প্রুডেন্সিয়াল ফাইল এসইসি-এর সাথে স্বেচ্ছায় লঙ্ঘনের নোটিশ

এর হিল উপর তাজা ব্যাংক অফ আমেরিকা সাইবার আপস, আরেকটি Fortune 500 জায়ান্ট উল্লেখযোগ্যভাবে ডেটা লঙ্ঘনের ক্রসহেয়ারে রয়েছে: প্রুডেনশিয়াল ফিনান্সিয়াল এই সপ্তাহে বলেছে যে হ্যাকাররা মাসের শুরুতে তার সিস্টেমগুলির "কিছু" ক্র্যাক করেছে।

ঘোষণাটি অন্য কারণের জন্যও দাঁড়িয়েছে: যদিও কর্পোরেশনগুলি এখন প্রয়োজন সাইবার সিকিউরিটি ঘটনাগুলি রিপোর্ট করুন যেগুলির "উপাদান" প্রভাব রয়েছে৷ ইউএস সিকিউরিটিজ অ্যান্ড এক্সচেঞ্জ কমিশনের (এসইসি) ক্রিয়াকলাপের জন্য, প্রুডেনশিয়াল এই ধরনের কোনও প্রভাব নির্ধারণ করার আগে একটি স্বেচ্ছামূলক ঘটনা প্রকাশের সাথে সেই নতুন ম্যান্ডেটের আগে বেরিয়ে এসেছে বলে মনে হচ্ছে।

"এটা দেখে খুব ভালো লাগছে যে প্রুডেনশিয়াল ফাইন্যান্সিয়াল দ্রুত তথ্য লঙ্ঘন সনাক্ত করেছে এবং প্রতিক্রিয়া জানিয়েছে, এবং আমাদের আশা হল যে কোনও সংবেদনশীল ডেটা চুরি হওয়ার আগেই আক্রমণকারীদের থামানো হয়েছিল, এবং ব্যবসার উপর প্রভাব ন্যূনতম," বলেছেন জোসেফ কারসন, প্রধান নিরাপত্তা Delinea এ বিজ্ঞানী এবং উপদেষ্টা CISO. যদিও আপাতত, সেই বিবরণগুলি অস্পষ্ট।

সাইবার ক্রাইম গ্যাং সম্ভবত প্রুডেন্সিয়ালের লঙ্ঘনের পিছনে

একটি ইন ফর্ম 8-কে এসইসি নোটিশ, প্রুডেনশিয়াল বলেন যে এটি 5 ফেব্রুয়ারী তার পরিকাঠামোতে অননুমোদিত অ্যাক্সেস সনাক্ত করেছে। এটি নির্ধারণ করেছে যে হুমকি অভিনেতা, যাকে আর্থিক এবং বীমা বিহেমথ একটি সংগঠিত সাইবার ক্রাইম গ্রুপ বলে বিশ্বাস করে, তার আগের দিন "কিছু [আইটি] থেকে প্রশাসনিক এবং ব্যবহারকারীর ডেটাতে অ্যাক্সেস পেয়েছিল। সিস্টেম, এবং কর্মচারী এবং ঠিকাদারদের সাথে যুক্ত কোম্পানি ব্যবহারকারী অ্যাকাউন্টের একটি ছোট শতাংশ।"

কোম্পানি তার ঘটনার প্রতিক্রিয়া শুরু করেছে, যা প্রাথমিক পর্যায়ে রয়েছে; এখনও অবধি, এটা স্পষ্ট নয় যে আক্রমণকারীরা অতিরিক্ত তথ্য বা সিস্টেম অ্যাক্সেস করেছে, গ্রাহক বা ক্লায়েন্টের ডেটা লুট করেছে, বা ঘটনাটি প্রুডেন্সিয়াল অপারেশনগুলিতে কোনও উপাদান প্রভাব ফেলবে কিনা।

এই পরিস্থিতিগুলির কোনও প্রমাণ না থাকায়, প্রুডেনশিয়াল এখনও লঙ্ঘনের প্রতিবেদন করার আদেশের অধীনে নয়। সুতরাং, গবেষকরা বলছেন যে ফার্মের এসইসি ফাইলিং একটি নতুন প্রবণতা কী হতে পারে তার ইঙ্গিত দেয়: সক্রিয় ফাইলিং।

আমাদের এটি করার দরকার নেই - তবে আমরা করব

15 ডিসেম্বর, এসইসি ঘটনা-প্রকাশের নিয়মগুলি পরিবর্তিত হয়েছে যাতে "[একটি সাইবার] ঘটনাটি উপাদান ছিল তা নির্ধারণ করার চার কার্যদিবসের মধ্যে একটি ফর্ম 8-কে ফাইল করতে হবে।"

ক্লদ ম্যান্ডি, সিমেট্রি সিস্টেমের ডেটা সুরক্ষার প্রধান প্রচারক, নোট করেছেন যে লঙ্ঘনের বস্তুগততা সম্পূর্ণরূপে চিহ্নিত করার আগে প্রুডেনশিয়ালের ফাইল ফাইল করার পদক্ষেপ আততায়ীদের দ্বারা যে কোনও চাঁদাবাজির প্রচেষ্টাকে ঠেকানোর একটি প্রচেষ্টা হতে পারে।

নতুন এসইসি প্রবিধানগুলিকে অস্ত্র দেওয়ার সম্ভাবনা মেরিডিয়ানলিঙ্কের ক্ষেত্রে স্পষ্ট, যেটি সাইবার আক্রমণের পরে র্যানসমওয়্যার গ্রুপ ALPHV (ওরফে ব্ল্যাকক্যাট) এর সাথে আলোচনা না করার সিদ্ধান্ত নিয়েছে৷ গ্যাং দ্বারা প্রতিক্রিয়া এসইসির কাছে একটি আনুষ্ঠানিক অভিযোগ দায়ের করা, অভিযোগ করে যে তার সাম্প্রতিক শিকার নতুন প্রকাশের নিয়ম মেনে চলতে ব্যর্থ হয়েছে।

"প্রুডেন্সিয়ালের সক্রিয় হোল্ডিং বিবৃতি এই নতুন ঘটনা রিপোর্টিং শাসনের অধীনে সাইবার অপরাধীদের দ্বারা সাইবার অপরাধের শিকারদের উপর চাপের ইঙ্গিত দেয়," ম্যান্ডি বলেছেন। "এটি একটি ভাল মহড়া করা ঘটনা প্রতিক্রিয়া প্রোগ্রামের একটি চিহ্ন।"

তিনি যোগ করেন, “সাইবার অপরাধীরা ভুক্তভোগীদের কাছ থেকে অর্থ আদায়ের জন্য ঘটনাটি প্রকাশ্যে প্রকাশের হুমকি দিতে পারে এবং করবে। এই ধরনের একটি প্রাথমিক প্রকাশ সেই চাপকে উপশম করে, তবে ঘটনার সম্ভাব্য বস্তুগততা নির্ধারণের জন্য আধুনিক ডেটা সুরক্ষা সরঞ্জামগুলির প্রয়োজন।"

এদিকে, কিপার সিকিউরিটির সিইও এবং সহ-প্রতিষ্ঠাতা ড্যারেন গুসিওন, একটি ইমেল করা বিবৃতিতে বলেছেন যে সাইবার ঘটনার এই ধরনের স্বেচ্ছাসেবী রিপোর্টিং কেবল একটি স্পিন-ডক্টরিং প্রচেষ্টা হতে পারে, ফলআউট দেখার পরে উবার এবং SolarWinds execs জন্য ভোগা ঘটনা রিপোর্ট না যথা সময়ে.

"প্রুডেনশিয়াল সক্রিয়ভাবে সুনামগত ক্ষয়ক্ষতি প্রশমিত করার চেষ্টা করতে পারে … এই ধরনের স্বেচ্ছাসেবী প্রকাশ সম্ভবত প্রবিধানের চেয়ে জনসংযোগ দ্বারা বেশি অনুপ্রাণিত হয়," তিনি উল্লেখ করেছেন।

ঘটনাটি ফেডারেল আইনে একটি স্পষ্ট বর্জনও নির্দেশ করে: এমন কোনও কম্বল ফেডারেল ডেটা গোপনীয়তা বিধি নেই যার জন্য ব্যবসায়িকদের গ্রাহকদেরকে প্রকৃত বা সম্ভাব্য ডেটা লঙ্ঘন সম্পর্কে সরাসরি জানাতে হবে, এবং শাস্তিমূলক বাধা হিসাবে কাজ করে এমন কোনও জরিমানা বা নিষেধাজ্ঞা নেই৷ ফেডগুলি কার্যকরভাবে ডেটা গোপনীয়তা এবং সুরক্ষা রাজ্যগুলি এবং সেক্টর-নির্দিষ্ট এজেন্সি প্রবিধানের কাছে তুলে দিয়েছে; ক্যালিফোর্নিয়া কনজিউমার প্রাইভেসি অ্যাক্ট (CCPA) হল কঠোরতম সুরক্ষাগুলির মধ্যে একটি, যদিও সমালোচকদের অভিযোগ CCPA যথেষ্ট দূরে যায় না.

নতুন এসইসি নিয়মকে অন্যান্য প্রবিধানের থেকে আলাদা করে যা নির্ধারণ করে তা হল সার্বজনীনভাবে ব্যবসা করা কোম্পানিগুলি বস্তুগত প্রভাব নির্ধারণের চার দিনের মধ্যে এই ধরনের লঙ্ঘনের রিপোর্ট করা। বিপরীতে, HIPAA স্বাস্থ্যসেবা সংস্থাগুলিকে এই ধরনের বিজ্ঞপ্তিগুলির জন্য 60 দিন সময় দেয়।

প্রুডেনশিয়াল অবিলম্বে ডার্ক রিডিং থেকে মন্তব্যের জন্য একটি অনুরোধ ফেরত দেয়নি। ম্যান্ডি নোট করেছেন যে আপাতত, প্রুডেনশিয়াল গ্রাহকদের কেবল অপেক্ষা করতে হবে এবং তাদের তথ্য লঙ্ঘনের ক্ষেত্রে আপস করা হয়েছে কিনা তা দেখতে হবে।

"যেমন আমরা অন্যান্য লঙ্ঘনের সাথে দেখেছি, ঘটনার আরও কিছু দিক থাকতে পারে যা তদন্ত এবং ফলাফল অব্যাহত থাকার সাথে সাথে উন্মোচিত হয়," ম্যান্ডি বলেছেন। “প্রুডেনশিয়ালের হোল্ডিং স্টেটমেন্ট ইঙ্গিত দেয় যে তারা এখন যা জানে তার উপর ভিত্তি করে, তারা বিশ্বাস করে না যে এটি বস্তুগততার জন্য তাদের থ্রেশহোল্ড পূরণ করে। এই থ্রেশহোল্ড প্রুডেনশিয়াল দ্বারা নির্ধারিত হয়, প্রভাব (তাদের দৃষ্টিতে) কোন বিনিয়োগকারী বা শেয়ারহোল্ডারের কাছে বস্তুগত তথ্য হবে কিনা তার উপর ভিত্তি করে।"

তিনি যোগ করেন, "তদন্ত অব্যাহত থাকায় আমরা প্রুডেনশিয়াল থেকে আরও বিশদ বিশ্লেষণ দেখতে পাব বলে আশা করি।"

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec