Terwyl Optus gedagvaar word, wat het verkeerd geloop en watter lesse kan ons leer?

Deur Phil Muncaster • 25 September 2025

Die wiele van geregtigheid beweeg soms stadig. So is dit in Australië, waar die privaatheidsreguleerder uiteindelik siviele boete-aksies aanhangig gemaak teen die telekommunikasiereus Optus vir 'n data-oortreding in 2022 wat steeds tot vandag toe weerklink.

Die federale hof kan 'n siviele boete van tot AU$2.2 miljoen (£1.1 miljoen) oplê vir elke oortreding, en die Australiese inligtingskommissaris (AIC) beweer een oortreding vir elk van die 9.5 miljoen individue wie se privaatheid volgens Optus "ernstig ingemeng het". Alhoewel dit hoogs onwaarskynlik is, beteken dit 'n teoretiese maksimum boete van meer as AU$20 triljoen (£9.8 triljoen).

Maar waarskynlik belangriker as die uitkoms van die saak is wat plaaslike besighede uit die voorval kan leer – in terme van hoe hulle data bestuur en risikobestuur.

'n Oortreding wat Australië geskud het

Die voorval dateer terug na September 2022 toe 'n bedreigingsakteur daarin geslaag het om toegang tot die persoonlike inligting van miljoene kliënte by Australië se tweede grootste telekommunikasiemaatskappy te verkry. Dit het ingesluit:

Name, geboortedatums, huisadresse, telefoonnommers en e-posadresse
Paspoortnommers, bestuurderslisensienommers, Medicare-kaartnommers, geboortesertifikaat- en huweliksertifikaatinligting, en identifikasie-inligting van gewapende magte, weermagte en polisie

Die AIC beweer dat Optus “nie redelike stappe gedoen het nie” om hierdie inligting te beskerm, met verwysing na die maatskappy se grootte en hulpbronne, die hoeveelheid data wat oortree is en die risiko van skade aan individue as gevolg van die openbaarmaking daarvan.

Presies hoeveel skade slagoffers werklik gely het, word betwis. Alhoewel die bedreigingsakteur oorspronklik 'n losprys van VS$1 miljoen (£740,000) geëis het, later van koers verander het en beweer het dat hy die data uitgevee het, bly dit 'n raaisel of dit deur bedrieërs verkoop of gebruik is. Maar die emosionele druk wat dit op tallose Australiërs en die regeringsorganisasies wat identiteitsdokumente moes heruitreik, geplaas het, is duidelik.

Die nasionale verontwaardiging wat deur die voorval veroorsaak is, het 'n nuwe kuberveiligheidsregime met hoër boetes vir databreuk, en die land se eerste alleenstaande wet op hierdie gebied: die Cyber Security ActDie Australiese Kommunikasie- en Media-owerheid (ACMA) dagvaar Optus ook vir die oortreding van die Wet op Telekommunikasie (Onderskepping en Toegang) van 1979.

Wat het gebeur?

Die AIC was stil oor die besonderhede van die oortreding. Die liassering in die ACMA-saak wat egter deur die Sekuriteit telkaart Vertel 'n gedetailleerde storie oor wat gebeur het en wat verkeerd geloop het. Die sekuriteitsverskaffer beweer dat:

Die bedreigingsakteur het toegang tot Optus-data verkry via 'n verkeerd gekonfigureerde, dormante API.
Die API het in 2020 internetgerig geword, maar die toegangsbeheer daarvan is ondoeltreffend gemaak weens 'n koderingsfout wat in 2018 aangebring is.
Alhoewel soortgelyke probleme in 2021 op die hoof Optus-domein gevind en reggestel is, is die subdomein wat die API bevat, "blootgestel, ongemonitor en ongepatch" gelaat.
Die bedreigingsakteur kon kliënterekords oor etlike dae navraag doen en tienduisende IP-adresse deursoek om opsporing te vermy.

Afgesien van die sekuriteitsprobleem self, is daar vraagtekens geopper oor waarom miljoene oortredende rekords met voormalige kliënte verband hou. Beste praktyke vir data-minimalisering bepaal dat baie hiervan verwyder moes gewees het. Daar was ook klagtes oor Optus se krisiskommunikasiepogingsDie firma het oorspronklik beweer dat hulle die slagoffer van 'n "gesofistikeerde aanval" was, wat later deur kenners betwis is. Sommige het daarna gekla dat die firma stadig was om belangrike besonderhede aan angstige kliënte vry te stel, om verskoning te vra en eienaarskap te neem, en om praktiese advies aan diegene wat geraak is, te verskaf.

“Die Optus-oortreding is 'n duidelike herinnering dat die bestuur van kuberrisiko twee kante het. Die eerste is in sagteware-ontwikkeling self – die identifisering en bestuur van risiko voor, tydens en nadat kode in werking gestel word. Onveilige sagteware of wankonfigurasie kan groot gevolge hê wanneer kliëntinligting betrokke is,” sê Mac Moeun, direkteur van Patterned Security, aan ISMS.online.

“Die tweede is hoe jy die voorval hanteer. Om 'n bewese, rampherstel-getoetste plan te hê, eerlik te wees, vroeg en gereeld te kommunikeer, en kliënte duidelikheid te gee oor wat beïnvloed is. Hierdie stappe gee jou die beste kans om kliëntevertroue te behou.”

Watter lesse kan ons leer?

Die Optus-oortreding was die eerste in 'n lang reeks voorvalle met groot name wat Australië geskud het, insluitend Medibank en Latitude Financial. Maar as die eerste en een van die ergste, verteenwoordig dit 'n waarskuwingsverhaal vir baie. Moedermaatskappy Singtel tersyde gestel AU$140 miljoen (£68.5 miljoen) om die koste van die gevolge te dek, en daar was berigte van beduidende kliënte-omset na aanleiding van die voorval.

Vanuit 'n suiwer tegniese perspektief moet KISO's die volgende oorweeg:

Opsporing van potensiële sekuriteitsrisiko's soos dormante API's en onbestuurde bates
Implementeer gedragsgebaseerde monitering om verdagte aktiwiteite te identifiseer (soos IP-rotasie)
Dataminimalisering as 'n beste praktyk, om te verseker dat enigiets wat nie meer deur die organisasie benodig word nie, verwyder word.
Veilige koderingspraktyke (DevSecOps) insluitend outomatiese skandering

Ryan Sherstobitoff, veldhoof-bedreigingsintelligensiebeampte by SecurityScorecard, vertel aan ISMS.online: “Die Optus-oortreding beklemtoon die behoefte aan streng API-inventarisse en oudits (insluitend dormante eindpunte), veilige kodering met deurlopende kwesbaarheidskandering, sterk databewaring-/verwyderingsbeleide en gevorderde anomalie-opsporing om lae gesofistikeerdheid, maar effektiewe aanvalstaktieke, vas te vang.”

Afsonderlik fokus die AIC op die behoefte aan gelaagde sekuriteitsbeheermaatreëls, duidelike eienaarskap van domeine, robuuste sekuriteitsmonitering en gereelde hersienings. Organisasies kan egter waarskynlik nog beter doen. 'n Meer holistiese reaksie sou wees om beste praktykstandaarde soos ISO 27001 en 27701 te implementeer (vir die implementering van onderskeidelik 'n Inligtingsekuriteitsbestuurstelsel en Privaatheidsinligtingbestuurstelsel).

Hulle bied 'n omvattende, risikogebaseerde raamwerk vir die bestuur en beskerming van sensitiewe data, insluitend persoonlik identifiseerbare inligting (PII). Die reis na voldoening sal verseker dat organisasies kan verstaan watter data hulle bestuur, waar sekuriteitsgapings mag bestaan en watter beheermaatreëls en prosesse sal help om hierdie gapings te sluit. Die standaarde bevorder die idee van voortdurende monitering en verbetering, sodat voldoenende organisasies suksesvol kan aanpas by veranderende IT-infrastruktuur, bedreigingstendense en ander faktore.

“Hierdie ISMS-raamwerke bied gestruktureerde, ouditeerbare beheermaatreëls vir batebestuur, veilige ontwikkeling, monitering en PII-lewensiklusbeheer – wat organisasies help om nulvertroue-beginsels af te dwing, datablootstelling te verminder en langtermyn-kodering- of behoudsblindekolle te vermy,” sê Sherstobitoff.

Die Optus-oortreding was dalk drie jaar gelede, maar dit werp steeds 'n skaduwee oor Australiese besighede vandag. As meer mense uit die foute van die verlede leer, is dit nie 'n slegte ding nie.

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Lees meer van Phil Muncaster

cyber Security 3 Februarie 2026

WEF-verslagbedrog is nou uitvoerende hoofde se grootste kuberbekommernis, maar dit is nie die enigste nie.

WEF-verslag: Bedrog is nou uitvoerende hoofde se grootste kuberprobleem, maar dit is nie die enigste een nie.

Vyf jaar is 'n lang tyd in kuberveiligheid. Tog is dit hoe lank die Wêreld Ekonomiese Forum (WEF) al uitvoerende hoofde peil vir sy Globale Kuberveiligheid O...

Phil Muncaster

cyber Security 27 Januarie 2026

privaatheid maak saak wat voldoeningspanne in 2026 kan verwag banier

Privaatheidsaangeleenthede: Wat voldoeningspanne in 2026 kan verwag

28 Januarie is Wêreldwye Privaatheidsdag – 'n geleentheid om die reg op dataprivaatheid en -beskerming te vier wat baie van ons vandag as vanselfsprekend aanvaar. Dit was...

Phil Muncaster

cyber Security 20 Januarie 2026

Die gaping in KI-bestuur met ISO 42001-blog oorbrug

Die KI-bestuurskloof met ISO 42001 oorbrug

Die VK het 'n probleem met KI-bestuur. Dit was dalk nie 'n paar jaar gelede 'n probleem nie, toe projekte in die meeste organisasies stuksgewys was. Maar vandag...

Phil Muncaster

Terwyl Optus gedagvaar word, wat het verkeerd geloop en watter lesse kan ons leer?

'n Oortreding wat Australië geskud het

Wat het gebeur?

Watter lesse kan ons leer?

Phil Muncaster

Verwante artikels

Die grootste uitdagings vir KI-bestuur in 2026

Waarom Reguleerders en Beleggers Verwag dat Maatskappye 'n Drievoudige Risiko Aanspreek

WEF-verslag: Bedrog is nou uitvoerende hoofde se grootste kuberprobleem, maar dit is nie die enigste een nie.

Lees meer van Phil Muncaster

WEF-verslag: Bedrog is nou uitvoerende hoofde se grootste kuberprobleem, maar dit is nie die enigste een nie.

Privaatheidsaangeleenthede: Wat voldoeningspanne in 2026 kan verwag

Die KI-bestuurskloof met ISO 42001 oorbrug