اخطار نقض داوطلبانه پرونده های محتاطانه با SEC

تازه در پاشنه سازش سایبری بانک آمریکایکی دیگر از غول های فورچون 500 به طور قابل توجهی در تیررس نقض داده ها قرار دارد: Prudential Financial این هفته اعلام کرد که هکرها «بعضی» از سیستم های آن را در اوایل ماه جاری شکستند.

این اعلامیه به دلیل دیگری نیز برجسته است: در حالی که شرکت ها اکنون ملزم به انجام این کار هستند حوادث امنیت سایبری را گزارش کنید که تأثیر «مادی» دارند به نظر می‌رسد که Prudential قبل از تعیین هر گونه تأثیری، پیش از انجام این مأموریت جدید با افشای تصادفی داوطلبانه، نسبت به فعالیت‌های کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) اقدام کرده است.

جوزف کارسون، مدیر ارشد امنیت، می‌گوید: «بسیار عالی است که Prudential Financial به سرعت نقض داده‌ها را شناسایی کرده و به آن واکنش نشان داد، و امیدواریم که مهاجمان قبل از سرقت هرگونه اطلاعات حساس متوقف شوند و تأثیر آن بر تجارت حداقل باشد». دانشمند و مشاور CISO در Delinea. هرچند در حال حاضر، این جزئیات نامشخص است.

باند جرایم سایبری احتمالاً پشت نقض Prudential است

در یک Prudential گفت: اخطار 8-K به SEC که در 5 فوریه دسترسی غیرمجاز به زیرساخت‌های خود را شناسایی کرد. مشخص کرد که عامل تهدید، که غول مالی و بیمه معتقد است یک گروه جرایم سایبری سازمان‌یافته است، روز قبل به «داده‌های اداری و کاربران از برخی [IT] دسترسی پیدا کرده است. سیستم‌ها و درصد کمی از حساب‌های کاربری شرکت مرتبط با کارمندان و پیمانکاران».

این شرکت پاسخ به حوادث خود را که در مراحل اولیه است، آغاز کرده است. تا کنون، مشخص نیست که آیا مهاجمان به اطلاعات یا سیستم‌های اضافی دسترسی داشته‌اند، داده‌های مشتری یا مشتری را سرقت کرده‌اند، یا اینکه آیا این حادثه بر عملیات محتاطانه تأثیر مادی خواهد داشت.

بدون هیچ مدرکی از هیچ یک از این سناریوها، Prudential هنوز مأموریتی برای گزارش نقض را ندارد. بنابراین، محققان می گویند تشکیل پرونده SEC این شرکت نشان دهنده چیزی است که می تواند یک روند جدید باشد: پرونده های فعال.

ما نیازی به انجام این کار نداریم - اما انجام خواهیم داد

در 15 دسامبر، قوانین افشای رویداد SEC تغییر کرد تا فرم 8-K باید ظرف "چهار روز کاری پس از مشخص شدن اینکه [یک حادثه سایبری] بااهمیت بوده است، ثبت شود."

کلود مندی، مبشر ارشد امنیت داده در سیستم‌های Symmetry، خاطرنشان می‌کند که اقدام Prudential برای تشکیل پرونده قبل از شناسایی کامل واقعی بودن نقض، می‌تواند تلاشی برای بی‌اعتنایی به هرگونه تلاش برای اخاذی توسط مهاجمان باشد.

در مورد MeridianLink که تصمیم گرفت پس از یک حمله سایبری با گروه باج افزار ALPHV (معروف به BlackCat) مذاکره نکند، پتانسیل تسلیح کردن مقررات جدید SEC مشهود است. باند پاسخ داد ثبت شکایت رسمی با SEC، با این ادعا که قربانی اخیرش از مقررات جدید افشا پیروی نکرده است.

مندی می‌گوید: «بیانیه برگزاری فعالانه توسط Prudential نشان‌دهنده فشاری است که مجرمان سایبری تحت این رژیم گزارش‌دهی رویداد جدید بر قربانیان جرایم سایبری وارد می‌کنند. "این نشانه یک برنامه واکنش به حادثه است که به خوبی تمرین شده است."

او می افزاید، «مجرمان سایبری می توانند و خواهند بود که این حادثه را برای اخاذی از قربانیان تهدید به افشای عمومی کنند. افشای زودهنگام مانند این فشار را کاهش می‌دهد، اما به ابزارهای مدرن امنیت داده‌ها برای تعیین اهمیت احتمالی حادثه نیاز دارد.»

در همین حال، دارن گوچیون، مدیر عامل و یکی از بنیانگذاران Keeper Security، در بیانیه ای ایمیلی گفت که چنین گزارش داوطلبانه حوادث سایبری می تواند صرفاً یک تلاش اسپین داکتری باشد، پس از مشاهده پیامدهای آن. حال بارگذاری و SolarWinds مدیران برای گزارش نکردن حوادث به موقع

او خاطرنشان کرد: «احتیاطی ممکن است در تلاش برای کاهش فعالانه آسیب‌های اعتباری باشد... این نوع افشای داوطلبانه احتمالاً بیشتر با انگیزه روابط عمومی است تا مقررات.»

این حادثه همچنین به یک غفلت آشکار در قوانین فدرال اشاره می کند: هیچ قانون فدرال عمومی درباره حریم خصوصی داده ها وجود ندارد که کسب و کارها را ملزم می کند مستقیماً مشتریان را از نقض واقعی یا بالقوه اطلاعات مطلع کنند، و هیچ جریمه یا تحریم مربوطه ای وجود ندارد که به عنوان بازدارنده تنبیهی عمل کند. فدرال رزرو به طور موثر حریم خصوصی و حفاظت از داده ها را به قوانین ایالت ها و آژانس های خاص واگذار کرده اند. قانون حفظ حریم خصوصی مصرف‌کننده کالیفرنیا (CCPA) یکی از سخت‌ترین حمایت‌ها است، اگرچه منتقدان شکایت دارند CCPA به اندازه کافی جلو نمی رود.

چیزی که قانون جدید SEC را از سایر مقررات متمایز می‌کند، الزام آن است که شرکت‌های سهامی عام چنین نقض‌هایی را ظرف چهار روز پس از تعیین تأثیر با اهمیت گزارش کنند. در مقابل، HIPAA به نهادهای مراقبت های بهداشتی 60 روز برای چنین اعلان هایی مهلت می دهد.

Prudential بلافاصله درخواستی برای اظهار نظر از Dark Reading ارائه نکرد. مندی خاطرنشان می کند که در حال حاضر، مشتریان Prudential فقط باید منتظر بمانند و ببینند که آیا اطلاعات آنها در این نقض به خطر افتاده است یا خیر.

مندی می‌گوید: «همانطور که در مورد نقض‌های دیگر دیده‌ایم، ممکن است جنبه‌های بیشتری در این حادثه وجود داشته باشد که با ادامه تحقیقات و پیامدها آشکار شود. بیانیه برگزاری Prudential نشان می‌دهد که بر اساس آنچه در حال حاضر می‌دانند، آنها معتقد نیستند که آستانه مادی بودن را برآورده می‌کند. این آستانه توسط Prudential تعیین می‌شود، بر این اساس که آیا تأثیر (از نظر آنها) اطلاعات با اهمیتی برای سرمایه‌گذار یا سهام‌دار خواهد بود یا خیر.»

او می افزاید، "امیدواریم با ادامه تحقیقات، شاهد تحلیل های دقیق تر از Prudential باشیم."

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec