Segar setelahnya Kompromi dunia maya Bank of America, raksasa Fortune 500 lainnya juga menjadi sasaran pelanggaran data: Prudential Financial mengatakan minggu ini bahwa peretas meretas sistem โtertentuโ pada awal bulan.
Pengumuman tersebut juga menonjol karena alasan lain: Meskipun perusahaan kini diharuskan melakukannya melaporkan insiden keamanan siber yang mempunyai dampak โmaterialโ. dalam operasinya kepada Komisi Sekuritas & Bursa AS (SEC), Prudential tampaknya telah menjalankan mandat baru tersebut dengan melakukan pengungkapan insiden secara sukarela, sebelum dampaknya ditentukan.
โSangat menyenangkan melihat Prudential Financial dengan cepat mendeteksi dan merespons pelanggaran data, dan harapan kami adalah para penyerang dapat dihentikan sebelum data sensitif dicuri, dan dampaknya terhadap bisnis menjadi minimal,โ kata Joseph Carson, kepala keamanan ilmuwan dan penasihat CISO di Delinea. Namun untuk saat ini, rinciannya masih belum jelas.
Geng Kejahatan Dunia Maya Kemungkinan Berada di Balik Pelanggaran Prudential
Di sebuah Formulir pemberitahuan 8-K kepada SEC, kata Prudential bahwa mereka mendeteksi akses tidak sah ke infrastrukturnya pada tanggal 5 Februari. Mereka menetapkan bahwa pelaku ancaman, yang diyakini oleh raksasa keuangan dan asuransi tersebut sebagai kelompok kejahatan dunia maya yang terorganisir, telah memperoleh akses sehari sebelumnya ke โdata administratif dan pengguna dari [TI] tertentu sistem, dan sebagian kecil akun pengguna perusahaan yang terkait dengan karyawan dan kontraktor.โ
Perusahaan telah memulai respons insidennya, yang masih dalam tahap awal; sejauh ini, tidak jelas apakah penyerang mengakses informasi atau sistem tambahan, mencuri data pelanggan atau klien, atau apakah insiden tersebut akan berdampak signifikan pada operasional Prudential.
Karena tidak adanya bukti mengenai skenario tersebut, Prudential belum diberi mandat untuk melaporkan pelanggaran tersebut. Oleh karena itu, para peneliti mengatakan bahwa pengajuan SEC oleh perusahaan tersebut merupakan indikasi dari apa yang mungkin menjadi tren baru: pengajuan proaktif.
Kami Tidak Perlu Melakukan Ini โ Tapi Kami Akan Melakukannya
Pada tanggal 15 Desember, peraturan pengungkapan insiden SEC diubah sehingga mengharuskan Formulir 8-K untuk diajukan dalam โempat hari kerja setelah menentukan bahwa insiden [siber] adalah penting.โ
Claude Mandy, kepala penginjil keamanan data di Symmetry Systems, mencatat bahwa langkah Prudential untuk mengajukan laporan sebelum sepenuhnya mengidentifikasi materialitas pelanggaran dapat menjadi upaya untuk mencegah upaya pemerasan yang dilakukan oleh para penyerang.
Potensi untuk mempersenjatai peraturan SEC yang baru terlihat jelas dalam kasus MeridianLink, yang memilih untuk tidak bernegosiasi dengan kelompok ransomware ALPHV (alias BlackCat) setelah serangan siber. Geng itu merespons dengan mengajukan keluhan resmi kepada SEC, menuduh bahwa korbannya baru-baru ini gagal mematuhi peraturan pengungkapan yang baru.
โPernyataan proaktif Prudential merupakan indikasi tekanan yang diberikan pada korban kejahatan dunia maya oleh penjahat dunia maya di bawah rezim pelaporan insiden baru ini,โ kata Mandy. โIni adalah tanda dari program respons insiden yang telah dilatih dengan baik.โ
Ia menambahkan, โpenjahat dunia maya dapat dan akan mengancam pengungkapan insiden tersebut kepada publik untuk memeras uang dari para korban. Pengungkapan dini seperti ini mengurangi tekanan tersebut, namun memerlukan alat keamanan data modern untuk menentukan kemungkinan materialitas insiden tersebut.โ
Sementara itu, Darren Guccione, CEO dan salah satu pendiri Keeper Security, mengatakan dalam sebuah pernyataan melalui email bahwa pelaporan insiden dunia maya secara sukarela seperti itu bisa saja hanya merupakan upaya spin-doctoring, setelah melihat dampak buruknya. uber dan SuryaAngin para eksekutif menderita karenanya tidak melaporkan insiden pada waktu yang tepat.
โPrudential mungkin berupaya untuk secara proaktif memitigasi kerusakan reputasiโฆ pengungkapan sukarela semacam ini kemungkinan besar lebih dimotivasi oleh hubungan masyarakat dibandingkan peraturan,โ ujarnya.
Insiden ini juga menunjukkan kelalaian yang mencolok dalam undang-undang federal: Tidak ada undang-undang privasi data federal yang mewajibkan perusahaan untuk memberi tahu pelanggan secara langsung tentang pelanggaran data yang nyata atau potensial, dan tidak ada denda atau sanksi terkait yang berfungsi sebagai tindakan pencegahan. FBI telah secara efektif menyerahkan privasi dan perlindungan data kepada peraturan negara bagian dan lembaga yang spesifik pada sektor tertentu; Undang-Undang Privasi Konsumen California (CCPA) adalah salah satu perlindungan yang paling ketat, meskipun banyak kritikus yang mengeluh CCPA tidak cukup membantu.
Apa yang membedakan peraturan SEC yang baru ini dengan peraturan lainnya adalah persyaratannya bahwa perusahaan publik melaporkan pelanggaran tersebut dalam waktu empat hari setelah menentukan dampak materialnya. Sebaliknya, HIPAA memberi waktu 60 hari kepada entitas layanan kesehatan untuk menerima pemberitahuan tersebut.
Prudential tidak segera membalas permintaan komentar dari Dark Reading. Mandy mencatat bahwa untuk saat ini, nasabah Prudential hanya perlu menunggu dan melihat apakah informasi mereka telah disusupi dalam pelanggaran tersebut.
โSeperti yang telah kita lihat pada pelanggaran lainnya, mungkin ada aspek lain dari insiden tersebut yang terungkap seiring dengan berlanjutnya penyelidikan dan dampak buruknya,โ kata Mandy. โPernyataan dari Prudential menunjukkan bahwa berdasarkan apa yang mereka ketahui saat ini, mereka tidak yakin hal tersebut memenuhi ambang batas materialitas. Ambang batas ini ditentukan oleh Prudential, berdasarkan apakah dampaknya (dalam pandangan mereka) akan menjadi informasi material bagi investor atau pemegang saham.โ
Dia menambahkan, โKami berharap dapat melihat analisis yang lebih rinci dari Prudential seiring dengan berlanjutnya penyelidikan.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec
- :memiliki
- :adalah
- :bukan
- $NAIK
- 15%
- 500
- 60
- 7
- a
- mengakses
- diakses
- Akun
- Bertindak
- Tambahan
- Informasi Tambahan
- Menambahkan
- administratif
- laporan
- Setelah
- badan
- di depan
- alias
- juga
- Amerika
- an
- analisis
- dan
- Pengumuman
- Lain
- Apa pun
- selain
- muncul
- ADALAH
- AS
- aspek
- terkait
- At
- berusaha
- Mencoba
- berdasarkan
- BE
- menjadi
- sebelum
- raksasa binatang
- di belakang
- makhluk
- Percaya
- percaya
- pelanggaran
- pelanggaran
- bisnis
- bisnis
- tapi
- by
- california
- CAN
- kasus
- CCPA
- ceo
- tertentu
- berubah
- kepala
- CISO
- klien
- Co-founder
- komentar
- Komisi
- Perusahaan
- perusahaan
- keluhan
- memenuhi
- Dikompromikan
- konsumen
- privasi konsumen
- terus
- kontraktor
- kontras
- Perusahaan
- Sesuai
- bisa
- retak
- Kritik
- bidik
- pelanggan
- pelanggan
- maya
- Serangan cyber
- cybercrime
- penjahat cyber
- Keamanan cyber
- kerusakan
- gelap
- Bacaan gelap
- Darren
- data
- Data pelanggaran
- Pelanggaran Data
- privasi data
- keamanan data
- hari
- Hari
- Desember
- terperinci
- rincian
- terdeteksi
- Menentukan
- ditentukan
- menentukan
- MELAKUKAN
- langsung
- penyingkapan
- do
- doesn
- don
- Terdahulu
- Awal
- efektif
- usaha
- karyawan
- entitas
- Pengabar Injil
- bukti
- jelas
- Pasar Valas
- Eksekutif
- pemerasan
- Gagal
- kejatuhan
- jauh
- Februari
- Federal
- FBI
- File
- mengajukan
- File
- Filing
- pengajuan
- keuangan
- akhir
- Perusahaan
- Untuk
- bentuk
- resmi
- Nasib
- empat
- dari
- sepenuhnya
- lebih lanjut
- diperoleh
- Gang
- raksasa
- memberikan
- Go
- besar
- Kelompok
- hacker
- memiliki
- Memiliki
- he
- kesehatan
- memegang
- berharap
- HTTPS
- mengidentifikasi
- if
- segera
- Dampak
- in
- insiden
- respon insiden
- menunjukkan
- indikatif
- memberitahu
- informasi
- Infrastruktur
- asuransi
- investigasi
- investor
- adalah n
- IT
- NYA
- jpg
- hanya
- Tahu
- Hukum
- 'like'
- Mungkin
- Mandat
- cara
- bahan
- Mungkin..
- Memenuhi
- minimal
- Mengurangi
- modern
- uang
- Bulan
- lebih
- termotivasi
- pindah
- Perlu
- New
- tidak
- terutama
- terkenal
- Catatan
- Melihat..
- pemberitahuan
- sekarang
- of
- lepas
- on
- ONE
- Operasi
- or
- terorganisir
- Lainnya
- kami
- di luar
- persentase
- Tempat
- plato
- Kecerdasan Data Plato
- Data Plato
- poin
- potensi
- tekanan
- pribadi
- Proaktif
- program
- perlindungan
- Bijaksana
- publik
- Hubungan masyarakat
- di depan umum
- menempatkan
- segera
- ransomware
- Bacaan
- nyata
- alasan
- baru
- rezim
- Regulasi
- peraturan
- hubungan
- melaporkan
- Pelaporan
- permintaan
- membutuhkan
- wajib
- kebutuhan
- membutuhkan
- peneliti
- tanggapan
- kembali
- benar
- Aturan
- aturan
- s
- Tersebut
- Sanksi
- mengatakan
- mengatakan
- skenario
- ilmuwan
- SEC
- Pengarsipan SEC
- khusus sektor
- Surat-surat berharga
- Komisi Sekuritas & Bursa
- keamanan
- melihat
- melihat
- terlihat
- peka
- set
- pemegang saham
- menandatangani
- hanya
- kecil
- So
- sejauh ini
- Disponsori
- magang
- berdiri
- Pernyataan
- Negara
- dicuri
- terhenti
- seperti itu
- menderita
- sistem
- dari
- bahwa
- Grafik
- mereka
- Sana.
- mereka
- ini
- minggu ini
- itu
- meskipun?
- ancaman
- ambang
- Demikian
- tepat waktu
- untuk
- alat
- diperdagangkan
- kecenderungan
- mengetik
- tidak sah
- terbongkar
- bawah
- us
- Pengguna
- Korban
- korban
- View
- sukarela
- menunggu
- adalah
- we
- minggu
- adalah
- Apa
- apakah
- yang
- sementara
- akan
- dengan
- dalam
- akan
- namun
- zephyrnet.dll
