Sundhedssektoren har fortsat været sektoren, der er ansvarlig for det største antal rapporterede databrud i Australien, hvilket tegner sig for 85 af de 446 samlede overtrædelser, der blev anmeldt til kontoret for den australske informationskommissær (OAIC) i seks måneder til 30. juni 2021 .
Det samlede antal 446 er faldet 16% i forhold til det foregående seks måneders tal på 530 underretninger. For regnskabsåret 2020-21 blev der modtaget 976 underretninger under ordningen Notificable Data Breaches (NDB).
Marts oplevede det højeste antal meddelelser med 102.
I rapporteringsperioden , 81% af overtrædelserne blev identificeret af virksomheden inden for 30 dage efter, at det skete, men i 4% af lejlighederne tog det enheden længere end 365 dage.
“For databrud forårsaget af ondsindet eller kriminelt angreb eller menneskelige fejl identificerede mere end 80% af enhederne hændelsen inden for 30 dage efter, at det skete,” skrev OAIC. “Hvor enheder oplevede et databrud som følge af en systemfejl, identificerede kun 61% hændelsen inden for 30 dage, og 30% blev ikke opmærksom på hændelsen i over et år.”
I rapporteringsperioden underrettede 72% af enhederne OAIC inden for 30 dage efter at de blev bekendt med en hændelse, der efterfølgende blev vurderet til at være et kvalificeret databrud. 27 enheder tog længere tid end 120 dage, fra de blev bekendt med en hændelse, for at underrette OAIC.
71% af de australske regeringsorganer, der rapporterede en hændelse, fandt det inden for 30 dage. 9%tog det dog over et år at finde. 3% tog over et år at underrette OAIC.
Siden mandatet har sundhed været den mest berørte sektor. På andenpladsen for sundhed denne halvdel var finanssektoren, der tegnede sig for 57 underretninger, efterfulgt af juridisk og regnskabsmæssig med 35, og den australske regering og forsikringssektorer hver med 34.
Den australske regering trådte til tops fem sektorer i første halvdel af FY21.
Alle agenturer og organisationer i Australien, der er omfattet af Privacy Act 1988, er forpligtet til at underrette personer, hvis personlige oplysninger er involveret i et databrud, der sandsynligvis vil resultere i “alvorlig skade”, så snart det er praktisk muligt efter at have fået kendskab til et brud. Privacy Act dækker de fleste australske regeringsorganer; det dækker ikke en række efterretnings- og nationale sikkerhedsagenturer, og det dækker heller ikke statslige og lokale offentlige myndigheder, offentlige hospitaler og offentlige skoler.
I sin seneste seks-måneders rapport [PDF] fanger notifikationer foretaget i henhold til NDB -ordningen sagde OAIC, at de fleste databrud involverede personoplysninger om 5.000 individer eller færre.
Tre meddelelser berørte over 1 million individer, hvoraf en berørte over 10 millioner individer.
Kontaktoplysninger, identitetsoplysninger og økonomiske detaljer er fortsat de mest almindelige typer af personlige oplysninger, der er involveret i databrud. 407 – eller 91% – af overtrædelser anmeldt i henhold til ordningen involverede kontaktoplysninger, f.eks. En persons navn, hjemmeadresse, telefonnummer eller e -mailadresse.
247 tilfælde oplevede overtrædelse af identitetsoplysninger, 193 udsatte finansielle oplysninger, 136 sundhedsoplysninger, skattefilnumre blev afsløret i 102 overtrædelser, og andre følsomme oplysninger blev kompromitteret i 75 af lejlighederne.
Ondsindede eller kriminelle angreb var den største kilde til databrud, der blev anmeldt til OAIC, og tegnede sig for 289 overtrædelser. 192 brud blev forårsaget af “cyberhændelser”, 35 af dem skyldtes social engineering eller efterligning, ved 28 lejligheder var handlinger foretaget af en useriøs medarbejder eller insider -trussel årsagen, og tyveri af papirarbejde eller lagerenheder var ansvarlig for 34 underretninger.
Rapporten siger, at menneskelige fejl også forblev en vigtig kilde til overtrædelser og tegnede sig for 134 meddelelser, mens systemfejl tegnede sig for de resterende 23 overtrædelser.
Menneskelige fejlbrud omfatter afsendelse af personlige oplysninger til den forkerte modtager via e -mail, utilsigtet frigivelse eller offentliggørelse af personlige oplysninger og manglende brug af den blinde kulstofkopieringsfunktion ved afsendelse af gruppemails.
Uautoriseret offentliggørelse/utilsigtet frigivelse eller offentliggørelse forekom i 31 meddelelser. Dette alene berørte 523.998 individer.
Den australske regering rapporterede ikke om hændelser vedrørende systemfejl, men rapporterede 25 som menneskelige fejl og ni som et ondsindet eller kriminelt angreb. Den australske regering rapporterede også en hændelse som “hacking”.
De vigtigste kilder til cyberhændelser i rapporteringsperioden var phishing, kompromitterede eller stjålne legitimationsoplysninger og ransomware.
“Mere end halvdelen af cyberhændelser (62%) i rapporteringsperioden involverede ondsindede aktører, der fik adgang til konti ved hjælp af kompromitterede eller stjålne legitimationsoplysninger,” sagde OAIC. “Den mest almindelige metode, der blev brugt af ondsindede aktører til at opnå kompromitterede legitimationsoplysninger, var e-mailbaseret phishing (58 underretninger).”
Ransomware-hændelser steg med 24% i andet halvår, mod 37 i første halvår til 46.
Meddelelser om brud på data under NDB -ordningen siden starten
Image : OAIC
Skal du oplyse om et brud? Læs dette: Anmeldelsespligtigt datalovbrud: Gør dig klar til at afsløre et databrud i Australien
RELATERET DÆKNING
NSW Department of Education ramt af cyberangreb Eastern Health cyber 'hændelse' aflyser nogle operationer på tværs af Melbourne Swinburne University bekræfter, at over 5.000 individer, der er ramt af databrud, NSW Health bekræfter, at data er brudt på grund af Accellion -sårbarhed. Australian systemsDomain Group siger phishing -angreb målrettet webstedsbrugereRMIT hævder 'betydelige fremskridt' med at hoppe tilbage fra fredagens it -afbrydelse
Relaterede emner:
Sikkerhed TV Datahåndtering CXO -datacentre 