אופטוס נתבעת, מה השתבש ואילו לקחים נוכל ללמוד?

מאת פיל מונקסטר • 25 ספטמבר 2025

גלגלי הצדק נעים לפעמים לאט. כך גם באוסטרליה, שם רגולטור הפרטיות לבסוף הגישו הליכים אזרחיים לעונש נגד ענקית הטלקום אופטוס בגין פרצת נתונים בשנת 2022, טענה שעדיין מהדהדת עד היום.

בית המשפט הפדרלי יכול להטיל קנס אזרחי של עד 2.2 מיליון דולר אוסטרלי (1.1 מיליון ליש"ט) על כל הפרה, ונציב המידע האוסטרלי (AIC) טוען להפרה אחת עבור כל אחד מ-9.5 מיליון האנשים שלטענתו, אופטוס "הפריעה באופן חמור לפרטיותם". למרות שזה מאוד לא סביר, משמעות הדבר היא קנס מקסימלי תיאורטי של מעל 20 טריליון דולר אוסטרלי (9.8 טריליון ליש"ט).

אבל אפשר לטעון שחשוב יותר מתוצאת המקרה הוא מה שעסקים מקומיים יכולים ללמוד מהאירוע - מבחינת האופן שבו הם מנהלים נתונים וניהול סיכונים.

פרצה שזעזעה את אוסטרליה

התקרית מתוארכת לספטמבר 2022, כאשר גורם איום הצליח לגשת למידע האישי של מיליוני לקוחות בחברת התקשורת השנייה בגודלה באוסטרליה. זה כלל:

שמות, תאריכי לידה, כתובות מגורים, מספרי טלפון וכתובות דוא"ל
מספרי דרכון, מספרי רישיון נהיגה, מספרי כרטיסי מדיקר, מידע על תעודות לידה ותעודת נישואין, ומידע על זיהוי של כוחות מזוינים, כוחות הגנה ומשטרה

ה-AIC טוענת כי אופטוס "לא נקטה בצעדים סבירים" כדי להגן על מידע זה, תוך ציטוט גודל החברה ומשאביה, כמות הנתונים שהופרצו והסיכון לפגיעה באנשים פרטיים עקב חשיפתו.

היקף הנזק המדויק שנגרם לקורבנות בפועל שנוי במחלוקת. למרות שגורם האיום דרש במקור כופר של מיליון דולר (740,000 ליש"ט), מאוחר יותר שינה את דרכו וטען למחוק את הנתונים. האם הם נמכרו או שימשו נוכלים נותר בגדר תעלומה. אבל הלחץ הרגשי שהותיר אחריו על אינספור אוסטרלים ועל ארגוני הממשלה שנאלצו להנפיק מחדש מסמכי זהות, ברור.

הזעם הלאומי שנגרם עקב התקרית בישר על משטר אבטחת סייבר חדש עם רמת ביטחון גבוהה יותר קנסות על הפרות נתונים, והחוק העצמאי הראשון של המדינה בתחום זה: ה- חוק האבטחהרשות התקשורת והמדיה האוסטרלית (ACMA) תובעת גם את Optus בגין הפרת חוק התקשורת (יירוט וגישה) משנת 1979.

מה קרה?

ה-AIC שמרה על שתיקה בנוגע לפרטי ההפרה. עם זאת, מסמכים שהוגשו בתיק ACMA נחשפו על ידי כרטיס אבטחה ספר סיפור מפורט על מה שקרה ומה השתבש. ספק האבטחה טוען כי:

גורם האיום קיבל גישה לנתוני Optus באמצעות API רדום ומוגדר בצורה שגויה
ממשק ה-API הפך להיות פונה לאינטרנט בשנת 2020, אך בקרות הגישה שלו הפכו ללא יעילות עקב שגיאת קידוד שהוצגה בשנת 2018.
למרות שבעיות דומות נמצאו ותוקנו בדומיין הראשי של Optus בשנת 2021, תת-הדומיין המכיל את ה-API נותר "חשוף, לא מנוטר ולא תוקן".
גורם האיום הצליח לבצע שאילתות ברשומות לקוחות במשך מספר ימים, תוך שהוא עובר בין עשרות אלפי כתובות IP כדי להתחמק מגילוי.

מלבד בעיית האבטחה עצמה, הועלו סימני שאלה מדוע מיליוני רשומות פרצויות קשורות ללקוחות לשעבר. נוהג מזעור נתונים מומלץ קובע כי רבים מאלה היו צריכים להימחק. היו גם תלונות על מאמצי התקשורת של Optus בנושאי משברהחברה טענה במקור כי נפלה קורבן ל"מתקפה מתוחכמת", אשר מאוחר יותר הופרכה על ידי מומחים. חלקם התלוננו לאחר מכן כי החברה איטית בשחרור פרטים חשובים ללקוחות מודאגים, התנצלות ולקחת אחריות, ובמתן ייעוץ מעשי לאלו שנפגעו.

"הפריצה ל-Optus היא תזכורת ברורה לכך שניהול סיכוני סייבר יש שני צדדים. הראשון הוא בפיתוח התוכנה עצמו - זיהוי וניהול סיכונים לפני, במהלך ואחרי שהקוד עלה לאוויר. תוכנה לא מאובטחת או תצורה שגויה עלולות ליצור השלכות משמעותיות כאשר מעורבים פרטי לקוחות", אומר מנהל Patterned Security, מק מואן, ל-ISMS.online.

"השני הוא איך אתם מטפלים באירוע. תוכנית מוכחת ובדוקה להתאוששות מאסון, להיות גלויים מראש, לתקשר מוקדם ותכוף, ולתת ללקוחות בהירות לגבי מה שהושפע. צעדים אלה נותנים לכם את הסיכוי הטוב ביותר לשמור על אמון הלקוחות."

אילו לקחים נוכל ללמוד?

הפריצה לאופטוס הייתה הראשונה בשורה ארוכה של תקריות של שמות גדולים שזעזעו את אוסטרליה, כולל Medibank ו-Latitude Financial. אך בתור הראשונה ואחת הגרועות ביותר, היא מהווה סיפור אזהרה עבור רבים. חברת האם Singtel להניח בצד 140 מיליון דולר אוסטרלי (68.5 מיליון ליש"ט) לכיסוי עלות הנשורת, והיו דיווחים על נטישת לקוחות משמעותית בעקבות התקרית.

מנקודת מבט טכנית גרידא, מנהלי מערכות מידע צריכים לשקול:

מעקב אחר סיכוני אבטחה פוטנציאליים כגון ממשקי API רדומים ונכסים לא מנוהלים
פריסת ניטור מבוסס התנהגות כדי לסמן פעילות חשודה (כגון רוטציית IP)
מזעור נתונים כנוהג מומלץ, תוך הבטחת מחיקת כל דבר שאינו נחוץ עוד לארגון.
שיטות קידוד מאובטחות (DevSecOps) כולל סריקה אוטומטית

ריאן שרסטוביטוף, קצין מודיעין איומים ראשי בשטח ב-SecurityScorecard, אומר ל-ISMS.online: "הפריצה של Optus מדגישה את הצורך במלאי וביקורות קפדניות של API (כולל נקודות קצה רדומות), קידוד מאובטח עם סריקת פגיעויות רציפה, מדיניות חזקה של שמירת/מחיקת נתונים וזיהוי אנומליות מתקדם כדי לזהות טקטיקות תוקף בעלות תחכום נמוך אך יעילות."

בנפרד, ה-AIC מתמקד בצורך בבקרות אבטחה מרובדות, בעלות ברורה על תחומים, ניטור אבטחה חזק וסקירות סדירות. עם זאת, ארגונים יכולים לטעון שהדבר יעזור להם. תגובה הוליסטית יותר תהיה ליישם סטנדרטים של שיטות עבודה מומלצות כמו ISO 27001 ו-27701 (ליישום מערכת ניהול אבטחת מידע ומערכת ניהול מידע לפרטיות בהתאמה).

הם מציעים מסגרת מקיפה ומבוססת סיכונים לניהול והגנה על נתונים רגישים, כולל מידע המאפשר זיהוי אישי (PII). המסע לעמידה בתקנות יבטיח שארגונים יוכלו להבין אילו נתונים הם מנהלים, היכן עשויים להתקיים פערים באבטחה ואילו בקרות ותהליכים יסייעו לסגור פערים אלה. באופן מכריע, התקנים מקדמים את הרעיון של ניטור ושיפור מתמידים, כך שארגונים מצייתים יסתגלו בהצלחה לתשתיות IT משתנות, למגמות איומים ולגורמים אחרים.

"מסגרות ISMS אלו מספקות בקרות מובנות וניתנות לביקורת עבור ניהול נכסים, פיתוח מאובטח, ניטור וממשל מחזור החיים של PII - ועוזרות לארגונים לאכוף עקרונות של אפס אמון, למזער חשיפת נתונים ולהימנע מנקודות עיוורות בקידוד או שמירה לטווח ארוך", אומר שרסטוביטוף.

הפריצה לאופטוס אולי התרחשה לפני שלוש שנים, אך היא עדיין מטילה צל על עסקים אוסטרליים כיום. אם יותר אנשים ילמדו מטעויות העבר, זה לא דבר רע.

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.