La vice-présidente de l'APRA, Margaret Cole, a déclaré que les attaques avaient renforcé les préoccupations du régulateur concernant les faiblesses des contrôles de la sécurité de l'information des fonds, car elle a rappelé aux fonds qu'ils avaient une obligation «non négociable» de protéger l'argent et les données des membres.
L'APRA adjointe Margaret Cole.Crédit: Louise Kennerley
« Les récentes attaques de bourrage d'identification ont renforcé les préoccupations de l'APRA concernant les faiblesses persistantes dans les contrôles de la sécurité des licences RSE (entité d'enseignement d'enseignement enregistrable), en particulier celles liées à l'authentification », a déclaré Cole.
«Bien que l'APRA ait constamment souligné l'importance de la cybersécurité robuste, il est clair que les contrôles actuels ne sont pas toujours proportionnels aux vulnérabilités et menaces évolutives, ni à la criticité et à la sensibilité des données et des actifs des membres qu'ils protègent.»
L'Association des fonds de pension de retraite en Australie a déclaré que les attentes de l'APRA étaient justes et raisonnables, et que l'organisme de l'industrie avait commencé à travailler sur la création de contrôles de fraude minimale à l'échelle du secteur.
Australiansuper a déclaré que le fonds avait une authentification multi-facteurs sur son application et son portail Web, et qu'il y avait également des systèmes arrière qui offraient une protection supplémentaire. Les mises à niveau de la sécurité ont continué à être déployées, a-t-il déclaré.
REST a déclaré que l'authentification multi-facteurs a été utilisée pour un certain nombre de processus, y compris les connexions d'accès aux membres et l'inscription à l'application, et il a également surveillé pour fraude d'autres manières.
CBU a déclaré que l'authentification multi-facteurs était déjà en place pour des modifications clés sur les comptes des membres, y compris pour modifier le mot de passe ou les coordonnées, et pour demander des paiements ou des retraits. Le fonds a déclaré en avril qu'il a détecté un pic dans les tentatives de connexion, mais il n'a trouvé aucune preuve de fonds volés ou d'attaquants accédant aux informations ou comptes personnels des membres.
Australian Retirement Trust a déclaré que le fonds avait introduit l'authentification multi-facteurs l'année dernière et qu'il continuerait de travailler en étroite collaboration avec les régulateurs pour soutenir les membres, notamment en envisageant d'aider les membres qui n'avaient pas opté pour l'authentification multi-facteurs.
Insignia a déclaré qu'il avait mis en place l'authentification multi-facteurs en place pour l'extension, la plate-forme ciblée dans la cyberattaque de cette année, pour des activités clés telles que l'inscription, les retraits et les modifications des comptes bancaires.
HostPlus a également déjà une authentification multi-facteurs en place.