Australian Retirement Trust a déclaré que les membres peuvent opter pour utiliser le MFA, et il avait des exigences de sécurité supplémentaires pour certaines transactions. Insignia Financial a déclaré qu'il utilise le MFA pour des «activités clés» telles que l'enregistrement, les retraits et l'évolution des détails du compte bancaire. CBU a déclaré qu'il avait également utilisé le MFA pour des activités clés.
Australiansuper, qui était le seul fonds à révéler que quatre de ses membres ont perdu 500 000 $ combinés pendant la cyberattaque, a mis en place le MFA pour les membres qui demandent via le site Web ou l'application pour retirer des fonds. Un porte-parole a déclaré qu'il déploierait plus largement les contrôles de la MFA le mois prochain.
Mardi, le régulateur a déclaré qu'il avait travaillé avec la Commission australienne sur les valeurs mobilières et les investissements et le Bureau national de la cybersécurité pour l'attaque.
« Conformément aux protocoles de l'APRA pour répondre aux événements de ce type, la supervision a été renforcée dans l'industrie avec un objectif de partage d'informations et de surveillance et de confinement des problèmes – dans le but de protéger les Australiens », a déclaré une porte-parole de l'APRA.
Bien que l'APRA n'impose pas les entités qu'elle réglemente pour utiliser le MFA, les conseils sont finalement responsables de la sécurité de l'information de leurs organisations. Le Financial Services Council, qui représente les fonds de vente au détail, oblige ses membres à utiliser le MFA à partir de juillet 2026.
Le directeur des services de sécurité de l'Arctic Wolf, Mark Thomas, a déclaré que l'APRA devrait obliger toutes les organisations de services financiers, y compris les super fonds, pour déployer le MFA.
« Purement dans la farce des informations d'identification, avoir le MFA aiderait à limiter la capacité des pirates à compromettre les informations d'identification des utilisateurs », a déclaré Thomas.
« En fin de compte, nous devons faire appliquer le MFA pour tout le monde chaque fois que quelqu'un accède à ces portails, par exemple à mettre à jour les détails, à mettre à jour le transfert de fonds en dehors de l'organisation. Mais (il est également important) d'avoir une identité et une gestion d'accès plus holistiques qui examinent le temps de la journée, le comportement de l'utilisateur, où il se déconnecte – qui aidera tous le risque. »
Une porte-parole du ministère des Affaires intérieures a déclaré que «l'Office national de la cybersécurité continue de coordonner l'engagement à travers le gouvernement australien et avec les parties prenantes de l'industrie concernant les problèmes concernant le secteur de la pension de retraite».