Usaldatavusnormatiivide toimikute vabatahtliku rikkumise teatis SEC-iga

Värske kannul Bank of America küberkompromiss, on veel üks Fortune 500 hiiglane andmemurdmise sihtpunktis: Prudential Financial teatas sel nädalal, et häkkerid murdsid kuu alguses "teatud" tema süsteemidest.

Teade paistab silma ka teisel põhjusel: kuigi ettevõtted on nüüd kohustatud seda tegema teatama küberjulgeolekuintsidentidest, millel on "oluline" mõju USA väärtpaberi- ja börsikomisjoni (SEC) toimingutele näib Prudential olevat enne seda uut mandaati saanud intsidendi vabatahtliku avalikustamise, enne kui selline mõju on kindlaks tehtud.

"Tore on näha, et Prudential Financial tuvastas andmerikkumise kiiresti ja reageeris sellele ning me loodame, et ründajad peatati enne tundlike andmete varastamist ja et mõju ettevõttele on minimaalne," ütleb turvajuht Joseph Carson. teadlane ja CISO nõustaja Delineas. Praegu on need üksikasjad siiski ebaselged.

Prudentiali rikkumise taga on tõenäoliselt küberkuritegevuse jõuk

Aastal Prudential ütles, et vormi 8-K teatis SEC-ile et see tuvastas volitamata juurdepääsu oma infrastruktuurile 5. veebruaril. Ta tegi kindlaks, et ohus osaleja, keda finants- ja kindlustuspolitsei peab organiseeritud küberkuritegude rühmaks, oli eelmisel päeval saanud juurdepääsu „teatud [IT] haldus- ja kasutajaandmetele. süsteemid ja väike osa töötajate ja töövõtjatega seotud ettevõtte kasutajakontodest.

Ettevõte on alustanud juhtumitele reageerimist, mis on algusjärgus; Seni on ebaselge, kas ründajad pääsesid juurde täiendavale teabele või süsteemidele, varastasid kliendi või kliendi andmeid või kas intsidendil on oluline mõju usaldatavusnormatiivide täitmisele.

Kuna nende stsenaariumide kohta pole tõendeid, ei ole Prudential veel volitatud rikkumisest teatama. Seega väidavad teadlased, et ettevõtte SEC-i esitamine viitab sellele, mis võib olla uus suundumus: proaktiivsed taotlused.

Me ei pea seda tegema – aga me teeme

15. detsembril muudeti SEC-i vahejuhtumite avalikustamise eeskirju, et nõuda vormi 8-K esitamist „nelja tööpäeva jooksul pärast [küber]intsidendi oluliseks tunnistamist”.

Symmetry Systemsi andmeturbe peaevangelist Claude Mandy märgib, et Prudentiali liikumine toimiku esitamiseks enne rikkumise olulisuse täielikku tuvastamist võib olla püüdlus rikkuda ründajate väljapressimiskatseid.

Uute SEC-määruste relvastamise potentsiaal on ilmne MeridianLinki puhul, kes otsustas pärast küberrünnakut lunavaragrupiga ALPHV (teise nimega BlackCat) mitte pidada läbirääkimisi. Jõuk vastas ametliku kaebuse esitamine SEC-ile, väites, et selle hiljutine ohver ei järginud uusi avalikustamise eeskirju.

"Prudentiali ennetav kinnipidamisavaldus viitab küberkurjategijate poolt küberkuritegevuse ohvritele selle uue intsidentidest teatamise korra raames avaldatavale survele," ütleb Mandy. "See on märk hästi läbi harjutatud juhtumitele reageerimise programmist."

Ta lisab: "Küberkurjategijad võivad ja ähvardavad juhtunu avalikustamisega, et ohvritelt raha välja pressida. Selline varajane avalikustamine leevendab seda survet, kuid see nõuab kaasaegseid andmeturbetööriistu, et teha kindlaks intsidendi tõenäoline olulisus.

Samal ajal ütles Keeper Security tegevjuht ja kaasasutaja Darren Guccione e-kirjas saadetud avalduses, et selline küberintsidentidest vabatahtlik teatamine võib olla lihtsalt keeruline harjutus, kuna nägi selle tagajärgi. Uber ja SolarWinds eest kannatasid täitjad vahejuhtumitest mitte teatama õigeaegselt.

"Usaldatavusnormatiiv võib püüda ennetavalt leevendada mainekahju ... seda tüüpi vabatahtlik avalikustamine on tõenäoliselt ajendatud pigem suhtekorraldusest kui eeskirjadest," märkis ta.

Juhtum viitab ka föderaalseaduse ilmselgele tegematajätmisele: puuduvad üldised föderaalsed andmete privaatsusseadused, mis nõuavad, et ettevõtted teavitaksid kliente otse tegelikest või võimalikest andmetega seotud rikkumistest, ega ole kehtestatud vastavaid trahve ega sanktsioone, mis toimiksid karistava hoiatusena. Föderatsioonid on andnud andmete privaatsuse ja kaitse tõhusalt osariikide ja sektorispetsiifiliste asutuste määruste alla; California tarbijate privaatsusseadus (CCPA) on üks rangemaid kaitsemeetmeid, kuigi kriitikud kurdavad CCPA ei lähe piisavalt kaugele.

Uue SEC-reegli eristab teistest eeskirjadest selle nõue, et börsil noteeritud ettevõtted teavitaksid sellistest rikkumistest nelja päeva jooksul pärast olulise mõju kindlakstegemist. Seevastu HIPAA annab tervishoiuasutustele selliste teadete esitamiseks aega 60 päeva.

Prudential ei tagastanud kohe Dark Readingi kommentaaritaotlust. Mandy märgib, et praegu peavad usaldatavusnormatiivide täitmise kliendid lihtsalt ootama ja vaatama, kas nende teave on rikkumise tõttu ohustatud.

"Nagu oleme näinud ka teiste rikkumiste puhul, võib juhtumil olla muid aspekte, mis uurimise ja tagajärgede jätkudes avastatakse," ütleb Mandy. "Prudentiali osaluse avaldus näitab, et nende praeguste teadmiste põhjal ei usu nad, et see vastab nende olulisuse künnisele. Selle künnise määrab Prudential, lähtudes sellest, kas mõju (nende arvates) oleks investorile või aktsionärile oluline teave.

Ta lisab: "Loodame uurimise jätkudes näha Prudentiali üksikasjalikumat analüüsi."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec