प्रूडेंशियल ने एसईसी के पास स्वैच्छिक उल्लंघन नोटिस दाखिल किया

की एड़ी पर ताजा बैंक ऑफ अमेरिका साइबर समझौता, एक और फॉर्च्यून 500 दिग्गज विशेष रूप से डेटा ब्रीच क्रॉसहेयर में है: प्रूडेंशियल फाइनेंशियल ने इस सप्ताह कहा था कि हैकर्स ने महीने की शुरुआत में उसके सिस्टम के "कुछ" को हैक कर लिया था।

यह घोषणा एक अन्य कारण से भी सामने आई है: जबकि निगमों को अब इसकी आवश्यकता है उन साइबर सुरक्षा घटनाओं की रिपोर्ट करें जिनका "भौतिक" प्रभाव है अमेरिकी प्रतिभूति और विनिमय आयोग (एसईसी) के संचालन के लिए, ऐसा प्रतीत होता है कि प्रूडेंशियल ऐसे किसी भी प्रभाव के निर्धारित होने से पहले, स्वैच्छिक घटना प्रकटीकरण के साथ उस नए जनादेश से आगे निकल गया है।

"यह देखना बहुत अच्छा है कि प्रूडेंशियल फाइनेंशियल ने तुरंत डेटा उल्लंघन का पता लगाया और प्रतिक्रिया दी, और हमारी आशा है कि किसी भी संवेदनशील डेटा को चुराए जाने से पहले हमलावरों को रोक दिया गया था, और व्यवसाय पर प्रभाव न्यूनतम था," मुख्य सुरक्षा जोसेफ कार्सन कहते हैं। डेलिनिया में वैज्ञानिक और सलाहकार सीआईएसओ। हालाँकि, अभी वे विवरण अस्पष्ट हैं।

प्रूडेंशियल के उल्लंघन के पीछे साइबर क्राइम गिरोह की संभावना हो सकती है

में एसईसी को फॉर्म 8-के नोटिस, प्रूडेंशियल ने कहा इसने 5 फरवरी को अपने बुनियादी ढांचे तक अनधिकृत पहुंच का पता लगाया। इसने निर्धारित किया कि धमकी देने वाला अभिनेता, जिसे वित्तीय और बीमा दिग्गज एक संगठित साइबर अपराध समूह मानता है, ने एक दिन पहले "कुछ [आईटी] से प्रशासनिक और उपयोगकर्ता डेटा तक पहुंच प्राप्त कर ली थी।" सिस्टम, और कर्मचारियों और ठेकेदारों से जुड़े कंपनी उपयोगकर्ता खातों का एक छोटा प्रतिशत।

कंपनी ने अपनी घटना प्रतिक्रिया शुरू कर दी है, जो शुरुआती चरण में है; अब तक, यह स्पष्ट नहीं है कि क्या हमलावरों ने अतिरिक्त जानकारी या सिस्टम तक पहुंच बनाई, ग्राहक या क्लाइंट डेटा को लूटा, या क्या इस घटना का प्रूडेंशियल संचालन पर कोई महत्वपूर्ण प्रभाव पड़ेगा।

इनमें से किसी भी परिदृश्य का कोई सबूत नहीं होने के कारण, प्रूडेंशियल को अभी तक उल्लंघन की रिपोर्ट करने का अधिकार नहीं है। इस प्रकार, शोधकर्ताओं का कहना है कि फर्म की एसईसी फाइलिंग इस बात का संकेत है कि एक नया चलन क्या हो सकता है: सक्रिय फाइलिंग।

हमें ऐसा करने की ज़रूरत नहीं है - लेकिन हम करेंगे

15 दिसंबर को, एसईसी घटना-प्रकटीकरण नियमों को बदल दिया गया, जिसके लिए "साइबर घटना के महत्वपूर्ण होने का निर्धारण करने के चार व्यावसायिक दिनों" के भीतर फॉर्म 8-के दाखिल करना आवश्यक हो गया।

सिमिट्री सिस्टम्स में डेटा सुरक्षा के मुख्य प्रचारक क्लॉड मैंडी का कहना है कि उल्लंघन की भौतिकता की पूरी तरह से पहचान करने से पहले फाइल करने का प्रूडेंशियल का कदम हमलावरों द्वारा किसी भी जबरन वसूली के प्रयास को विफल करने का एक प्रयास हो सकता है।

नए एसईसी नियमों को हथियार बनाने की क्षमता मेरिडियनलिंक के मामले में स्पष्ट है, जिसने साइबर हमले के बाद रैंसमवेयर समूह एएलपीएचवी (उर्फ ब्लैककैट) के साथ बातचीत नहीं करने का विकल्प चुना। गैंग ने जवाब दिया एसईसी के पास औपचारिक शिकायत दर्ज करना, आरोप लगाया कि इसका हालिया शिकार नए प्रकटीकरण नियमों का पालन करने में विफल रहा।

मैंडी का कहना है, "प्रूडेंशियल का सक्रिय होल्डिंग बयान इस नई घटना रिपोर्टिंग व्यवस्था के तहत साइबर अपराधियों द्वारा साइबर अपराध पीड़ितों पर डाले जा रहे दबाव का संकेत है।" "यह एक अच्छी तरह से पूर्वाभ्यास किए गए घटना प्रतिक्रिया कार्यक्रम का संकेत है।"

वह आगे कहते हैं, “साइबर अपराधी पीड़ितों से पैसे ऐंठने के लिए घटना के सार्वजनिक खुलासे की धमकी दे सकते हैं और देते रहेंगे। इस तरह का शीघ्र खुलासा उस दबाव से राहत देता है, लेकिन घटना की संभावित भौतिकता निर्धारित करने के लिए आधुनिक डेटा सुरक्षा उपकरणों की आवश्यकता होती है।

इस बीच, कीपर सिक्योरिटी के सीईओ और सह-संस्थापक डेरेन गुच्चियोन ने एक ईमेल बयान में कहा कि साइबर घटनाओं की ऐसी स्वैच्छिक रिपोर्टिंग केवल एक स्पिन-डॉक्टरिंग प्रयास हो सकती है, इसके नतीजे देखने के बाद Uber और ओरियन अधिकारियों को इसका खामियाजा भुगतना पड़ा घटनाओं की रिपोर्ट नहीं करना एक समय पर तरीके से।

उन्होंने कहा, "प्रूडेंशियल सक्रिय रूप से प्रतिष्ठित क्षति को कम करने का प्रयास कर सकता है... इस प्रकार का स्वैच्छिक प्रकटीकरण संभवतः नियमों की तुलना में जनसंपर्क से अधिक प्रेरित है।"

यह घटना संघीय कानून में एक स्पष्ट चूक की ओर भी इशारा करती है: कोई व्यापक संघीय डेटा गोपनीयता क़ानून नहीं है जिसके लिए व्यवसायों को ग्राहकों को वास्तविक या संभावित डेटा उल्लंघनों के बारे में सीधे सूचित करने की आवश्यकता होती है, और दंडात्मक निवारक के रूप में कार्य करने वाले कोई संबंधित जुर्माना या प्रतिबंध नहीं हैं। फेड ने प्रभावी ढंग से डेटा गोपनीयता और सुरक्षा को राज्यों और सेक्टर-विशिष्ट एजेंसी विनियमन में स्थानांतरित कर दिया है; कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम (सीसीपीए) सबसे सख्त सुरक्षाओं में से एक है, हालांकि आलोचक शिकायत करते हैं सीसीपीए पर्याप्त दूर तक नहीं जाता है.

जो बात नए एसईसी नियम को अन्य नियमों से अलग करती है, वह इसकी आवश्यकता है कि सार्वजनिक रूप से कारोबार करने वाली कंपनियां भौतिक प्रभाव निर्धारित करने के चार दिनों के भीतर ऐसे उल्लंघनों की रिपोर्ट करें। इसके विपरीत, HIPAA ऐसी सूचनाओं के लिए स्वास्थ्य देखभाल संस्थाओं को 60 दिन का समय देता है।

प्रूडेंशियल ने डार्क रीडिंग के टिप्पणी अनुरोध का तुरंत जवाब नहीं दिया। मैंडी का कहना है कि अभी, प्रूडेंशियल ग्राहकों को बस इंतजार करना होगा और देखना होगा कि उल्लंघन में उनकी जानकारी से समझौता किया गया है या नहीं।

मैंडी का कहना है, "जैसा कि हमने अन्य उल्लंघनों के साथ देखा है, जांच और नतीजे जारी रहने के कारण घटना के और भी पहलू सामने आ सकते हैं।" “प्रूडेंशियल के होल्डिंग स्टेटमेंट से संकेत मिलता है कि वे अभी जो जानते हैं उसके आधार पर, उन्हें विश्वास नहीं है कि यह भौतिकता के लिए उनकी सीमा को पूरा करता है। यह सीमा प्रूडेंशियल द्वारा निर्धारित की जाती है, इस आधार पर कि क्या प्रभाव (उनके विचार में) किसी निवेशक या शेयरधारक के लिए महत्वपूर्ण जानकारी होगी।

वह आगे कहते हैं, "जांच जारी रहने पर हमें प्रूडेंशियल से और अधिक विस्तृत विश्लेषण देखने की उम्मीद है।"

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec