Zwei Wochen nach dem Cyber-Angriff auf die Medibank bleibt die Frage offen: Wird das Unternehmen Lösegeld zahlen?
Medibank sagte, sie habe durch Kommunikation mit dem mutmaßlichen Hacker festgestellt, dass Daten über alle 3,9 Millionen Kunden des Unternehmens offengelegt wurden. Die Aufzeichnungen enthalten persönliche Informationen wie Namen, Geburtsdaten, Adressen und Geschlechtsidentitäten sowie Medicare-Nummern und gesundheitsbezogene Angaben.
Der Hacker behauptete, etwa 200 GB an Dateien extrahiert zu haben, und hat dem Versicherer 1.000 Datensätze zur Verfügung gestellt, um zu beweisen, dass er die beanspruchten Daten hat.
Abgesehen von diesen Details hat sich die Medibank über ihre Kommunikation mit dem Hacker bedeckt gehalten. Es hat nicht auf Fragen geantwortet, ob es ein Lösegeld gezahlt hat oder zahlen wird, um die Veröffentlichung der Daten online oder den Verkauf der Daten an Dritte zu verhindern.
Richard Buckland, Professor für Cyberkriminalität an der UNSW, sagte, der Medibank-Fall sei einer der wenigen, bei denen ein Unternehmen das Lösegeld zahlen müsse.
„Dies wäre einer der sehr seltenen Fälle, in denen die Kosten der Nichtzahlung meiner Meinung nach so außerordentlich hoch sind, dass dies wahrscheinlich die Kosten der Zahlung rechtfertigen würde“, sagte er Guardian Australia.
„Dies fügt unschuldigen Menschen Schaden zu, die nichts mit der Inkompetenz der Organisation bei der Pflege der Daten zu tun hatten. Sie waren gezwungen, diese Daten weiterzugeben, und dieser Kollateralschaden macht meiner Meinung nach den Unterschied.“
Der offizielle Rat des Australian Cyber Security Center der Bundesregierung lautet, niemals ein Lösegeld zu zahlen.
„Es gibt keine Garantie, dass Sie wieder auf Ihre Informationen zugreifen oder verhindern können, dass sie verkauft oder online durchgesickert werden. Sie könnten auch Ziel eines anderen Angriffs werden“, erklärte die Agentur.
Aber in Wirklichkeit tun es viele Unternehmen.
Das Cybersicherheitsunternehmen Sophos veröffentlichte im April dieses Jahres einen Bericht über den Stand der Ransomware, in dem festgestellt wurde, dass in Australien 43 % der Unternehmen nach Ransomware-Angriffen Lösegeld gezahlt haben, verglichen mit 46 % weltweit.
Der Angriff auf Medibank ist kein Ransomware-Angriff, da die Systeme von Medibank nicht von einem Angreifer gesperrt werden, aber das Verhalten ist das gleiche in Bezug auf die Aushandlung der erhaltenen Daten.
Buckland sagte, Medibank sollte sich vor einer Zahlung rechtlich beraten lassen. Obwohl es für Unternehmen nicht illegal ist, ein Lösegeld zu zahlen, könnten Unternehmen, die dies tun, mit anderen Gesetzen in Konflikt geraten, wie z. B. denen, die Zahlungen an eine verbotene Organisation verbieten – einschließlich terroristischer Organisationen und vieler russischer Organisationen.
Generell sollten Unternehmen kein Lösegeld zahlen, sagte Buckland.
„Ich denke, die Zahlung eines Lösegelds ermöglicht es diesem Markt, zu florieren. Es ist einer dieser Fälle der Tragödie der Allmende, wo du etwas tust, das dir nützt, aber allen anderen leicht schadet.“
Medibank teilte der australischen Börse am Mittwoch mit, dass der finanzielle Schaden für das Unternehmen zwischen 25 und 35 Millionen US-Dollar liegen würde, ohne potenzielle Kundenentschädigungen oder regulatorische oder Rechtskosten.
Das Unternehmen hat nicht angegeben, dass dies die Kosten für die Zahlung von Lösegeld decken würde. Medibank teilte den Investoren mit, dass die Kosten die Kundenkommunikationskosten, Expertenunterstützung und Technologiekosten sowie die Kosten für den Schutz der Kundenidentitäten umfassen würden.
Das Unternehmen führte diese Kosten auf das Fehlen einer Cyber-Versicherung zurück, was laut Mark Roger, Chief Financial Officer der Medibank, auf die hohen Versicherungskosten zurückzuführen ist, die „in den letzten Jahren erheblich gestiegen sind“.
Roger sagte, die Medibank sei sich nicht sicher, ob ihre Kosten gedeckt gewesen wären, selbst wenn sie eine Cyber-Versicherung gehabt hätte.
Buckland sagte, es sei eine „gefährliche“ Entscheidung des Unternehmens, keine Cyber-Versicherung zu haben, da die Versicherungsgesellschaft auch bei Verhandlungen helfen könne. Er schlug vor, dass die hohen Versicherungskosten darauf zurückzuführen sein könnten, wie „schlecht abgesichert“ australische Unternehmen sind.
„Es ist wie bei einer Hochwasserversicherung, die Versicherungskosten steigen, weil das Risiko steigt.“