力、オートコンプリートは信用しないでください)。一方、金融分野は「サイバーインシデント」でトップに立つという不名誉な栄誉に輝きました。金融分野で報告された14件の侵害のうち、13件はフィッシングまたは「方法不明」による認証情報の漏洩によるもので、1件は認証情報に対するブルートフォース攻撃の成功によるものでした。
全業界において、インシデントの 59 パーセントは悪意のある攻撃、36 パーセントは人為的ミス、5 パーセントは何らかのシステム障害によるものでした。®
