טרי על העקבים של פשרה בסייבר של בנק אוף אמריקה, ענקית Fortune 500 נוספת נמצאת בולטת על הכוונת של פריצת מידע: Prudential Financial אמרה השבוע שהאקרים פיצחו "מסוימות" מהמערכות שלה מוקדם יותר החודש.
ההודעה בולטת גם מסיבה נוספת: בעוד שהתאגידים נדרשים לכך לדווח על אירועי אבטחת סייבר שיש להם השפעה "מהותית". לפעילות לרשות ניירות הערך האמריקאית (SEC), נראה כי Prudential יצאה לפני המנדט החדש עם גילוי אירוע מרצון, לפני שנקבעה השפעה כזו.
"זה נהדר לראות ש-Prudential Financial זיהתה במהירות את הפרת הנתונים והגיבה לה, ותקוותנו היא שהתוקפים נעצרו לפני שנגנבו נתונים רגישים כלשהם, ושההשפעה על העסק היא מינימלית", אומר ג'וזף קרסון, האבטחה הראשית מדען ו-CISO מייעץ ב-Delinea. בינתיים, הפרטים הללו אינם ברורים.
כנופיית פשעי סייבר עומדת כנראה מאחורי הפרת Prudential
ב הודעת טופס 8-K ל-SEC, אמרה פרודנציאל כי היא זיהתה גישה לא מורשית לתשתית שלה ב-5 בפברואר. היא קבעה ששחקן האיום, שלדעת הארגון הפיננסי והביטוחי הוא קבוצת פשעי סייבר מאורגנת, השיג גישה יום קודם לכן ל"נתונים מנהליים ומשתמשים מ-[IT] מסוימים. מערכות, ואחוז קטן מחשבונות המשתמשים בחברה המשויכים לעובדים וקבלנים".
החברה החלה בתגובת התקריות שלה, שנמצאת בשלבים מוקדמים; עד כה, לא ברור אם התוקפים ניגשו למידע או למערכות נוספות, שדפו נתוני לקוחות או לקוחות, או אם לאירוע תהיה השפעה מהותית על פעולות זהירות.
ללא הוכחה לאף אחד מהתרחישים הללו, לפרודנציאל עדיין אין מנדט לדווח על ההפרה. לפיכך, החוקרים טוענים כי הגשת ה-SEC של החברה מעידה על מה שיכול להיות מגמה חדשה: הגשות פרואקטיביות.
אנחנו לא צריכים לעשות את זה - אבל נעשה זאת
ב-15 בדצמבר, כללי גילוי התקריות של ה-SEC השתנו כך שחייבים להגיש טופס 8-K תוך "ארבעה ימי עסקים מרגע קביעת אירוע [סייבר] מהותי".
קלוד מנדי, אוונגליסט ראשי לאבטחת מידע ב-Symetry Systems, מציין כי המהלך של Prudential להגיש תיק לפני זיהוי מלא של מהות הפרצה יכול להיות מאמץ להעלים כל ניסיונות סחיטה של התוקפים.
הפוטנציאל לנשק את תקנות ה-SEC החדשות ניכר במקרה של MeridianLink, שבחרה לא לנהל משא ומתן עם קבוצת תוכנות הכופר ALPHV (המכונה BlackCat) לאחר מתקפת סייבר. החבורה הגיבה על ידי הגשת תלונה רשמית ל-SEC, בטענה שהקורבן האחרון שלו לא עמד בתקנות הגילוי החדשות.
"הצהרת ההחזקה היזומה של Prudential מעידה על הלחץ המופעל על קורבנות פשעי סייבר על ידי פושעי סייבר תחת משטר דיווח האירועים החדש הזה", אומר מנדי. "זהו סימן לתוכנית תגובה לאירועים מתוכננת היטב".
הוא מוסיף, "פושעי סייבר יכולים ויהיו מאיימים בחשיפה פומבית של האירוע כדי לסחוט כספים מהקורבנות. חשיפה מוקדמת כזו משחררת את הלחץ הזה, אבל היא דורשת כלי אבטחת מידע מודרניים כדי לקבוע את המהותיות הסבירה של האירוע".
בינתיים, דארן גוצ'יון, מנכ"ל ומייסד שותף ב-Keeper Security, אמר בהצהרה שנשלחה בדוא"ל שדיווח מרצון שכזה על אירועי סייבר יכול להיות פשוט מאמץ ספין-דוקטור, לאחר שראה את ההשלכות ש סופר ו השמש מנהלים סבלו עבור לא מדווח על אירועים בתזמון הולם.
"ייתכן ש-Prudential מנסה לצמצם נזק מוניטין באופן יזום... סוג זה של גילוי מרצון מונע יותר מיחסי ציבור מאשר תקנות", ציין.
התקרית גם מצביעה על מחדל בולט בחוק הפדרלי: אין חוקים פדרליים גורמיים לפרטיות נתונים המחייבים עסקים ליידע לקוחות ישירות על הפרות נתונים אמיתיות או פוטנציאליות, ואין קנסות או סנקציות מקבילות שפועלות כאמצעי הרתעה עונשיים. הפדרלים העבירו למעשה את פרטיות הנתונים והגנתם למדינות ולרגולציה של סוכנות ספציפית למגזר; חוק פרטיות הצרכן של קליפורניה (CCPA) הוא אחת ההגנות המחמירות ביותר, אם כי מבקרים מתלוננים CCPA לא הולך רחוק מספיק.
מה שמייחד את כלל ה-SEC החדש מתקנות אחרות הוא הדרישה שלו שחברות ציבוריות ידווחו על הפרות כאלה בתוך ארבעה ימים מרגע קביעת ההשפעה המהותית. לעומת זאת, HIPAA נותנת לגופי בריאות 60 יום להודעות כאלה.
פרודנציאל לא החזירה מיד בקשה לתגובה מאת Dark Reading. מנדי מציינת כי לעת עתה, לקוחות Prudential רק יצטרכו לחכות ולראות אם המידע שלהם נפרץ בהפרה.
"כפי שראינו עם הפרות אחרות, ייתכן שיש היבטים נוספים לאירוע שנחשפים ככל שהחקירה והנפילה נמשכת", אומר מנדי. "הצהרת ההחזקה של Prudential מצביעה על כך שבהתבסס על מה שהם יודעים כרגע, הם לא מאמינים שזה עומד בסף המהותיות שלהם. סף זה נקבע על ידי Prudential, על סמך האם ההשפעה (לדעתם) תהיה מידע מהותי למשקיע או לבעל מניות".
הוא מוסיף, "אנו מקווים לראות ניתוח מפורט יותר של Prudential ככל שהחקירה תימשך."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 15%
- 500
- 60
- 7
- a
- גישה
- נצפה
- חשבונות
- לפעול
- נוסף
- מידע נוסף
- מוסיף
- מנהלי
- ייעוץ
- לאחר
- סוכנות
- קדימה
- aka
- גם
- אמריקה
- an
- אנליזה
- ו
- הַכרָזָה
- אחר
- כל
- בנפרד
- מופיע
- ARE
- AS
- היבטים
- המשויך
- At
- מנסה
- ניסיונות
- מבוסס
- BE
- היה
- לפני
- בהמות
- מאחור
- להיות
- תאמינו
- מאמין
- הפרה
- פרות
- עסקים
- עסקים
- אבל
- by
- קליפורניה
- CAN
- מקרה
- CCPA
- מנכ"ל
- מסוים
- השתנה
- רֹאשׁ
- CISO
- לקוחות
- מייסד שותף
- הערה
- עמלה
- חברות
- חברה
- תלונה
- להיענות
- התפשר
- צרכן
- פרטיות צרכנית
- ממשיך
- קבלנים
- לעומת זאת
- תאגידים
- תוֹאֵם
- יכול
- סדוק
- מבקרים
- צלב
- לקוח
- לקוחות
- סייבר
- התקפת סייבר
- פשעי אינטרנט
- עברייני אינטרנט
- אבטחת סייבר
- נזק
- כהה
- קריאה אפלה
- דארן
- נתונים
- נתוני פרה
- הפרת נתונים
- פרטיות מידע
- אבטחת מידע
- יְוֹם
- ימים
- דצמבר
- מְפוֹרָט
- פרטים
- זוהה
- לקבוע
- נחוש
- קביעה
- DID
- ישירות
- חשיפה
- do
- לא איכפת
- דון
- מוקדם יותר
- מוקדם
- יעילות
- מאמץ
- עובדים
- ישויות
- מַטִיף
- עדות
- ברור
- חליפין
- אקס
- סחיטה
- נכשל
- נשורת
- רחוק
- פבואר
- פדרלי
- הבולשת הפדרלית
- שלח
- הוגש
- קבצים
- תיוק
- תלונות
- כספי
- קנסות
- פירמה
- בעד
- טופס
- רִשְׁמִי
- הון עתק
- ארבע
- החל מ-
- לגמרי
- נוסף
- צבר
- כְּנוּפִיָה
- ענק
- נותן
- Go
- גדול
- קְבוּצָה
- האקרים
- היה
- יש
- he
- בריאות
- מחזיק
- לקוות
- HTTPS
- זיהוי
- if
- מיד
- פְּגִיעָה
- in
- תקרית
- תגובה לאירוע
- מצביע על
- מְעִיד עַל
- לְהוֹדִיעַ
- מידע
- תשתית
- ביטוח
- חקירה
- משקיע
- J States
- IT
- שֶׁלָה
- jpg
- רק
- לדעת
- חוק
- כמו
- סביר
- מנדט
- דרך
- חוֹמֶר
- מאי..
- פוגשת
- מינימלי
- להקל
- מודרני
- כסף
- חוֹדֶשׁ
- יותר
- מוטיבציה
- המהלך
- צורך
- חדש
- לא
- בייחוד
- ציין
- הערות
- הודעה..
- הודעות
- עַכשָׁיו
- of
- כבוי
- on
- ONE
- תפעול
- or
- מאורגן
- אחר
- שלנו
- הַחוּצָה
- אחוזים
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודות
- פוטנציאל
- לחץ
- פְּרָטִיוּת
- פרואקטיבי
- תָכְנִית
- .
- פרודנשל
- ציבורי
- יחסי ציבור
- בפומבי
- גם
- מהירות
- ransomware
- קריאה
- ממשי
- טעם
- לאחרונה
- משטר
- תקנה
- תקנון
- יחסים
- לדווח
- דווח
- לבקש
- לדרוש
- נדרש
- דרישה
- דורש
- חוקרים
- תגובה
- לַחֲזוֹר
- תקין
- כלל
- כללי
- s
- אמר
- סנקציות
- לומר
- אומר
- תרחישים
- מַדְעָן
- ה-SEC
- הגשת SEC
- ספציפי למגזר
- ניירות ערך
- הרשות לניירות ערך
- אבטחה
- לִרְאוֹת
- ראות
- לראות
- רגיש
- סטים
- בעל מניות
- סִימָן
- בפשטות
- קטן
- So
- עד כה
- ממומן
- שלבים
- עומד
- הצהרה
- הברית
- גָנוּב
- נעצר
- כזה
- סבל
- מערכות
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- שם.
- הֵם
- זֶה
- השבוע
- אלה
- אם כי?
- איום
- סף
- כָּך
- אקטואלי
- ל
- כלים
- נסחר
- מְגַמָה
- סוג
- לא מורשה
- חָשׂוּף
- תחת
- us
- משתמש
- קרבן
- קורבנות
- לצפיה
- מִרָצוֹן
- לחכות
- היה
- we
- שבוע
- היו
- מה
- אם
- אשר
- בזמן
- יצטרך
- עם
- בתוך
- היה
- עוד
- זפירנט