Medibank enfrentó la ira de sus accionistas en la reunión general anual de la compañía el miércoles por el ciberataque masivo del gigante australiano de seguros de salud.
El presidente de la compañía, Mike Wilkins, dijo en la reunión en Melbourne que el ataque cibernético “no tenía precedentes”. Dijo que era un “crimen impactante”, cuyo tamaño y escala no se habían visto antes.
Medibank se ha estado comunicando con 9,7 millones de clientes actuales y anteriores, incluidos estudiantes internacionales y clientes de ahm, sobre el alcance de la brecha en las semanas desde que se descubrió por primera vez que los piratas informáticos se habían infiltrado en los sistemas de la empresa.
Relacionado: Datos de salud mental de Medibank publicados en la web oscura mientras los piratas informáticos rusos prometen ‘mantener nuestra palabra’
Para la gran mayoría de los clientes, se expuso información personal básica, incluido el nombre, la fecha de nacimiento, la dirección, el correo electrónico, el número de teléfono y el sexo. Pero a 480.000 de estos clientes también les robaron las reclamaciones de salud hechas con Medibank.
El CEO de Medibank, David Koczkar, dijo a los accionistas que Medibank ahora estaba en proceso de contactar directamente a esos 480,000 clientes para informarles que sus datos de reclamos estaban expuestos.
Dijo que la compañía se había puesto en contacto con aquellos cuyas declaraciones de propiedades saludables se habían publicado en la web oscura dentro de las 48 horas posteriores a la publicación de los piratas informáticos.
Casi todas las preguntas que los accionistas hicieron al directorio de Medibank durante la sesión de preguntas y respuestas fueron sobre el ataque: por qué sucedió y qué estaba haciendo la compañía para rectificarlo.
Muchos de los accionistas también eran clientes de Medibank cuyos datos habían sido expuestos, y algunos se quejaron de la falta de comunicación constante por parte de la empresa.
Wilkins defendió los procesos de seguridad de la empresa y dijo que creía que lo que había antes del ataque cibernético era «robusto». Pero reconoció que si eso resultó ser cierto estaba sujeto a la investigación externa de Deloitte que se está llevando a cabo actualmente.
Guardian Australia informó que el ataque ocurrió debido al compromiso de las credenciales de alto nivel que dan acceso a los sistemas de Medibank. Una pregunta constante en las últimas semanas ha sido qué capas adicionales de protección se implementaron.
Wilkins dijo que la empresa utilizó la autenticación multifactor como estándar, y señaló lo difícil que le resultó volver a iniciar sesión en su propia cuenta cuando olvidó su contraseña.
Wilkins culpó a las leyes estatales y federales por exigir a la empresa que conserve los datos de los clientes durante al menos siete años, y dijo que Medibank ajustaría sus políticas si esas leyes cambiaran.
Tanto Wilkins como Koczkar defendieron la decisión de la compañía de no pagar el rescate al grupo de piratas informáticos y dijeron que los consejos sugerían que había pocas posibilidades de que evitara más extorsiones a los clientes o garantizara que los datos no terminarían en línea.
Relacionado: El gobierno considera ilegales los pagos de rescate cibernético después del ataque a Medibank
Koczkar dijo que el ataque cibernético había sido «deliberado, diseñado para extorsionar a nuestros clientes, en particular algunas de las personas más vulnerables de la comunidad».
Los accionistas pidieron que la junta considere agregar más experiencia en TI a la junta y cuestionaron por qué la remuneración de la junta y de los ejecutivos no se había visto afectada por la infracción.
Wilkins dijo que el informe de Deloitte respondería a cualquier pregunta sobre quién fue responsable del ataque y se reflejaría en la revisión del próximo año. Wilkins no fijó un plazo sobre cuándo se finalizaría el informe, pero dijo que tomaría varios meses.
Koczkar dijo que fue un momento increíblemente desafiante para la empresa, pero que confiaba en que Medibank se recuperaría.
El grupo de piratas informáticos rusos detrás del ataque publicó por última vez datos de reclamos de salud de unos cientos de clientes en la web oscura el lunes y dijo que pospondría la publicación de más hasta el viernes. El grupo dijo que esperaba un resultado positivo a partir del miércoles, lo que sugiere que el grupo prestaría mucha atención a la AGM.
El director ejecutivo y el presidente se negaron a decir si Medibank todavía estaba en comunicación con los piratas informáticos, diciendo que era un asunto para la investigación de la policía federal australiana.