Un alto ejecutivo de Medibank defendió la decisión de la compañía de no pagar un rescate a los piratas informáticos rusos que expusieron la información de salud confidencial de los clientes en la web oscura.
La junta directiva de la aseguradora de salud privada más grande de Australia enfrentó la frustración de los accionistas en su reunión general anual el miércoles, un mes después de que los piratas informáticos robaran alrededor de 9,7 millones de datos de clientes actuales y anteriores.
El presidente de Medibank, Mike Wilkins, defendió el manejo de la compañía del ataque cibernético masivo y dijo en la reunión en Melbourne que no tenía precedentes.
“Desde el principio, Medibank se ha comprometido a hacer lo correcto por parte de nuestros clientes, nuestra gente y la comunidad en relación con este delito cibernético”, dijo.
“Esto incluye nuestra decisión de no pagar ninguna demanda de rescate por este robo de datos.
«Basándonos en un amplio asesoramiento de expertos en ciberdelincuencia, nos formamos la opinión de que había una posibilidad limitada de que pagar un rescate garantizaría la devolución de los datos de nuestros clientes y evitaría que se publicaran».
A la mayoría de los clientes de Medibank que se vieron afectados por el ataque cibernético les robaron su información personal básica, incluidos sus nombres, direcciones y números de teléfono.
Sin embargo, 480.000 de estos clientes también tenían reclamos de salud que habían hecho con la aseguradora robada.
Los piratas informáticos han publicado datos confidenciales, incluida información sobre el estado de salud mental de las personas, el consumo de drogas y alcohol y los abortos en la web oscura.
El Sr. Wilkins “se disculpó sin reservas” con todas las personas afectadas por el crimen “despreciable”.
Insistió en que Medibank había sido «transparente» al comunicarse sobre el hackeo con los clientes.
El director ejecutivo de Medibank, David Koczkar, dijo a los accionistas que Medibank estaba en proceso de contactar directamente a los clientes cuyos datos de salud se habían visto comprometidos o expuestos.
Koczkar dijo que la aseguradora siempre se había tomado la seguridad informática «muy, muy en serio».
“Creemos que nuestros procesos fueron sólidos, aunque claramente no lo suficientemente sólidos en esta circunstancia. Y buscaremos aprender de eso una vez que hayamos completado esta revisión”, dijo.
La mayoría de las preguntas que los accionistas hicieron al directorio de Medibank fueron sobre el ataque cibernético y cómo pudo ocurrir.
La Policía Federal Australiana ha identificado a los ciberdelincuentes en Rusia como los perpetradores.
El comisionado de la AFP, Reece Kershaw, dijo la semana pasada que la AFP intentaría hablar con las fuerzas del orden rusas sobre el grupo de ransomware, y pidió a las autoridades de Moscú que cooperen con la investigación.
Kershaw dijo que la AFP conocía las identidades de las personas involucradas, pero no quiso nombrarlas cuando habló con los periodistas en Canberra el viernes pasado.