Προληπτικά Αρχεία Εθελούσια ειδοποίηση παραβίασης με την SEC

Φρέσκο ​​στις φτέρνες του Συμβιβασμός στον κυβερνοχώρο της Bank of America, ένας άλλος γίγαντας του Fortune 500 βρίσκεται κυρίως στο στόχαστρο παραβίασης δεδομένων: Η Prudential Financial δήλωσε αυτή την εβδομάδα ότι οι χάκερ έσπασαν «ορισμένα» από τα συστήματά της νωρίτερα μέσα στον μήνα.

Η ανακοίνωση ξεχωρίζει και για έναν άλλο λόγο: Ενώ πλέον οι εταιρείες υποχρεούνται αναφέρετε περιστατικά κυβερνοασφάλειας που έχουν «υλικό» αντίκτυπο στις λειτουργίες της Επιτροπής Κεφαλαιαγοράς των ΗΠΑ (SEC), η Prudential φαίνεται να έχει ξεφύγει πριν από τη νέα εντολή με μια εθελοντική αποκάλυψη περιστατικών, προτού προσδιοριστεί οποιαδήποτε τέτοια επίπτωση.

"Είναι υπέροχο να βλέπουμε ότι η Prudential Financial εντόπισε γρήγορα και αντέδρασε στην παραβίαση δεδομένων και ελπίζουμε ότι οι εισβολείς σταμάτησαν πριν κλαπούν ευαίσθητα δεδομένα και ότι ο αντίκτυπος στην επιχείρηση είναι ελάχιστος", λέει ο Joseph Carson, επικεφαλής ασφαλείας επιστήμονας και σύμβουλος CISO στην Delinea. Προς το παρόν, ωστόσο, αυτές οι λεπτομέρειες είναι ασαφείς.

Συμμορία κυβερνοεγκλήματος Πιθανώς πίσω από την παραβίαση της Prudential

Σε Έντυπο ειδοποίησης 8-K προς την SEC, είπε η Prudential ότι εντόπισε μη εξουσιοδοτημένη πρόσβαση στην υποδομή της στις 5 Φεβρουαρίου. Καθόρισε ότι ο παράγοντας απειλής, τον οποίο ο χρηματοπιστωτικός και ασφαλιστικός μεγαθήρας πιστεύει ότι ήταν μια οργανωμένη ομάδα εγκλήματος στον κυβερνοχώρο, είχε αποκτήσει πρόσβαση την προηγούμενη ημέρα σε «διοικητικά δεδομένα και δεδομένα χρηστών από ορισμένες [IT] συστήματα και ένα μικρό ποσοστό εταιρικών λογαριασμών χρηστών που σχετίζονται με υπαλλήλους και εργολάβους».

Η εταιρεία έχει ξεκινήσει την αντιμετώπιση περιστατικών, η οποία βρίσκεται στα αρχικά στάδια. Μέχρι στιγμής, δεν είναι σαφές εάν οι εισβολείς είχαν πρόσβαση σε πρόσθετες πληροφορίες ή συστήματα, ληστεία σε δεδομένα πελατών ή πελατών ή εάν το περιστατικό θα έχει ουσιώδη αντίκτυπο στις προληπτικές λειτουργίες.

Χωρίς στοιχεία για κανένα από αυτά τα σενάρια, η Prudential δεν έχει ακόμη εντολή να αναφέρει την παραβίαση. Έτσι, οι ερευνητές λένε ότι η κατάθεση SEC της εταιρείας είναι ενδεικτική αυτού που θα μπορούσε να είναι μια νέα τάση: οι προληπτικές καταθέσεις.

Δεν χρειάζεται να το κάνουμε αυτό - αλλά θα το κάνουμε

Στις 15 Δεκεμβρίου, οι κανόνες αποκάλυψης περιστατικών της SEC άλλαξαν για να απαιτηθεί η κατάθεση ενός εντύπου 8-K εντός "τεσσάρων εργάσιμων ημερών από τη στιγμή που διαπιστώθηκε ότι [ένα περιστατικό στον κυβερνοχώρο] ήταν σημαντικό".

Ο Claude Mandy, επικεφαλής ευαγγελιστής για την ασφάλεια δεδομένων στη Symmetry Systems, σημειώνει ότι η κίνηση της Prudential να καταθέσει πριν από τον πλήρη προσδιορισμό της ουσιαστικότητας της παραβίασης θα μπορούσε να είναι μια προσπάθεια να καταστρέψουν τυχόν απόπειρες εκβιασμού από τους δράστες.

Η δυνατότητα οπλισμού των νέων κανονισμών της SEC είναι εμφανής στην περίπτωση της MeridianLink, η οποία επέλεξε να μην διαπραγματευτεί με την ομάδα ransomware ALPHV (γνωστή και ως BlackCat) μετά από μια κυβερνοεπίθεση. Η συμμορία απάντησε από υποβάλλοντας επίσημη καταγγελία στην Επιτροπή Κεφαλαιαγοράς, ισχυριζόμενος ότι το πρόσφατο θύμα του δεν συμμορφώθηκε με τους νέους κανονισμούς αποκάλυψης.

"Η προληπτική δήλωση από την Prudential είναι ενδεικτική της πίεσης που ασκείται στα θύματα του εγκλήματος στον κυβερνοχώρο από εγκληματίες στον κυβερνοχώρο υπό αυτό το νέο καθεστώς αναφοράς περιστατικών", λέει η Mandy. «Είναι ένα σημάδι ενός καλά δοκιμασμένου προγράμματος αντιμετώπισης περιστατικών».

Προσθέτει, «οι εγκληματίες του κυβερνοχώρου μπορούν και θα απειλούν με δημόσια αποκάλυψη του περιστατικού για να εκβιάσουν χρήματα από τα θύματα. Μια πρώιμη αποκάλυψη όπως αυτή ανακουφίζει αυτή την πίεση, αλλά απαιτεί σύγχρονα εργαλεία ασφάλειας δεδομένων για τον προσδιορισμό της πιθανής σημαντικότητας του συμβάντος».

Εν τω μεταξύ, ο Darren Guccione, Διευθύνων Σύμβουλος και συνιδρυτής της Keeper Security, δήλωσε σε μια δήλωση που αποστέλλεται μέσω ηλεκτρονικού ταχυδρομείου ότι μια τέτοια εθελοντική αναφορά περιστατικών στον κυβερνοχώρο θα μπορούσε απλώς να είναι μια προσπάθεια spin-doctoring, αφού είδε τις συνέπειες που Uber και SolarWinds στελέχη υπέφεραν για δεν αναφέρει περιστατικά σε εύθετο χρόνο.

«Η Prudential μπορεί να προσπαθεί να μετριάσει προληπτικά τη ζημιά στη φήμη… αυτός ο τύπος εκούσιας αποκάλυψης πιθανότατα υποκινείται περισσότερο από δημόσιες σχέσεις παρά από κανονισμούς», σημείωσε.

Το περιστατικό επισημαίνει επίσης μια κραυγαλέα παράλειψη στην ομοσπονδιακή νομοθεσία: Δεν υπάρχουν γενικοί ομοσπονδιακοί νόμοι περί απορρήτου δεδομένων που απαιτούν από τις επιχειρήσεις να ενημερώνουν απευθείας τους πελάτες για πραγματικές ή πιθανές παραβιάσεις δεδομένων και δεν επιβάλλονται αντίστοιχα πρόστιμα ή κυρώσεις που να λειτουργούν ως αποτρεπτικά μέτρα. Οι ομοσπονδίες έχουν ουσιαστικά υποβιβάσει το απόρρητο και την προστασία των δεδομένων στους κανονισμούς των πολιτειών και του συγκεκριμένου τομέα. ο νόμος περί απορρήτου των καταναλωτών της Καλιφόρνια (CCPA) είναι μια από τις πιο αυστηρές προστασίες, αν και οι επικριτές παραπονούνται Το CCPA δεν πάει αρκετά μακριά.

Αυτό που διαφοροποιεί τον νέο κανόνα SEC από άλλους κανονισμούς είναι η απαίτησή του να αναφέρουν οι εισηγμένες εταιρείες τέτοιες παραβιάσεις εντός τεσσάρων ημερών από τον προσδιορισμό των σημαντικών επιπτώσεων. Αντίθετα, η HIPAA δίνει στους φορείς υγειονομικής περίθαλψης 60 ημέρες για τέτοιες ειδοποιήσεις.

Η Prudential δεν απέστειλε αμέσως αίτημα για σχόλια από την Dark Reading. Η Mandy σημειώνει ότι προς το παρόν, οι πελάτες της Prudential θα πρέπει απλώς να περιμένουν και να δουν εάν οι πληροφορίες τους έχουν παραβιαστεί λόγω της παραβίασης.

"Όπως είδαμε με άλλες παραβιάσεις, μπορεί να υπάρχουν περαιτέρω πτυχές του συμβάντος που αποκαλύπτονται καθώς η έρευνα και οι συνέπειες συνεχίζονται", λέει η Mandy. «Η δήλωση διακράτησης από την Prudential δείχνει ότι με βάση αυτά που γνωρίζουν αυτή τη στιγμή, δεν πιστεύουν ότι πληροί το κατώφλι τους για ουσιαστικότητα. Αυτό το όριο καθορίζεται από το Prudential, με βάση το εάν ο αντίκτυπος (κατά την άποψή τους) θα ήταν ουσιώδεις πληροφορίες για έναν επενδυτή ή μέτοχο».

Προσθέτει, «Ελπίζουμε να δούμε πιο λεπτομερή ανάλυση από την Prudential καθώς η έρευνα συνεχίζεται».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec