Prudential-arkiverer meddelelse om frivillig brud med SEC

Frisk i hælene på Bank of America cyberkompromis, er en anden Fortune 500-gigant især i databrudets trådkors: Prudential Financial sagde i denne uge, at hackere knækkede "visse" af deres systemer tidligere på måneden.

Meddelelsen skiller sig også ud af en anden grund: Mens virksomheder nu er forpligtet til det rapportere cybersikkerhedshændelser, der har "væsentlig" indvirkning til operationer til US Securities & Exchange Commission (SEC), ser Prudential ud til at være kommet ud af det nye mandat med en frivillig afsløring af hændelser, før en sådan påvirkning er blevet fastslået.

"Det er dejligt at se, at Prudential Financial hurtigt opdagede og reagerede på databruddet, og vores håb er, at angriberne blev stoppet, før nogen følsomme data blev stjålet, og at indvirkningen på virksomheden er minimal," siger Joseph Carson, chefsikkerhedschef. videnskabsmand og rådgivende CISO hos Delinea. For nu er disse detaljer dog uklare.

Cyberkriminalitetsbande sandsynligvis bag Prudentials brud

I en Form 8-K-meddelelse til SEC, sagde Prudential at den opdagede uautoriseret adgang til sin infrastruktur den 5. februar. Den fastslog, at trusselsaktøren, som finans- og forsikringsmægleren mener var en organiseret cyberkriminalitetsgruppe, havde fået adgang dagen før til "administrative og brugerdata fra visse [IT]" systemer og en lille procentdel af virksomhedens brugerkonti forbundet med medarbejdere og entreprenører."

Virksomheden har skudt sin hændelsesreaktion i gang, som er i de tidlige stadier; indtil videre er det uklart, om angriberne fik adgang til yderligere information eller systemer, røver kunde- eller klientdata, eller om hændelsen vil have en væsentlig indvirkning på tilsynsdriften.

Uden bevis for nogen af ​​disse scenarier er Prudential endnu ikke under mandat til at rapportere bruddet. Forskere siger således, at firmaets SEC-arkivering er et tegn på, hvad der kunne være en ny trend: proaktive ansøgninger.

Vi behøver ikke at gøre dette - men vi vil

Den 15. december blev SEC-hændelsesreglerne ændret til at kræve, at en formular 8-K skal indgives inden for "fire hverdage efter at have fastslået, at [en cyber-hændelse] var væsentlig."

Claude Mandy, chefevangelist for datasikkerhed hos Symmetry Systems, bemærker, at Prudentials træk til fil, før den fuldt ud identificerer væsentligheden af ​​bruddet, kunne være et forsøg på at afbøde enhver afpresningsforsøg fra overfaldsmændene.

Potentialet for at våben de nye SEC-regler er tydeligt i tilfældet MeridianLink, som valgte ikke at forhandle med ransomware-gruppen ALPHV (aka BlackCat) efter et cyberangreb. Banden svarede ved indgivelse af en formel klage til SEC, med påstand om, at dets nylige offer undlod at overholde nye regler for offentliggørelse.

"Den proaktive holding-erklæring fra Prudential er et tegn på det pres, der bliver lagt på ofre for cyberkriminalitet af cyberkriminelle under dette nye hændelsesrapporteringsregime," siger Mandy. "Det er et tegn på et velindøvet hændelsesprogram."

Han tilføjer, "cyberkriminelle kan og vil true med offentliggørelse af hændelsen for at afpresse penge fra ofrene. En tidlig afsløring som denne aflaster dette pres, men det kræver moderne datasikkerhedsværktøjer til at bestemme den sandsynlige væsentlighed af hændelsen."

I mellemtiden sagde Darren Guccione, administrerende direktør og medstifter hos Keeper Security, i en e-mail-erklæring, at en sådan frivillig rapportering af cyberhændelser simpelthen kunne være en spin-doktorindsats, efter at have set nedfaldet, at Uber , SolarWinds execs lidt for ikke rapportere hændelser i rette tid.

"Prudential forsøger muligvis at proaktivt afbøde skade på omdømme ... denne form for frivillig afsløring er sandsynligvis mere motiveret af public relations end regler," bemærkede han.

Hændelsen peger også på en iøjnefaldende udeladelse i føderal lovgivning: Der er ingen generelle føderale databeskyttelseslove, der kræver, at virksomheder informerer kunderne direkte om reelle eller potentielle databrud, og ingen tilsvarende bøder eller sanktioner på plads, der virker som afskrækkende straffe. Fed'erne har effektivt henvist databeskyttelse og databeskyttelse til staterne og sektorspecifikke agenturreguleringer; California Consumer Privacy Act (CCPA) er en af ​​de strengeste beskyttelser, selvom kritikere klager CCPA går ikke langt nok.

Det, der adskiller den nye SEC-regel fra andre regler, er dens krav om, at børsnoterede virksomheder rapporterer sådanne overtrædelser inden for fire dage efter at have fastslået væsentlig indvirkning. I modsætning hertil giver HIPAA sundhedsenheder 60 dage til sådanne meddelelser.

Prudential returnerede ikke straks en anmodning om kommentar fra Dark Reading. Mandy bemærker, at Prudential-kunder indtil videre blot skal vente og se, om deres oplysninger er blevet kompromitteret i bruddet.

"Som vi har set med andre brud, kan der være yderligere aspekter af hændelsen, som bliver afsløret, efterhånden som efterforskningen og nedfaldet fortsætter," siger Mandy. "Beholdningserklæringen fra Prudential indikerer, at baseret på, hvad de ved lige nu, mener de ikke, at det når deres tærskel for væsentlighed. Denne tærskel bestemmes af Prudential, baseret på om virkningen (efter deres opfattelse) ville være væsentlig information til en investor eller aktionær."

Han tilføjer: "Vi håber at se mere detaljeret analyse fra Prudential, efterhånden som undersøgelsen fortsætter."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec