Hvad gik galt, og hvilke lektier kan vi lære af Optus?

Hvad gik galt, og hvilke lektier kan vi lære af Optus, da det bliver sagsøgt?

Af Phil Muncaster • 25 September 2025

Retfærdighedens hjul bevæger sig nogle gange langsomt. Sådan er det også i Australien, hvor privatlivsmyndigheden har endelig anlagt sag om bødestraf mod telegiganten Optus for et databrud i 2022, som stadig giver genlyd den dag i dag.

Den føderale domstol kan pålægge en civil bøde på op til 2.2 millioner australske dollars (1.1 millioner pund) for hver overtrædelse, og den australske informationskommissær (AIC) hævder én overtrædelse for hver af de 9.5 millioner individer, hvis privatliv Optus hævder "alvorligt har forstyrret". Selvom det er meget usandsynligt, betyder dette en teoretisk maksimal bøde på over 20 billioner australske dollars (9.8 billioner pund).

Men endnu vigtigere end sagens udfald er, hvad lokale virksomheder kan lære af hændelsen – med hensyn til, hvordan de håndterer data og risikostyring.

Et brud der rystede Australien

Hændelsen stammer fra september 2022, hvor en trusselaktør formåede at få adgang til personlige oplysninger fra millioner af kunder hos Australiens næststørste teleselskab. Dette omfattede:

Navne, fødselsdatoer, hjemmeadresser, telefonnumre og e-mailadresser
Pasnumre, kørekortnumre, Medicare-kortnumre, oplysninger om fødselsattester og vielsesattester samt identifikationsoplysninger fra de væbnede styrker, forsvaret og politiet

AIC hævder, at Optus "ikke tog rimelige skridt" for at beskytte disse oplysninger, med henvisning til virksomhedens størrelse og ressourcer, mængden af databrud og risikoen for skade på enkeltpersoner ved videregivelsen af disse.

Præcis hvor meget skade ofrene rent faktisk led er omdiskuteret. Selvom trusselaktøren oprindeligt krævede en løsesum på 1 million amerikanske dollars (740,000 pund), senere ændrede kurs og hævdede at slette dataene, forbliver det et mysterium, om de blev videresolgt eller brugt af svindlere. Men den følelsesmæssige belastning, det påførte utallige australiere og de offentlige organisationer, der måtte genudstede identitetsdokumenter, er tydelig.

Den nationale forargelse forårsaget af hændelsen indvarslede et nyt cybersikkerhedsregime med højere bøder for databrudog landets første uafhængige lov på dette område: Lov om cybersikkerhedDen australske kommunikations- og mediemyndighed (ACMA) sagsøger også Optus for overtrædelse af telekommunikationsloven (aflytning og adgang) fra 1979.

Hvad skete der?

AIC har været tavs om detaljerne i bruddet. Imidlertid har dokumenter i ACMA-sagen, som er set af SecurityScorecard Fortæl en detaljeret historie om, hvad der skete, og hvad der gik galt. Sikkerhedsleverandøren hævder, at:

Trusselsaktøren fik adgang til Optus-data via en forkert konfigureret, inaktiv API
API'en blev internetorienteret i 2020, men dens adgangskontroller blev ineffektive på grund af en kodningsfejl, der blev introduceret i 2018.
Selvom lignende problemer blev fundet og rettet på Optus-hoveddomænet i 2021, forblev underdomænet, der indeholdt API'en, "eksponeret, uovervåget og uden opdateringer".
Trusselsaktøren var i stand til at forespørge kundedata over flere dage og rotere gennem titusindvis af IP-adresser for at undgå at blive opdaget.

Udover selve sikkerhedsproblemet er der blevet rejst spørgsmålstegn ved, hvorfor millioner af brudte poster relateret til tidligere kunder. Bedste praksis for dataminimering siger, at mange af disse burde have været slettet. Der var også klager over Optus' krisekommunikationsindsatsFirmaet hævdede oprindeligt, at det havde været offer for et "sofistikeret angreb", hvilket senere blev anfægtet af eksperter. Nogle klagede efterfølgende over, at firmaet var langsomme til at frigive vigtige detaljer til bekymrede kunder, til at undskylde og tage ansvar og til at give brugbar rådgivning til de berørte.

"Optus-bruddet er en klar påmindelse om, at håndtering af cyberrisiko har to sider. Den første ligger i selve softwareudviklingen – at identificere og håndtere risici før, under og efter koden går live. Usikker software eller fejlkonfiguration kan have store konsekvenser, når kundeoplysninger er involveret," fortæller Patterned Securitys direktør, Mac Moeun, til ISMS.online.

"Det andet er, hvordan du håndterer hændelsen. At have en gennemprøvet og testet plan for katastrofeberedskab, være åben, kommunikere tidligt og ofte og give kunderne klarhed over, hvad der er blevet påvirket. Disse trin giver dig den bedste chance for at bevare kundernes tillid."

Hvilke lektier kan vi lære?

Optus-bruddet var det første i en lang række af store navnehændelser, der rystede Australien, herunder Medibank og Latitude Financial. Men som det første og et af de værste, repræsenterer det en advarsel for mange. Moderselskabet Singtel sæt til side 140 millioner australske dollars (68.5 millioner pund) til at dække omkostningerne ved nedfaldet, og der var rapporter om betydelig kundeudskiftning efter hændelsen.

Fra et rent teknisk perspektiv bør CISO'er overveje:

Sporing af potentielle sikkerhedsrisici såsom inaktive API'er og ikke-administrerede aktiver
Implementering af adfærdsbaseret overvågning for at markere mistænkelig aktivitet (såsom IP-rotation)
Dataminimering som bedste praksis, der sikrer, at alt, der ikke længere er nødvendigt for organisationen, slettes
Sikre kodningspraksisser (DevSecOps), herunder automatiseret scanning

Ryan Sherstobitoff, chef for trusselsintelligens hos SecurityScorecard, fortæller ISMS.online: "Optus-bruddet understreger behovet for strenge API-opgørelser og revisioner (inklusive inaktive endpoints), sikker kodning med kontinuerlig scanning af sårbarheder, stærke politikker for dataopbevaring/sletning og avanceret anomalidetektion for at opdage lavt sofistikerede, men effektive angribertaktikker."

Separat fokuserer AIC på behovet for lagdelte sikkerhedskontroller, klart ejerskab af domæner, robust sikkerhedsovervågning og regelmæssige gennemgange. Organisationer kan dog uden tvivl gøre det endnu bedre. En mere holistisk løsning ville være at implementere bedste praksis-standarder som ISO 27001 og 27701 (til implementering af henholdsvis et informationssikkerhedsstyringssystem og et privatlivsinformationsstyringssystem).

De tilbyder en omfattende, risikobaseret ramme for håndtering og beskyttelse af følsomme data, herunder personligt identificerbare oplysninger (PII). Vejen mod compliance vil sikre, at organisationer er i stand til at forstå, hvilke data de administrerer, hvor der kan være sikkerhedshuller, og hvilke kontroller og processer der vil bidrage til at lukke disse huller. Afgørende er det, at standarderne fremmer ideen om løbende overvågning og forbedring, så compliance-organisationer med succes tilpasser sig skiftende IT-infrastruktur, trusselsudvikling og andre faktorer.

"Disse ISMS-rammer leverer strukturerede, kontrollerbare kontroller til aktivstyring, sikker udvikling, overvågning og PII-livscyklusstyring – hvilket hjælper organisationer med at håndhæve zero-trust-principper, minimere dataeksponering og undgå langvarige blinde vinkler i forbindelse med kodning eller opbevaring," siger Sherstobitoff.

Optus-bruddet fandt måske sted for tre år siden, men det kaster stadig en skygge over australske virksomheder i dag. Hvis flere lærer af fortidens fejl, er det ikke en dårlig ting.

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Læs mere fra Phil Muncaster

Cyber sikkerhed 11. November 2025

Hvad Deloitte Australia-sagaen siger om risiciene ved at administrere AI-banner

Hvad Deloitte Australia-sagaen siger om risiciene ved at håndtere AI

Generativ AI (GenAI) har nået de højeste niveauer af branchehype, siden den brød frem i slutningen af 2022. Nu træder den ind i det, som Gartner kalder...

Phil Muncaster

Cyber sikkerhed 6. November 2025

NCSC siger "Det er tid til at handle", men hvordan?

Det er usædvanligt at se et åbent brev fra en virksomhedsleder i starten af en regeringsrapport om cybersikkerhed. Især en person, hvis virksomhed har j...

Phil Muncaster

Cyber sikkerhed 16 oktober 2025