由于墨尔本和悉尼的医院被认为是关键的基础设施,如果内政部发现该医院未能达到国际网络安全标准,圣文森特医院可能会因圣诞节数据被盗而被罚款。
在发现数据被盗一周后,这家全国最大的非营利性养老院和医院运营商无法说明患者数据是否遭到泄露,该公司在周五发布的一份声明中承认,虽然没有证据表明个人信息被盗,但他们仍在努力查明网络罪犯窃取了哪些数据。
内政部发言人上周五表示,一旦初步调查完成,其网络和基础设施安全中心“可能会选择对这一事件进行监管调查”。
该发言人表示:“符合风险管理计划要求的关键基础设施实体必须已经制定了风险管理计划,包括覆盖网络风险。”
就在发现网络防御被攻破的一个月前,联邦政府自己期待已久的网络安全战略警告称,医疗保健行业的网络防御系统简单得令人担忧。
“我们的医院和全科医生掌握着一些关于澳大利亚人及其家人的最敏感数据。然而,卫生部门也是整个行业中网络成熟度最低的部门之一。”
全球网络安全公司Proofpoint本月新发布的一项研究还发现,超过三分之一的澳大利亚顶级私立和公立医院在基本的网络安全措施上失败。
根据联邦立法,几家大型公立医院被列为关键基础设施,与能源、食品、水、交通和通信公司等其他日常生活必需品一样。
该医院的一位发言人表示,该医院已按照监管机构的要求制定了风险管理计划。
两名了解调查情况的消息人士(未获授权公开发言)表示,有1至2g的数据被盗。
周五,该医院网络向其3万名员工简要介绍了情况,并发表了一份公开声明,称没有发现任何证据表明,大量复制数据中包含个人信息。
“我们的专家正在夜以继日地工作,以确定从我们这里复制和窃取的数据的内容。这是一项复杂且技术性很强的活动。”
“如果我们发现任何敏感数据被网络犯罪分子窃取,我们将尽我们所能联系受影响的人,向他们提供有关他们可以采取的保护自己的步骤的信息,并在这一过程中为他们提供支持。”
联邦政府也证实,尚未收到任何个人数据被盗的“通知”。联邦政府正在与圣文森特大学和网络安全咨询公司CyberCX合作进行调查。
代理国家网络安全协调员哈米什·汉斯福德(Hamish Hansford)表示:“像这样的网络事件跨越了许多不同系统的大型网络,通常需要一些时间来确定事件是如何发生的,威胁行为者做了什么,他们访问了哪些系统,以及哪些内容被窃取了。”
网络安全合作研究中心首席执行官雷切尔·福尔克表示,医院是“极其敏感数据”的保管人,他们有责任跟上监管机构制定的最新标准。
她说:“这是另一个清醒的提醒,我们将在2023年结束时再次发生数据泄露。”“特别是,医院需要引起注意,他们需要(问):‘我们的网络安全设置是否正确?我们是否采取了一切必要措施来保护宝贵的患者数据?’”
联邦反对党指责政府在数据泄露事件上缺乏透明度和紧迫性。本刊于12月22日首次披露了这一事件。
上周五,影子内阁卫生部长参议员安妮·拉斯顿和影子内阁内政部长詹姆斯·帕特森发表联合声明,称卫生部长马克·巴特勒和内政部长克莱尔·奥尼尔都没有对此事发表评论,这是“令人困惑的”,让代理部长们就黑客事件发表公开声明。
他们说:“澳大利亚人有理由关心他们的隐私,尤其是个人健康记录。”“艾博年政府必须向澳大利亚公众表明,他们正在认真对待这件事,对他们所知道的和正在做的事情保持透明。”
巴特勒和奥尼尔正在休假。
根据声明,这家医疗服务提供商表示,它于12月19日首次“开始应对网络安全事件”,但直到12月21日,圣文森特医院才发现数据已从其网络中删除。
一位发言人表示,自12月20日以来,该网络未检测到任何网络犯罪活动。
圣文森特医院在新南威尔士州、维多利亚州和昆士兰州经营医院,包括三家公立医院和10家私立医院以及26家老年护理机构。
这家医疗机构强调,黑客攻击并未影响其运营医院或老年护理机构的能力。
这次攻击是澳大利亚大型公司最新的数据泄露事件,Optus和Medibank在2022年底遭受了网络攻击,而主要港口运营商DP World Australia在遭受重大网络攻击后于上个月关闭了其码头。
圣文森特医院已经为受影响的患者设立了一条专门的支持热线1300 124 507,以及一个专门的电子邮件地址stvincentscybersafety@svha.org.au
通过新闻、观点和专家分析,打破联邦政治的喧嚣。订阅者可以注册我们每周的Inside Politics时事通讯。
