الملفات الاحترازية لإشعار الخرق الطوعي لدى هيئة الأوراق المالية والبورصات

طازجة في أعقاب اختراق بنك أوف أمريكا السيبراني، هناك عملاق آخر من شركات Fortune 500 في مرمى اختراق البيانات: قالت شركة Prudential Financial هذا الأسبوع إن المتسللين اخترقوا "بعضًا" من أنظمتها في وقت سابق من الشهر.

يبرز هذا الإعلان أيضًا لسبب آخر: في حين أن الشركات مطالبة الآن بذلك الإبلاغ عن حوادث الأمن السيبراني التي لها تأثير "مادي". فيما يتعلق بعمليات هيئة الأوراق المالية والبورصة الأمريكية (SEC)، يبدو أن شركة برودنشيال قد استبقت هذا التفويض الجديد بالكشف الطوعي عن الحادث، قبل تحديد أي تأثير من هذا القبيل.

يقول جوزيف كارسون، رئيس قسم الأمن: "من الرائع أن نرى أن شركة Prudential Financial اكتشفت بسرعة خرق البيانات واستجابت له، ونأمل أن يتم إيقاف المهاجمين قبل سرقة أي بيانات حساسة، وأن يكون التأثير على الأعمال في حده الأدنى". عالم واستشاري كبير مسؤولي أمن المعلومات في Delinea. لكن في الوقت الحالي، هذه التفاصيل غير واضحة.

من المحتمل أن تكون عصابة الجرائم الإلكترونية وراء خرق Prudential

في باقة قالت شركة برودنشيال إن النموذج 8-K قد تم تقديمه إلى هيئة الأوراق المالية والبورصات أنها اكتشفت وصولاً غير مصرح به إلى بنيتها التحتية في 5 فبراير. وقررت أن جهة التهديد، التي تعتقد الشركة المالية والتأمينية العملاقة أنها مجموعة منظمة لجرائم الإنترنت، قد تمكنت في اليوم السابق من الوصول إلى "البيانات الإدارية وبيانات المستخدم من بعض [تكنولوجيا المعلومات] الأنظمة، ونسبة صغيرة من حسابات مستخدمي الشركة المرتبطة بالموظفين والمقاولين.

بدأت الشركة استجابتها للحوادث، والتي لا تزال في المراحل الأولى؛ حتى الآن، ليس من الواضح ما إذا كان المهاجمون قد تمكنوا من الوصول إلى معلومات أو أنظمة إضافية، أو سرقة بيانات العملاء أو العملاء، أو ما إذا كان الحادث سيكون له تأثير مادي على العمليات الحصيفة.

ومع عدم وجود دليل على أي من هذه السيناريوهات، فإن شركة Prudential ليست بعد مفوضة بالإبلاغ عن الانتهاك. وبالتالي، يقول الباحثون إن تقديم الشركة إلى هيئة الأوراق المالية والبورصات يشير إلى ما يمكن أن يكون اتجاهًا جديدًا: التسجيلات الاستباقية.

لا نحتاج إلى القيام بذلك، ولكننا سنفعل ذلك

في 15 ديسمبر/كانون الأول، تغيرت قواعد الكشف عن الحوادث الصادرة عن هيئة الأوراق المالية والبورصة لتتطلب تقديم النموذج 8-K في غضون "أربعة أيام عمل من تحديد أن الحادث [الإلكتروني] كان جوهريًا".

يشير كلود ماندي، كبير المبشرين لأمن البيانات في شركة Symmetry Systems، إلى أن تحرك Prudential لتقديم ملف قبل التعرف بشكل كامل على جوهر الانتهاك يمكن أن يكون بمثابة محاولة لإلغاء أي محاولات ابتزاز من قبل المهاجمين.

تتجلى إمكانية استخدام لوائح هيئة الأوراق المالية والبورصات الجديدة كسلاح في حالة شركة MeridianLink، التي اختارت عدم التفاوض مع مجموعة برامج الفدية ALPHV (المعروفة أيضًا باسم BlackCat) بعد تعرضها لهجوم إلكتروني. وردت العصابة تقديم شكوى رسمية إلى هيئة الأوراق المالية والبورصات، زاعمة أن ضحيتها الأخيرة فشلت في الالتزام بلوائح الإفصاح الجديدة.

يقول ماندي: "يشير بيان الحجز الاستباقي الذي أصدرته شركة Prudential إلى الضغط الذي يمارسه مجرمو الإنترنت على ضحايا الجرائم الإلكترونية بموجب نظام الإبلاغ عن الحوادث الجديد هذا". "إنها علامة على برنامج الاستجابة للحوادث الذي تم التدريب عليه جيدًا."

ويضيف: "يمكن لمجرمي الإنترنت أن يهددوا بالكشف العلني عن الحادث لابتزاز الأموال من الضحايا وسيقومون بذلك. إن الكشف المبكر مثل هذا يخفف هذا الضغط، ولكنه يتطلب أدوات حديثة لأمن البيانات لتحديد الأهمية المادية المحتملة للحادث.

وفي الوقت نفسه، قال دارين جوتشيوني، الرئيس التنفيذي والمؤسس المشارك لشركة Keeper Security، في بيان عبر البريد الإلكتروني إن مثل هذا الإبلاغ الطوعي عن الحوادث السيبرانية يمكن أن يكون مجرد جهد للتلاعب، بعد رؤية التداعيات التي أدت إلى حدوث ذلك. اوبر و سولارويندز عانى التنفيذيين ل عدم الإبلاغ عن الحوادث في الوقت المناسب.

وأشار إلى أنه "ربما تحاول شركة Prudential التخفيف بشكل استباقي من الضرر الذي يلحق بالسمعة... وهذا النوع من الإفصاح الطوعي من المرجح أن يكون مدفوعًا بالعلاقات العامة أكثر من اللوائح التنظيمية".

يشير الحادث أيضًا إلى إغفال صارخ في القانون الفيدرالي: لا توجد قوانين فيدرالية شاملة بخصوصية البيانات تتطلب من الشركات إبلاغ العملاء مباشرة بانتهاكات البيانات الحقيقية أو المحتملة، ولا توجد غرامات أو عقوبات مقابلة تعمل كرادع عقابي. لقد قامت الحكومة الفيدرالية بشكل فعال بنقل خصوصية البيانات وحمايتها إلى الولايات وتنظيم الوكالات الخاصة بقطاع معين؛ يعد قانون خصوصية المستهلك في كاليفورنيا (CCPA) واحدًا من أكثر وسائل الحماية صرامة، على الرغم من شكوى النقاد CCPA لا يذهب بعيدا بما فيه الكفاية.

ما يميز قاعدة هيئة الأوراق المالية والبورصة الجديدة عن اللوائح الأخرى هو اشتراطها على الشركات المتداولة علنًا الإبلاغ عن مثل هذه الانتهاكات في غضون أربعة أيام من تحديد التأثير المادي. في المقابل، يمنح HIPAA كيانات الرعاية الصحية 60 يومًا لمثل هذه الإخطارات.

ولم ترد شركة Prudential على الفور على طلب التعليق من Dark Reading. تشير ماندي إلى أنه في الوقت الحالي، سيحتاج عملاء Prudential فقط إلى الانتظار ومعرفة ما إذا كانت معلوماتهم قد تم اختراقها في الاختراق.

يقول ماندي: "كما رأينا مع الانتهاكات الأخرى، قد تكون هناك جوانب أخرى للحادث يتم الكشف عنها مع استمرار التحقيق وتداعياته". "يشير بيان الحجز الصادر عن شركة Prudential إلى أنه بناءً على ما يعرفونه الآن، فإنهم لا يعتقدون أنه يلبي عتبة الأهمية النسبية الخاصة بهم. يتم تحديد هذه العتبة من قبل شركة Prudential، بناءً على ما إذا كان التأثير (من وجهة نظرهم) سيكون عبارة عن معلومات جوهرية للمستثمر أو المساهمين.

ويضيف: "نأمل أن نرى تحليلاً أكثر تفصيلاً من شركة برودنشيال مع استمرار التحقيق".

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec