Recién pisado los talones Compromiso cibernético del Bank of America, otro gigante de Fortune 500 está notablemente en la mira de la violación de datos: Prudential Financial dijo esta semana que los piratas informáticos piratearon “algunos” de sus sistemas a principios de mes.
El anuncio también destaca por otra razón: si bien ahora se exige a las corporaciones que Informar incidentes de ciberseguridad que tengan un impacto “material”. En relación con las operaciones ante la Comisión de Bolsa y Valores de EE. UU. (SEC), Prudential parece haberse adelantado a ese nuevo mandato con una divulgación voluntaria del incidente, antes de que se haya determinado dicho impacto.
"Es fantástico ver que Prudential Financial detectó y respondió rápidamente a la violación de datos, y nuestra esperanza es que los atacantes fueron detenidos antes de que se robaran datos confidenciales y que el impacto para el negocio sea mínimo", dice Joseph Carson, jefe de seguridad. científico y asesor CISO en Delinea. Sin embargo, por ahora esos detalles no están claros.
Una banda de ciberdelincuentes probablemente esté detrás del incumplimiento de Prudential
En un Aviso del formulario 8-K a la SEC, dijo Prudential que detectó acceso no autorizado a su infraestructura el 5 de febrero. Determinó que el actor de la amenaza, que el gigante financiero y de seguros cree que era un grupo organizado de cibercrimen, había obtenido acceso el día anterior a “datos administrativos y de usuario de ciertos [TI] sistemas y un pequeño porcentaje de cuentas de usuarios de la empresa asociadas con empleados y contratistas”.
La empresa ha iniciado su respuesta a incidentes, que se encuentra en las primeras etapas; Hasta ahora, no está claro si los atacantes accedieron a información o sistemas adicionales, robaron datos de clientes o clientes, o si el incidente tendrá un impacto material en las operaciones de Prudential.
Sin evidencia de ninguno de esos escenarios, Prudential aún no tiene el mandato de informar la infracción. Por lo tanto, los investigadores dicen que la presentación de la empresa ante la SEC es indicativa de lo que podría ser una nueva tendencia: presentaciones proactivas.
No necesitamos hacer esto, pero lo haremos
El 15 de diciembre, las reglas de divulgación de incidentes de la SEC cambiaron para exigir que se presente un Formulario 8-K dentro de "cuatro días hábiles después de determinar que un incidente [cibernético] fue sustancial".
Claude Mandy, evangelista jefe de seguridad de datos en Symmetry Systems, señala que la decisión de Prudential de presentar el expediente antes de identificar completamente la materialidad de la violación podría ser un esfuerzo para frenar cualquier intento de extorsión por parte de los agresores.
El potencial de convertir las nuevas regulaciones de la SEC en un arma es evidente en el caso de MeridianLink, que optó por no negociar con el grupo de ransomware ALPHV (también conocido como BlackCat) después de un ciberataque. La pandilla respondió presentar una queja formal ante la SEC, alegando que su reciente víctima no cumplió con las nuevas regulaciones de divulgación.
"La declaración de retención proactiva de Prudential es indicativa de la presión que los ciberdelincuentes ejercen sobre las víctimas de delitos cibernéticos bajo este nuevo régimen de notificación de incidentes", dice Mandy. "Es una señal de un programa de respuesta a incidentes bien ensayado".
Añade que “los ciberdelincuentes pueden amenazar, y lo harán, con la divulgación pública del incidente para extorsionar a las víctimas. Una divulgación temprana como esta alivia esa presión, pero requiere herramientas modernas de seguridad de datos para determinar la probable materialidad del incidente”.
Mientras tanto, Darren Guccione, director ejecutivo y cofundador de Keeper Security, dijo en un comunicado enviado por correo electrónico que ese tipo de informes voluntarios de incidentes cibernéticos podría ser simplemente un esfuerzo de manipulación, después de ver las consecuencias que Uber y Vientos solares Los ejecutivos sufrieron por no reportar incidentes de una manera oportuna.
"Prudential puede estar intentando mitigar proactivamente el daño a la reputación... este tipo de divulgación voluntaria probablemente esté motivada más por las relaciones públicas que por las regulaciones", señaló.
El incidente también señala una omisión flagrante en la ley federal: no existen estatutos federales generales de privacidad de datos que requieran que las empresas informen a los clientes directamente sobre violaciones de datos reales o potenciales, y no existen multas o sanciones correspondientes que actúen como disuasivo punitivo. Los federales han relegado efectivamente la privacidad y protección de los datos a los estados y a la regulación de agencias específicas del sector; La Ley de Privacidad del Consumidor de California (CCPA) es una de las protecciones más estrictas, aunque los críticos se quejan. CCPA no va lo suficientemente lejos.
Lo que distingue a la nueva regla de la SEC de otras regulaciones es su requisito de que las empresas que cotizan en bolsa informen sobre tales violaciones dentro de los cuatro días posteriores a la determinación del impacto material. Por el contrario, HIPAA otorga a las entidades de atención médica 60 días para realizar dichas notificaciones.
Prudential no respondió de inmediato a una solicitud de comentarios de Dark Reading. Mandy señala que, por ahora, los clientes de Prudential sólo tendrán que esperar y ver si su información se ha visto comprometida durante la infracción.
"Como hemos visto con otras infracciones, es posible que se descubran más aspectos del incidente a medida que continúa la investigación y las consecuencias", afirma Mandy. “La declaración de Prudential indica que, basándose en lo que saben ahora, no creen que alcance su umbral de materialidad. Este umbral lo determina Prudential, en función de si el impacto (en su opinión) sería información material para un inversor o accionista”.
Y añade: "Esperamos ver un análisis más detallado de Prudential a medida que continúa la investigación".
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec
- :posee
- :es
- :no
- $ UP
- 15%
- 500
- 60
- 7
- a
- de la máquina
- visitada
- Cuentas
- Actúe
- Adicionales
- Información adicional
- Añade
- administrativo
- asesor
- Después
- adelante
- aka
- también
- America
- an
- análisis
- y
- Anuncio
- Otra
- cualquier
- aparte
- aparece
- somos
- AS
- aspectos
- asociado
- At
- intentando
- Los intentos
- basado
- BE
- esto
- antes
- gigante
- detrás de
- "Ser"
- CREEMOS
- cree
- incumplimiento
- infracciones
- negocios
- pero
- by
- California
- PUEDEN
- case
- CCPA
- ceo
- a ciertos
- cambiado
- jefe
- CISO
- cliente
- Co-founder
- comentario
- referencia
- Empresas
- compañía
- queja
- cumplir
- Comprometida
- consumidor
- privacidad del consumidor
- continúa
- contratistas
- contraste
- Corporaciones
- Correspondiente
- podría
- agrietado
- Los críticos
- punto de mira
- cliente
- Clientes
- ciber
- Ataque cibernetico
- ciberdelincuencia
- ciberdelincuentes
- La Ciberseguridad
- dañar
- Oscuro
- Lectura oscura
- Darren
- datos
- Violacíon de datos
- Incumplimiento de datos
- privacidad de datos
- seguridad de datos
- día
- Días
- dic
- detallado
- detalles
- detectado
- Determinar
- determina
- determinar
- HIZO
- directamente
- revelación
- do
- doesn
- don
- Más temprano
- Temprano en la
- de manera eficaz
- esfuerzo
- personas
- entidades
- Evangelista
- evidencia sólida
- evidente
- Intercambio
- Ejecutivos
- extorsión
- Fallidos
- polvillo radiactivo
- muchos
- Feb
- Federal
- Federales
- Archive
- archivado
- archivos
- Presentación
- limaduras
- financiero
- multas
- Firme
- formulario
- formal
- Fortune
- Digital XNUMXk
- Desde
- completamente
- promover
- ganado
- Pandillas
- gigante
- da
- Go
- maravillosa
- Grupo procesos
- los piratas informáticos
- tenido
- Tienen
- he
- la salud
- tenencia
- esperanza
- HTTPS
- identificar
- if
- inmediatamente
- Impacto
- in
- incidente
- respuesta al incidente
- Indica
- indicativo
- informar
- información
- EN LA MINA
- aseguradora
- investigación
- inversor
- ISN
- IT
- SUS
- jpg
- solo
- Saber
- de derecho criminal
- como
- que otros
- mandato
- manera
- materiales
- Puede..
- se une a la
- mínimo
- Mitigar las
- Moderno
- dinero
- Mes
- más,
- motivado
- movimiento
- ¿ Necesita ayuda
- Nuevo
- no
- notablemente
- señaló
- Notas
- Aviso..
- notificaciones
- ahora
- of
- off
- on
- ONE
- Operaciones
- or
- Organizado
- Otro
- nuestros
- salir
- porcentaje
- Colocar
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- puntos
- posible
- presión
- política de privacidad
- Proactiva
- Programa
- Protección
- Prudencial
- público
- Relaciones Públicas
- en público
- poner
- con rapidez
- ransomware
- Reading
- real
- razón
- reciente
- régimen
- Regulación
- reglamentos
- relaciones
- reporte
- Informes
- solicita
- exigir
- Requisitos
- requisito
- requiere
- investigadores
- respuesta
- volvemos
- Derecho
- Regla
- reglas
- s
- Said
- Sanciones
- dices
- dice
- escenarios
- Científico
- SEG
- Presentación en la SEC
- específico del sector
- Valores
- Comisión de Bolsa y Valores
- EN LINEA
- ver
- ver
- visto
- sensible
- Sets
- accionista
- firmar
- simplemente
- chica
- So
- hasta aquí
- Patrocinado
- etapas
- es la
- Posicionamiento
- Zonas
- robada
- detenido
- tal
- sufrió
- Todas las funciones a su disposición
- que
- esa
- La
- su
- Ahí.
- ellos
- así
- esta semana
- aquellos
- ¿aunque?
- amenaza
- umbral
- Así
- oportuno
- a
- negocian
- Tendencia
- tipo
- no autorizado
- descubierto
- bajo
- us
- Usuario
- Víctima
- las víctimas
- Ver
- voluntario
- esperar
- fue
- we
- semana
- tuvieron
- ¿
- sean
- que
- mientras
- seguirá
- dentro de
- se
- aún
- zephyrnet
