Prudential dépose un avis de violation volontaire auprès de la SEC

Frais sur les talons du Cybercomproportion de Bank of America, un autre géant du Fortune 500 est notamment dans la ligne de mire des fuites de données : Prudential Financial a déclaré cette semaine que des pirates avaient piraté « certains » de ses systèmes au début du mois.

Cette annonce se démarque également pour une autre raison : alors que les entreprises sont désormais tenues de signaler les incidents de cybersécurité qui ont un impact « matériel » aux opérations auprès de la Securities & Exchange Commission (SEC) des États-Unis, Prudential semble avoir pris de l'avance sur ce nouveau mandat en divulguant volontairement les incidents, avant qu'un tel impact n'ait été déterminé.

« C'est formidable de voir que Prudential Financial a rapidement détecté et réagi à la violation de données. Nous espérons que les attaquants ont été stoppés avant que des données sensibles ne soient volées et que l'impact sur l'entreprise soit minime », déclare Joseph Carson, responsable de la sécurité. scientifique et RSSI conseil chez Delinea. Mais pour l’instant, ces détails ne sont pas clairs.

Un gang de cybercriminels est probablement à l'origine de la violation de Prudential

Dans un Avis du formulaire 8-K à la SEC, a déclaré Prudential qu'il a détecté un accès non autorisé à son infrastructure le 5 février. Il a déterminé que l'acteur menaçant, que le géant de la finance et de l'assurance considère comme un groupe de cybercriminalité organisé, avait eu accès la veille aux « données administratives et utilisateur de certains [IT] systèmes et un petit pourcentage de comptes d’utilisateurs d’entreprise associés aux employés et aux sous-traitants.

L'entreprise a lancé sa réponse aux incidents, qui en est à ses débuts ; Jusqu'à présent, il n'est pas clair si les attaquants ont accédé à des informations ou à des systèmes supplémentaires, ont volé des données ou des clients, ou si l'incident aura un impact matériel sur les opérations de Prudential.

En l’absence de preuve d’un de ces scénarios, Prudential n’a pas encore pour mandat de signaler la violation. Ainsi, les chercheurs affirment que le dépôt de la société auprès de la SEC est révélateur de ce qui pourrait être une nouvelle tendance : les dépôts proactifs.

Nous n'avons pas besoin de faire cela, mais nous le ferons

Le 15 décembre, les règles de divulgation des incidents de la SEC ont été modifiées pour exiger qu'un formulaire 8-K soit déposé dans les « quatre jours ouvrables suivant la détermination [d'un cyber] incident était important ».

Claude Mandy, évangéliste en chef pour la sécurité des données chez Symmetry Systems, note que la décision de Prudential de déposer un dossier avant d'identifier pleinement l'importance de la violation pourrait être un effort pour contrecarrer toute tentative d'extorsion de la part des assaillants.

Le potentiel de militarisation des nouvelles réglementations de la SEC est évident dans le cas de MeridianLink, qui a choisi de ne pas négocier avec le groupe de ransomware ALPHV (alias BlackCat) après une cyberattaque. Le gang a répondu par déposer une plainte officielle auprès de la SEC, alléguant que sa récente victime n'avait pas respecté les nouvelles réglementations en matière de divulgation.

« La déclaration proactive de Prudential est révélatrice de la pression exercée sur les victimes de la cybercriminalité par les cybercriminels dans le cadre de ce nouveau régime de signalement des incidents », déclare Mandy. "C'est le signe d'un programme de réponse aux incidents bien rodé."

Il ajoute : « les cybercriminels peuvent menacer et menaceront de divulguer publiquement l’incident pour extorquer de l’argent aux victimes. Une divulgation précoce comme celle-ci soulage cette pression, mais elle nécessite des outils modernes de sécurité des données pour déterminer l’importance probable de l’incident.

Pendant ce temps, Darren Guccione, PDG et co-fondateur de Keeper Security, a déclaré dans un communiqué envoyé par courrier électronique que de tels signalements volontaires de cyberincidents pourraient simplement être un effort de manipulation d'images, après avoir vu les retombées de cette déclaration. Uber ainsi que le SolarWinds les dirigeants ont souffert pour ne pas signaler les incidents en temps opportun.

« Prudential tente peut-être d'atténuer de manière proactive les atteintes à sa réputation… ce type de divulgation volontaire est probablement davantage motivé par les relations publiques que par la réglementation », a-t-il noté.

L’incident met également en évidence une omission flagrante dans la loi fédérale : il n’existe aucune loi fédérale générale sur la confidentialité des données qui oblige les entreprises à informer directement leurs clients des violations de données réelles ou potentielles, et aucune amende ou sanction correspondante n’a un effet dissuasif punitif. Le gouvernement fédéral a effectivement relégué la confidentialité et la protection des données aux États et aux réglementations des agences spécifiques au secteur ; la California Consumer Privacy Act (CCPA) est l'une des protections les plus strictes, bien que les critiques se plaignent Le CCPA ne va pas assez loin.

Ce qui distingue la nouvelle règle de la SEC des autres réglementations, c'est l'exigence selon laquelle les sociétés cotées en bourse signalent de telles violations dans les quatre jours suivant la détermination de l'impact matériel. En revanche, la HIPAA accorde aux entités de soins de santé 60 jours pour de telles notifications.

Prudential n'a pas immédiatement renvoyé une demande de commentaire de Dark Reading. Mandy note que pour l'instant, les clients de Prudential n'auront qu'à attendre et voir si leurs informations ont été compromises lors de la violation.

« Comme nous l'avons vu avec d'autres violations, d'autres aspects de l'incident pourraient être découverts à mesure que l'enquête et ses retombées se poursuivent », explique Mandy. « La déclaration de Prudential indique que, sur la base de ce qu’ils savent actuellement, ils ne pensent pas que cela atteigne leur seuil de matérialité. Ce seuil est déterminé par Prudential, selon que l'impact (à leur avis) constituerait une information importante pour un investisseur ou un actionnaire.

Il ajoute : « Nous espérons voir une analyse plus détaillée de Prudential à mesure que l’enquête se poursuit. »

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec