Prudential Files Vapaaehtoinen rikkomusilmoitus SEC:lle

Tuoreet kantapäässä Bank of America kyberkompromissi, toinen Fortune 500 -jättiläinen on erityisesti tietomurtojen ristissä: Prudential Financial sanoi tällä viikolla, että hakkerit mursivat "tietyt" sen järjestelmistä aiemmin tässä kuussa.

Ilmoitus erottuu myös toisesta syystä: vaikka yritykset ovat nyt velvollisia raportoida kyberturvallisuushäiriöistä, joilla on "olennainen" vaikutus Yhdysvaltain arvopaperi- ja pörssiviranomaiselle (SEC) toimiville toiminnoille, Prudential näyttää päässeensä ennen uutta toimeksiantoa vapaaehtoisella tapausilmoituksella, ennen kuin tällaiset vaikutukset on määritetty.

"On hienoa nähdä, että Prudential Financial havaitsi nopeasti tietomurron ja vastasi siihen, ja toivomme, että hyökkääjät pysäytettiin ennen kuin arkaluonteisia tietoja varastettiin ja että vaikutus liiketoimintaan on minimaalinen", turvallisuusjohtaja Joseph Carson sanoo. tiedemies ja neuvonantaja CISO Delineassa. Toistaiseksi nämä yksityiskohdat ovat kuitenkin epäselviä.

Tietoverkkorikollisjengi todennäköisesti Prudentialin rikkomisen takana

Jonkin sisällä Lomake 8-K ilmoitus SEC:lle, Prudential sanoi että se havaitsi luvattoman pääsyn infrastruktuuriinsa 5. helmikuuta. Se totesi, että uhkatekijä, jonka talous- ja vakuutusmies uskoo olevan järjestäytynyt kyberrikollisryhmä, oli saanut edellisenä päivänä pääsyn "hallinnollisiin ja käyttäjätietoihin tietyltä [IT] järjestelmät ja pieni osa työntekijöihin ja urakoitsijoihin liittyvistä yrityksen käyttäjätileistä."

Yhtiö on käynnistänyt tapausreagointinsa, joka on alkuvaiheessa; toistaiseksi on epäselvää, pääsivätkö hyökkääjät käsiksi lisätietoihin tai -järjestelmiin, ryöstivätkö asiakas- tai asiakastietoja vai onko tapahtumalla olennaista vaikutusta Prudential-toimintoihin.

Koska mistään näistä skenaarioista ei ole näyttöä, Prudential ei ole vielä valtuutettu ilmoittamaan rikkomuksesta. Näin ollen tutkijat sanovat, että yrityksen SEC-hakemus on osoitus siitä, mikä voisi olla uusi trendi: proaktiiviset hakemukset.

Meidän ei tarvitse tehdä tätä – mutta teemme

Joulukuun 15. päivänä SEC:n tapausten paljastamista koskevia sääntöjä muutettiin siten, että lomake 8-K on jätettävä "neljän arkipäivän kuluessa [kyber]välikohtauksen olevan olennainen".

Claude Mandy, Symmetry Systemsin tietoturvan pääevankelista, huomauttaa, että Prudentialin siirtyminen arkistointiin ennen kuin tietomurron olennaisuuden täysin tunnistaa voi olla yritys torjua hyökkääjien mahdollisia kiristysyrityksiä.

Mahdollisuus aseistaa uusia SEC-määräyksiä on ilmeinen MeridianLinkin tapauksessa, joka päätti olla neuvottelematta kiristysohjelmaryhmän ALPHV:n (alias BlackCat) kanssa kyberhyökkäyksen jälkeen. Porukka vastasi muodollisen valituksen tekeminen SEC:lle, väittää, että sen äskettäinen uhri ei noudattanut uusia paljastamissääntöjä.

"Prudentialin ennakoiva pidätyslausunto on osoitus siitä, että kyberrikolliset kohdistavat kyberrikollisuuden uhreihin tämän uuden raportointijärjestelmän puitteissa", Mandy sanoo. "Se on merkki hyvin harjoitellusta välikohtausohjelmasta."

Hän lisää: "Kyberrikolliset voivat ja tulevat uhkaamaan tapahtuman julkistamisella kiristääkseen rahaa uhreilta. Tällainen varhainen paljastaminen lieventää painetta, mutta se vaatii nykyaikaisia ​​tietoturvatyökaluja tapauksen todennäköisen olennaisuuden määrittämiseksi.

Samaan aikaan Darren Guccione, Keeper Securityn toimitusjohtaja ja perustaja, sanoi sähköpostilla lähetetyssä lausunnossa, että tällainen vapaaehtoinen kybertapahtumien ilmoittaminen voi olla yksinkertaisesti kekseliäistyötä nähtyään seuraukset, Uber ja SolarWinds työnantajat kärsivät ei raportoida tapahtumista ajallaan.

"Vakavaraisuus voi yrittää ennakoivasti lieventää mainevaurioita ... tämän tyyppinen vapaaehtoinen paljastaminen johtuu todennäköisesti enemmän suhdetoiminnasta kuin säännöksistä", hän huomautti.

Tapaus osoittaa myös liittovaltion lain räikeän laiminlyönnin: Ei ole olemassa yleisiä liittovaltion tietosuojalakeja, jotka velvoittaisivat yrityksiä ilmoittamaan asiakkaille suoraan todellisista tai mahdollisista tietoturvaloukkauksista, eikä käytössä ole vastaavia sakkoja tai seuraamuksia, jotka toimivat rankaisevina peloteina. Fedit ovat tehokkaasti siirtäneet tietosuojan ja tietosuojan osavaltioiden ja alakohtaisten virastojen säädöksiin; Kalifornian kuluttajansuojalaki (CCPA) on yksi tiukimmista suojatoimista, vaikka kriitikot valittavatkin CCPA ei mene tarpeeksi pitkälle.

Uuden SEC-säännön erottaa muista säännöksistä sen vaatimus, jonka mukaan julkisesti noteerattujen yritysten on raportoitava tällaisista rikkomuksista neljän päivän kuluessa olennaisen vaikutuksen määrittämisestä. Sitä vastoin HIPAA antaa terveydenhuollon yksiköille 60 päivää tällaisille ilmoituksille.

Prudential ei heti vastannut Dark Readingin kommenttipyyntöä. Mandy huomauttaa, että toistaiseksi Prudential-asiakkaiden on vain odotettava ja katsottava, ovatko heidän tietonsa vaarantuneet rikkomuksen seurauksena.

"Kuten olemme nähneet muiden rikkomusten yhteydessä, tapaukseen saattaa liittyä muitakin näkökohtia, jotka paljastuvat tutkinnan ja seurausten jatkuessa", Mandy sanoo. "Prudentialin omistusosuuslausunto osoittaa, että heidän tämänhetkisen tiedon perusteella he eivät usko, että se täytä heidän olennaisuuskynnystänsä. Prudential määrittää tämän kynnysarvon sen perusteella, olisiko vaikutus (heidän mielestään) olennaista tietoa sijoittajalle tai osakkeenomistajalle.

Hän lisää: "Toivomme saavamme Prudentialilta tarkemman analyysin tutkimuksen edetessä."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec