تازه در پاشنه سازش سایبری بانک آمریکایکی دیگر از غول های فورچون 500 به طور قابل توجهی در تیررس نقض داده ها قرار دارد: Prudential Financial این هفته اعلام کرد که هکرها «بعضی» از سیستم های آن را در اوایل ماه جاری شکستند.
این اعلامیه به دلیل دیگری نیز برجسته است: در حالی که شرکت ها اکنون ملزم به انجام این کار هستند حوادث امنیت سایبری را گزارش کنید که تأثیر «مادی» دارند به نظر میرسد که Prudential قبل از تعیین هر گونه تأثیری، پیش از انجام این مأموریت جدید با افشای تصادفی داوطلبانه، نسبت به فعالیتهای کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) اقدام کرده است.
جوزف کارسون، مدیر ارشد امنیت، میگوید: «بسیار عالی است که Prudential Financial به سرعت نقض دادهها را شناسایی کرده و به آن واکنش نشان داد، و امیدواریم که مهاجمان قبل از سرقت هرگونه اطلاعات حساس متوقف شوند و تأثیر آن بر تجارت حداقل باشد». دانشمند و مشاور CISO در Delinea. هرچند در حال حاضر، این جزئیات نامشخص است.
باند جرایم سایبری احتمالاً پشت نقض Prudential است
در یک Prudential گفت: اخطار 8-K به SEC که در 5 فوریه دسترسی غیرمجاز به زیرساختهای خود را شناسایی کرد. مشخص کرد که عامل تهدید، که غول مالی و بیمه معتقد است یک گروه جرایم سایبری سازمانیافته است، روز قبل به «دادههای اداری و کاربران از برخی [IT] دسترسی پیدا کرده است. سیستمها و درصد کمی از حسابهای کاربری شرکت مرتبط با کارمندان و پیمانکاران».
این شرکت پاسخ به حوادث خود را که در مراحل اولیه است، آغاز کرده است. تا کنون، مشخص نیست که آیا مهاجمان به اطلاعات یا سیستمهای اضافی دسترسی داشتهاند، دادههای مشتری یا مشتری را سرقت کردهاند، یا اینکه آیا این حادثه بر عملیات محتاطانه تأثیر مادی خواهد داشت.
بدون هیچ مدرکی از هیچ یک از این سناریوها، Prudential هنوز مأموریتی برای گزارش نقض را ندارد. بنابراین، محققان می گویند تشکیل پرونده SEC این شرکت نشان دهنده چیزی است که می تواند یک روند جدید باشد: پرونده های فعال.
ما نیازی به انجام این کار نداریم - اما انجام خواهیم داد
در 15 دسامبر، قوانین افشای رویداد SEC تغییر کرد تا فرم 8-K باید ظرف "چهار روز کاری پس از مشخص شدن اینکه [یک حادثه سایبری] بااهمیت بوده است، ثبت شود."
کلود مندی، مبشر ارشد امنیت داده در سیستمهای Symmetry، خاطرنشان میکند که اقدام Prudential برای تشکیل پرونده قبل از شناسایی کامل واقعی بودن نقض، میتواند تلاشی برای بیاعتنایی به هرگونه تلاش برای اخاذی توسط مهاجمان باشد.
در مورد MeridianLink که تصمیم گرفت پس از یک حمله سایبری با گروه باج افزار ALPHV (معروف به BlackCat) مذاکره نکند، پتانسیل تسلیح کردن مقررات جدید SEC مشهود است. باند پاسخ داد ثبت شکایت رسمی با SEC، با این ادعا که قربانی اخیرش از مقررات جدید افشا پیروی نکرده است.
مندی میگوید: «بیانیه برگزاری فعالانه توسط Prudential نشاندهنده فشاری است که مجرمان سایبری تحت این رژیم گزارشدهی رویداد جدید بر قربانیان جرایم سایبری وارد میکنند. "این نشانه یک برنامه واکنش به حادثه است که به خوبی تمرین شده است."
او می افزاید، «مجرمان سایبری می توانند و خواهند بود که این حادثه را برای اخاذی از قربانیان تهدید به افشای عمومی کنند. افشای زودهنگام مانند این فشار را کاهش میدهد، اما به ابزارهای مدرن امنیت دادهها برای تعیین اهمیت احتمالی حادثه نیاز دارد.»
در همین حال، دارن گوچیون، مدیر عامل و یکی از بنیانگذاران Keeper Security، در بیانیه ای ایمیلی گفت که چنین گزارش داوطلبانه حوادث سایبری می تواند صرفاً یک تلاش اسپین داکتری باشد، پس از مشاهده پیامدهای آن. حال بارگذاری و SolarWinds مدیران برای گزارش نکردن حوادث به موقع
او خاطرنشان کرد: «احتیاطی ممکن است در تلاش برای کاهش فعالانه آسیبهای اعتباری باشد... این نوع افشای داوطلبانه احتمالاً بیشتر با انگیزه روابط عمومی است تا مقررات.»
این حادثه همچنین به یک غفلت آشکار در قوانین فدرال اشاره می کند: هیچ قانون فدرال عمومی درباره حریم خصوصی داده ها وجود ندارد که کسب و کارها را ملزم می کند مستقیماً مشتریان را از نقض واقعی یا بالقوه اطلاعات مطلع کنند، و هیچ جریمه یا تحریم مربوطه ای وجود ندارد که به عنوان بازدارنده تنبیهی عمل کند. فدرال رزرو به طور موثر حریم خصوصی و حفاظت از داده ها را به قوانین ایالت ها و آژانس های خاص واگذار کرده اند. قانون حفظ حریم خصوصی مصرفکننده کالیفرنیا (CCPA) یکی از سختترین حمایتها است، اگرچه منتقدان شکایت دارند CCPA به اندازه کافی جلو نمی رود.
چیزی که قانون جدید SEC را از سایر مقررات متمایز میکند، الزام آن است که شرکتهای سهامی عام چنین نقضهایی را ظرف چهار روز پس از تعیین تأثیر با اهمیت گزارش کنند. در مقابل، HIPAA به نهادهای مراقبت های بهداشتی 60 روز برای چنین اعلان هایی مهلت می دهد.
Prudential بلافاصله درخواستی برای اظهار نظر از Dark Reading ارائه نکرد. مندی خاطرنشان می کند که در حال حاضر، مشتریان Prudential فقط باید منتظر بمانند و ببینند که آیا اطلاعات آنها در این نقض به خطر افتاده است یا خیر.
مندی میگوید: «همانطور که در مورد نقضهای دیگر دیدهایم، ممکن است جنبههای بیشتری در این حادثه وجود داشته باشد که با ادامه تحقیقات و پیامدها آشکار شود. بیانیه برگزاری Prudential نشان میدهد که بر اساس آنچه در حال حاضر میدانند، آنها معتقد نیستند که آستانه مادی بودن را برآورده میکند. این آستانه توسط Prudential تعیین میشود، بر این اساس که آیا تأثیر (از نظر آنها) اطلاعات با اهمیتی برای سرمایهگذار یا سهامدار خواهد بود یا خیر.»
او می افزاید، "امیدواریم با ادامه تحقیقات، شاهد تحلیل های دقیق تر از Prudential باشیم."
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec
- : دارد
- :است
- :نه
- $UP
- ٪۱۰۰
- 500
- 60
- 7
- a
- دسترسی
- قابل دسترسی است
- حساب ها
- عمل
- اضافی
- اطلاعات اضافی
- می افزاید:
- اداری
- مشاوره
- پس از
- نمایندگی
- پیش
- نام
- همچنین
- امریکا
- an
- تحلیل
- و
- خبر
- دیگر
- هر
- جدا
- ظاهر می شود
- هستند
- AS
- جنبه
- مرتبط است
- At
- تلاش
- تلاشها
- مستقر
- BE
- بوده
- قبل از
- بی پروا
- پشت سر
- بودن
- باور
- معتقد است که
- شکاف
- نقض
- کسب و کار
- کسب و کار
- اما
- by
- کالیفرنیا
- CAN
- مورد
- CCPA
- مدیر عامل شرکت
- معین
- تغییر
- رئیس
- CISO
- مشتری
- بنیانگذاران
- توضیح
- کمیسیون
- شرکت
- شرکت
- شکایت
- مطابق
- در معرض خطر
- مصرف کننده
- حریم خصوصی مصرف کننده
- ادامه
- پیمانکاران
- کنتراست
- شرکت ها
- متناظر
- میتوانست
- ترک خورده
- منتقدان
- علامت ضربدر
- مشتری
- مشتریان
- سایبر
- حمله سایبری
- جرایم اینترنتی
- مجرمان سایبری
- امنیت سایبری
- خسارت
- تاریک
- تاریک خواندن
- دارن
- داده ها
- نقض داده ها
- خرابی داده ها
- حریم خصوصی داده ها
- امنیت داده ها
- روز
- روز
- دسامبر
- دقیق
- جزئیات
- شناسایی شده
- مشخص کردن
- مشخص
- تعیین
- DID
- مستقیما
- افشاء
- do
- ندارد
- دان
- پیش از آن
- در اوایل
- به طور موثر
- تلاش
- کارکنان
- اشخاص
- رسوایی
- مدرک
- واضح است
- تبادل
- Execs
- اخاذی
- ناموفق
- افتادن
- بسیار
- فوریه
- فدرال
- فدرال
- پرونده
- واصل
- فایل ها
- بایگانی
- ادویه جات
- مالی
- جریمه
- شرکت
- برای
- فرم
- رسمی
- ثروت
- چهار
- از جانب
- کاملا
- بیشتر
- به دست آورد
- گروه
- غول
- می دهد
- Go
- بزرگ
- گروه
- هکرها
- بود
- آیا
- he
- بهداشت و درمان
- برگزاری
- امید
- HTTPS
- شناسایی
- if
- بلافاصله
- تأثیر
- in
- حادثه
- پاسخ حادثه
- نشان می دهد
- نشان دهنده
- اطلاع دادن
- اطلاعات
- شالوده
- بیمه
- تحقیق
- سرمایه گذار
- نیست
- IT
- ITS
- JPG
- تنها
- دانستن
- قانون
- پسندیدن
- احتمالا
- حکم
- روش
- ماده
- ممکن است..
- ملاقات
- حداقل
- کاهش
- مدرن
- پول
- ماه
- بیش
- انگیزه
- حرکت
- نیاز
- جدید
- نه
- به ویژه
- اشاره کرد
- یادداشت
- اطلاع..
- اطلاعیه ها
- اکنون
- of
- خاموش
- on
- ONE
- عملیات
- or
- سازمان یافته
- دیگر
- ما
- خارج
- درصد
- محل
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- پتانسیل
- فشار
- خلوت
- بلادرنگ
- برنامه
- حفاظت
- از روی احتیاط
- عمومی
- روابط عمومی (Public Relations)
- عمومی
- قرار دادن
- به سرعت
- باجافزار
- مطالعه
- واقعی
- دلیل
- اخیر
- رژیم
- تنظیم
- مقررات
- روابط
- گزارش
- گزارش
- درخواست
- نیاز
- ضروری
- نیاز
- نیاز
- محققان
- پاسخ
- برگشت
- راست
- قانون
- قوانین
- s
- سعید
- تحریم ها
- گفتن
- می گوید:
- سناریوها
- دانشمند
- SEC
- تأیید SEC
- خاص بخش
- اوراق بهادار
- کمیسیون بورس و اوراق بهادار
- تیم امنیت لاتاری
- دیدن
- مشاهده
- مشاهده گردید
- حساس
- مجموعه
- سهامدار
- امضاء
- به سادگی
- کوچک
- So
- تا حالا
- حمایت مالی
- مراحل
- می ایستد
- بیانیه
- ایالات
- به سرقت رفته
- متوقف شد
- چنین
- رنج
- سیستم های
- نسبت به
- که
- La
- شان
- آنجا.
- آنها
- این
- این هفته
- کسانی که
- اگر چه؟
- تهدید
- آستانه
- بدین ترتیب
- بموقع
- به
- ابزار
- داد و ستد
- روند
- نوع
- غیر مجاز
- کشف
- زیر
- us
- کاربر
- قربانی
- قربانیان
- چشم انداز
- داوطلبانه
- صبر کنيد
- بود
- we
- هفته
- بود
- چی
- چه
- که
- در حین
- اراده
- با
- در داخل
- خواهد بود
- هنوز
- زفیرنت