随着澳洲最大的数据泄露事件的影响扩大,Medibank被勒令增持2.5亿澳元的资本,并对其治理和风险文化进行针对性的技术审查。
金融行业的审慎监管机构在周二宣布,将对Medibank的资本充足性要求增加2.5亿澳元,反映出该保险公司信息安全环境中存在的“缺陷”。
该资本调整从7月1日开始生效,将适用于Medibank在新的私人健康保险(PHI)资本框架下的运营风险费用,并将继续保持,直到Medibank完成商定的补救工作计划,使APRA满意。
APRA还将对Medibank进行一项有针对性的技术审查,特别关注治理和风险文化。
这家保险公司面临消费者集体诉讼(图片来源:《每日电讯报》)
该保险公司面临因2022年10月的数据泄露事件而引发的消费者集体诉讼,该事件涉及近1000万名客户的个人信息,包括姓名、出生日期、地址和电话号码。
澳洲金融监管局在周二的声明中表示:“虽然Medibank已经解决了允许未经授权访问其系统的具体控制缺陷,但在许多领域仍需进一步加强其安全环境和数据管理。”
据信,澳洲证券投资委员会的行动将使Medibank的监管要求比2022财年结束时的13.2亿澳元增加19%。
澳洲金融监管局的新私人健康保险资本框架也将于7月1日生效,进一步增加了Medibank的资本需求。
Medibank首席执行官David Koczkar在周二表示:“保护客户数据是Medibank非常重视的责任。”
他还表示:“Medibank持续加强我们的系统和流程,以提供客户期望和应得的安全保障,我们将继续努力进一步完善我们的系统和流程,我们的公司仍然强大并拥有充足的资本。”
“我们继续通过Medibank网络安全响应支持计划来支持我们的客户,该计划包括心理健康和福祉支持、身份保护和财务困难措施。”
David Koczkar(图片来源:《每日电讯报》)
澳洲金融监管局成员Suzanne Smith表示,2022年10月的网络事件是澳洲历史上最大规模的事件之一。
“通过采取这一行动,澳洲金融监管局希望确保Medibank加快其补救计划的进展。
“此举表明,澳洲金融监管局对于机构在网络风险方面的义务非常重视,并将对已确定的网络安全控制缺陷做出有力回应。
“正如之前所述,澳洲金融监管局期望Medibank确保适当的问责和后果管理,包括必要时对高管薪酬的影响。我注意到Medibank一直以开放、建设性和合作的方式与澳洲金融监管局打交道,这与我们对所有受监管实体的期望一致。”
Smith表示,自从启动了2020-2024年网络安全战略以来,监管机构一再强调提升网络安全和持续保持警惕,以识别和解决网络风险。
“不幸的是,并非所有机构都对这些信息予以重视,我们继续发现糟糕的网络安全实践和董事会和管理层监督不力的情况。”
去年10月,俄罗斯黑客入侵了近1000万名Medibank客户的健康记录和其他个人信息,在公司拒绝支付1500万澳元的赎金后,黑客将包括堕胎、药物和酒精滥用以及精神健康障碍等敏感疾病的客户理赔数据发布在暗网上。
去年年底,澳洲金融监管局表示,将通过正在进行的广泛独立审查和其他监管活动,“加强对未能达到信息安全监管标准CPS 234的所有实体的监督。”
CPS 234于2019年推出,旨在增强网络韧性,要求银行、保险公司和养老金基金具备网络能力,进行定期测试,并在发生事件时通知监管机构。
Medibank在4月份告知投资者,他们已获得Deloitte对网络犯罪事件的审查结果,但表示不会详细说明文件或发布报告。
一位发言人当时表示:“Deloitte已提出改进Medibank的IT流程和系统的建议,考虑到这可能给Medibank以及其他澳洲企业带来的安全风险,我们不认为公开发布他们的调查结果符合我们的客户或整个澳洲社会的利益。”
分析师估计,清理费用(包括客户诉讼)可能会给Medibank带来高达1.5亿澳元的成本。