POSTADO EM CIBERSEGURANÇA , SEGURANÇA DA INFORMAÇÃO , VIOLAÇÃO DE SEGURANÇA
Patrick Gunning, da King & Wood Mallesons, relata que, em 2 de novembro de 2023, o Comissário de Informação Australiano abriu um processo no Tribunal Federal da Austrália contra a Australian Clinical Labs Limited buscando uma penalidade civil (ou seja, uma multa) em conexão com a resposta da empresa a uma violação de dados que ocorreu em fevereiro de 2022. O caso é significativo porque: (1) é apenas a segunda vez que o regulador australiano instaura um processo judicial deste tipo, apesar de ter o poder para o fazer desde 2014; e (2) sinaliza a prioridade do regulador em garantir que os incidentes de segurança cibernética sejam respondidos rapidamente. A legislatura australiana aumentou as penas máximas para infrações “graves” da Lei de Privacidade, com efeitos a partir de dezembro de 2022, para pelo menos A$ 50 milhões. No entanto, a pena máxima disponível neste caso será de A$ 2,2 milhões porque a conduta da empresa ocorreu antes de dezembro de 2022.
Os fatos publicamente disponíveis
Australian Clinical Labs Limited está listada na Australian Securities Exchange e opera uma das maiores empresas de patologia da Austrália. As informações abaixo são baseadas em comunicados da empresa ao mercado e do regulador.
.jpeg)
A empresa adquiriu a Medlab Pathology (“Medlab”) em dezembro de 2021.
.jpeg)
Em fevereiro de 2022, a Medlab tomou conhecimento do acesso não autorizado de terceiros ao seu sistema de TI e realizou uma investigação forense liderada por especialistas cibernéticos externos independentes. Essa investigação não revelou qualquer evidência de que os dados dos pacientes tivessem sido exfiltrados.
Em março de 2022, o Centro Australiano de Segurança Cibernética (o “ACSC”, uma agência do governo federal australiano) contatou a empresa para informar que havia recebido informações de que a Medlab poderia ter sido vítima de um incidente de ransomware. A empresa respondeu à ACSC e afirmou que, tanto quanto é do seu conhecimento, a empresa não acredita que quaisquer dados tenham sido comprometidos.
Em junho de 2022, a ACSC contatou novamente a empresa para informar que acreditava que os dados dos pacientes da Medlab haviam sido publicados na dark web. A empresa tomou medidas imediatas para encontrar e baixar o conjunto de dados da dark web e analisá-lo.
Em 10 de julho de 2022, a empresa notificou o Office of the Australian Information Commissioner (“OAIC”) sobre o incidente.
Em 27 de outubro de 2022, a empresa anunciou à Australian Securities Exchange que havia sofrido um incidente de segurança cibernética que afetou seus negócios Medlab Pathology e que, com base em sua análise forense, determinou que aproximadamente 223.000 indivíduos foram afetados. Dentro deste número, aproximadamente 17.500 tinham registos médicos e de saúde associados a um teste de patologia, aproximadamente 28.000 tinham dados de cartão de crédito comprometidos e aproximadamente 128.000 números do Medicare foram comprometidos.
Em 5 de dezembro de 2022, a OAIC anunciou que havia iniciado uma investigação sobre as práticas de tratamento de informações pessoais da Medlab Pathology em relação à sua violação de dados notificável. Aproximadamente 11 meses depois, o processo foi aberto no Tribunal Federal da Austrália.
As alegações no caso
Os documentos originários ainda não estão disponíveis publicamente. O anúncio da OAIC sobre o ajuizamento do processo diz que as alegações são que:
Entre maio de 2021 (antes de a empresa adquirir a Medlab) e setembro de 2022, a empresa não tomou medidas razoáveis para proteger as informações pessoais dos seus pacientes contra acesso ou divulgação não autorizada, o que deixou a empresa vulnerável a ataques cibernéticos. Se for divulgado, isso seria uma violação do Princípio de Privacidade Australiano 11.1.
A empresa violou o artigo 26WH da Lei de Privacidade, que exigia que a empresa realizasse uma avaliação razoável e rápida para saber se ocorreu uma violação de dados notificável e que tomasse todas as medidas razoáveis para garantir que a avaliação fosse concluída no prazo de 30 dias.
A empresa violou o artigo 26WK da Lei de Privacidade, que exigia que a empresa notificasse a OAIC sobre uma violação de dados notificável assim que possível depois de tomar conhecimento de que havia motivos razoáveis para acreditar que ocorreu uma violação de dados notificável.
A empresa afirmou que defenderá a reclamação e afirma que os seus sistemas de segurança cibernética são robustos.
.jpeg)
Observações iniciais sobre as alegações
.jpeg)
Medidas de segurança . A questão da adequação das medidas de segurança implementadas pela empresa será matéria de prova pericial. O regulador tem poderes estatutários para exigir a produção de informações e documentos, e para entrevistar testemunhas sob juramento, durante a investigação. É razoável presumir que o regulador utilizou estes poderes para obter provas das medidas de segurança em vigor durante o período relevante e contratou um perito para dar um parecer sobre a adequação dessas medidas. Para que a empresa defenda a reclamação com êxito, terá de contratar o seu próprio perito e, se não for possível chegar a acordo entre os peritos, o tribunal terá de decidir qual o parecer que aceita.
Investigação do incidente e notificação ao regulador . O argumento do regulador deve ser que a obrigação de conduzir uma investigação foi acionada em fevereiro de 2022 e que a empresa não deveria ter concluído que não havia risco de danos graves aos indivíduos simplesmente porque a investigação forense não revelou provas de exfiltração. Este tem sido um tema que tem surgido em relatórios periódicos publicados pela OAIC em relação às violações de dados que foram notificadas ao regulador. Por exemplo, num relatório publicado em setembro de 2023, a OAIC declarou:
Se uma entidade suspeitar que ocorreu uma violação de dados, mas não for capaz de eliminar essa suspeita de forma rápida e confiável, a entidade deve considerar proceder com base na presunção de que houve uma violação de dados. As obrigações de notificação são acionadas quando existem motivos razoáveis para acreditar que ocorreu uma violação de dados elegível. Não são necessárias provas conclusivas ou positivas de acesso não autorizado, divulgação ou perda para que uma entidade avalie que ocorreu uma violação de dados elegível.
É provável que a empresa argumente que cumpriu a sua obrigação de investigar em fevereiro de 2022 e, à luz das conclusões da investigação forense, formou a opinião de que uma pessoa razoável concluiria que o incidente não era suscetível de resultar em danos graves para indivíduos, por isso não notificou a OAIC naquele momento. Nesta abordagem, a empresa também provavelmente dirá que a obrigação de investigar foi reavivada em junho de 2022, quando o ACSC informou à empresa sobre os dados que estavam disponíveis na dark web, e que a investigação foi realizada de forma razoável e rápida. base e notificada à OAIC dentro do período de 30 dias.
Questões colaterais
Riscos cibernéticos em fusões e aquisições . Se o regulador vencer o caso de que as medidas de segurança eram inadequadas a partir de maio de 2021, a empresa poderá ter uma reclamação de garantia contra os vendedores do negócio Medlab Pathology (que foi adquirido em dezembro de 2021) dependendo das garantias que foram dadas e de qualquer limitação acordada períodos para fazer reclamações de garantia. O caso é um exemplo real da importância da alocação de riscos em uma transação de M&A por responsabilidades decorrentes de vulnerabilidades latentes de segurança da informação existentes antes da conclusão da transação.
.jpeg)
Comentários
Postar um comentário