Hva gikk galt, og hvilke lærdommer kan vi lære av Optus?

Hva gikk galt, og hvilke lærdommer kan vi lære av Optus mens det blir saksøkt?

Av Phil Muncaster • 25 september 2025

Rettferdighetens hjul beveger seg sakte noen ganger. Slik er det i Australia, hvor personvernregulatoren har endelig anla sivilt straffeforelegg mot telekomgiganten Optus for et datainnbrudd i 2022 som fortsatt gir gjenklang den dag i dag.

Den føderale domstolen kan ilegge en sivil bot på opptil 2.2 millioner australske dollar (1.1 millioner pund) for hver overtredelse, og den australske informasjonskommisjonæren (AIC) hevder én overtredelse for hver av de 9.5 millioner individene hvis personvern de hevder Optus «alvorlig forstyrret». Selv om det er svært usannsynlig, betyr dette en teoretisk maksimal bot på over 20 billioner australske dollar (9.8 billioner pund).

Men det er uten tvil viktigere enn utfallet av saken hva lokale bedrifter kan lære av hendelsen – når det gjelder hvordan de håndterer data og risikostyring.

Et brudd som rystet Australia

Hendelsen stammer fra september 2022, da en trusselaktør klarte å få tilgang til personopplysningene til millioner av kunder hos Australias nest største teleselskap. Dette inkluderte:

Navn, fødselsdatoer, hjemmeadresser, telefonnumre og e-postadresser
Passnummer, førerkortnummer, Medicare-kortnummer, informasjon om fødselsattester og vigselsattester, samt identifikasjonsinformasjon for væpnede styrker, forsvarsstyrker og politi

AIC hevder at Optus «ikke tok rimelige skritt» for å beskytte denne informasjonen, med henvisning til selskapets størrelse og ressurser, mengden datainnbrudd og risikoen for skade på enkeltpersoner ved utlevering av informasjonen.

Nøyaktig hvor mye skade ofrene faktisk ble påført er omdiskutert. Selv om trusselaktøren opprinnelig krevde 1 million amerikanske dollar (740 000 pund) i løsepenger, senere snudde kursen og hevdet å slette dataene. Om de ble solgt videre eller brukt av svindlere er fortsatt et mysterium. Men den emosjonelle belastningen det påførte utallige australiere og de statlige organisasjonene som måtte utstede identitetsdokumenter på nytt, er tydelig.

Den nasjonale forargelsen forårsaket av hendelsen innledet et nytt cybersikkerhetsregime med høyere bøter for datainnbrudd, og landets første frittstående lov på dette området: Cyber Security ActDen australske kommunikasjons- og mediemyndigheten (ACMA) saksøker også Optus for brudd på telekommunikasjonsloven (avlytting og tilgang) fra 1979.

Hva skjedde?

AIC har vært taus om detaljene rundt bruddet. Imidlertid har dokumentene i ACMA-saken som er sett av SecurityCorecard Fortell en detaljert historie om hva som skjedde og hva som gikk galt. Sikkerhetsleverandøren hevder at:

Trusselaktøren fikk tilgang til Optus-data via et feilkonfigurert, sovende API
API-et ble internettrettet i 2020, men tilgangskontrollene ble ineffektive på grunn av en kodefeil introdusert i 2018.
Selv om lignende problemer ble funnet og løst på hoveddomenet til Optus i 2021, ble underdomenet som inneholdt API-et stående «eksponert, uovervåket og uten oppdateringer».
Trusselaktøren kunne spørre kundedata over flere dager, og roterte gjennom titusenvis av IP-adresser for å unngå å bli oppdaget.

Bortsett fra selve sikkerhetsproblemet, har det blitt reist spørsmålstegn ved hvorfor millioner av sikkerhetsbrudd knyttet til tidligere kunder. Beste praksis for dataminimering sier at mange av disse burde ha blitt slettet. Det var også klager over Optus' krisekommunikasjonsarbeidFirmaet hevdet opprinnelig at de hadde vært offer for et «sofistikert angrep», noe som senere ble utfordret av eksperter. Noen klaget senere over at firmaet var tregt med å gi viktige detaljer til engstelige kunder, beklage og ta ansvar, og gi handlingsrettede råd til de berørte.

«Optus-bruddet er en klar påminnelse om at håndtering av cyberrisiko har to sider. Den første ligger i selve programvareutviklingen – å identifisere og håndtere risiko før, under og etter at koden legges ut. Usikker programvare eller feilkonfigurasjon kan skape store konsekvenser når kundeinformasjon er involvert», forteller Mac Moeun, direktør for Patterned Security, til ISMS.online.

«Det andre er hvordan du håndterer hendelsen. Å ha en velprøvd og testet plan for gjenoppretting etter katastrofer, være åpen, kommunisere tidlig og ofte, og gi kundene klarhet i hva som er blitt påvirket. Disse trinnene gir deg best mulighet til å opprettholde kundenes tillit.»

Hvilke lærdommer kan vi lære?

Optus-innbruddet var det første i en lang rekke av hendelser med store navn som rystet Australia, inkludert Medibank og Latitude Financial. Men som det første og et av de verste, representerer det en advarsel for mange. Morselskapet Singtel sette til side 140 millioner australske dollar (68.5 millioner pund) for å dekke kostnadene av nedfallet, og det var rapporter om betydelig kundeutskiftning etter hendelsen.

Fra et rent teknisk perspektiv bør IT-sjefer vurdere:

Sporing av potensielle sikkerhetsrisikoer, som for eksempel inaktive API-er og uadministrerte ressurser
Implementering av atferdsbasert overvåking for å flagge mistenkelig aktivitet (som IP-rotasjon)
Dataminimering som beste praksis, og sørger for at alt som ikke lenger er nødvendig for organisasjonen slettes.
Sikre kodepraksiser (DevSecOps), inkludert automatisert skanning

Ryan Sherstobitoff, sjef for trusselintelligens hos SecurityScorecard, forteller ISMS.online: «Optus-bruddet fremhever behovet for strenge API-inventar og revisjoner (inkludert inaktive endepunkter), sikker koding med kontinuerlig sårbarhetsskanning, sterke retningslinjer for dataoppbevaring/sletting og avansert anomalideteksjon for å fange opp lavt sofistikerte, men effektive angripertaktikker.»

Separat fokuserer AIC på behovet for lagdelte sikkerhetskontroller, tydelig eierskap til domener, robust sikkerhetsovervåking og regelmessige gjennomganger. Organisasjoner kan imidlertid uten tvil gjøre det enda bedre. En mer helhetlig respons ville være å implementere beste praksis-standarder som ISO 27001 og 27701 (for implementering av henholdsvis et informasjonssikkerhetsstyringssystem og et personverninformasjonsstyringssystem).

De tilbyr et omfattende, risikobasert rammeverk for håndtering og beskyttelse av sensitive data, inkludert personlig identifiserbar informasjon (PII). Veien mot samsvar vil sikre at organisasjoner er i stand til å forstå hvilke data de håndterer, hvor det kan finnes sikkerhetshull og hvilke kontroller og prosesser som vil bidra til å lukke disse hullene. Avgjørende er at standardene fremmer ideen om kontinuerlig overvåking og forbedring, slik at organisasjoner som overholder regelverket, kan tilpasse seg endret IT-infrastruktur, trusseltrender og andre faktorer.

«Disse ISMS-rammeverkene gir strukturerte, reviderbare kontroller for aktivaforvaltning, sikker utvikling, overvåking og livssyklusstyring for PII – og hjelper organisasjoner med å håndheve nulltillitsprinsipper, minimere dataeksponering og unngå langsiktige blindsoner knyttet til koding eller oppbevaring», sier Sherstobitoff.

Optus-bruddet skjedde kanskje for tre år siden, men det kaster fortsatt en skygge over australske bedrifter i dag. Hvis flere lærer av fortidens feil, er det ikke noe galt.

Phil Muncaster

Phil Muncaster har vært IT-journalist i 20 år. Han startet som reporter på IT-bedriftstittelen IT Week i 2005 og gikk videre til rollen som nyhetsredaktør før han dro for å satse på en frilanskarriere. Siden den gang har Phil skrevet for titler inkludert The Register, hvor han jobbet som Asia-korrespondent mens han hadde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Les mer fra Phil Muncaster

Cyber sikkerhet 6 november 2025

NCSC sier «det er på tide å handle», men hvordan?

Det er uvanlig å se et åpent brev fra en næringslivsleder i begynnelsen av en statlig cybersikkerhetsrapport. Spesielt noen hvis selskap har j...

Phil Muncaster

Cyber sikkerhet 16 oktober 2025

Hva et npm-angrep sier om risikoen ved åpen kildekode-programvare

Historien om åpen kildekode-sikkerhet er full av eksempler på katastrofale feil og nestenulykker. En krypto-skadevarekampanje oppdaget i ...

Phil Muncaster

Cyber sikkerhet 9 oktober 2025

Kan Storbritannia opprette et sektorbanner for AI-forsikring verdt flere milliarder pund?

Kan Storbritannia opprette en AI-forsikringssektor verdt flere milliarder pund?

Regjeringen satser alt på AI. Handlingsplanen for AI-muligheter, som ble annonsert i januar, har som mål å drive økonomisk vekst, forbedre kvaliteten på...

Phil Muncaster