Otoritas Peraturan Prudential Australia (APRA) mengintensifkan pengawasannya terhadap Medibank Private, dan memperluas penyelidikannya ke dalam keamanan jasa keuangan secara lebih luas.

Langkah tersebut dilakukan setelah pelanggaran data Medibank, yang dikatakan APRA dalam a penyataan “Meningkatkan kekhawatiran tentang kekuatan [Medibank’s] pengendalian risiko operasional”.

APRA mengatakan telah bekerja sama dengan Medibank dan lembaga pemerintah lainnya sejak pelanggaran itu muncul, dan memuji perusahaan karena “terbuka dan kooperatif”.

Seorang anggota otoritas, Suzanne Smith, mengatakan APRA juga telah menginformasikan ruang lingkup tinjauan eksternal yang dilakukan oleh Deloitte, yang juga melakukan pekerjaan serupa seputar pelanggaran data Optus.

“Sementara APRA mencatat tanggapan konstruktif Medibank hingga saat ini, APRA akan mempertimbangkan apakah tindakan pengaturan lebih lanjut diperlukan ketika temuan laporan menjadi jelas”, kata Smith.

“APRA mengharapkan Medibank untuk melakukan tindakan remediasi yang direkomendasikan dan memastikan ada manajemen konsekuensi yang sesuai, termasuk dampak terhadap remunerasi eksekutif jika perlu.”

Secara lebih luas, APRA mengindikasikan akan “mengintensifkan pengawasannya terhadap semua entitas yang tidak memenuhi standar kehati-hatian keamanan informasi CPS 234 sebagai hasil dari tinjauan independen ekstensif yang sedang berlangsung, dan kegiatan pengawasan lainnya.”

CPS 234 diperkenalkan pada tahun 2019 untuk menopang ketahanan dunia maya dan mewajibkan bank, perusahaan asuransi, dan dana pensiun untuk mempertahankan kemampuan keamanan, melakukan pengujian rutin, dan memberi tahu regulator jika terjadi insiden.

Ini sebelumnya menargetkan tingkat kepatuhan untuk standar.

Smith mengatakan dewan perlu mengetahui bahwa mereka dapat menjawab “pertanyaan mendasar”, termasuk: “Apakah Kamu tahu data apa yang Kamu pegang? Apa kamu tahu di mana itu? Bagaimana Kamu tahu itu aman? Dan apakah Kamu perlu mempertahankannya?”

Pelanggaran data Medibank dan Optus telah mendorong pemerintah untuk memperkenalkan undang-undang untuk meningkatkan denda yang dapat dikenakan Kantor Komisaris Informasi Australia terhadap perusahaan yang dilanggar.