Prudential Files에서 SEC에 자발적 위반 통지를 제출했습니다.

바로 뒤를 잇는 신선함 Bank of America 사이버 침해, 또 다른 Fortune 500대 기업은 특히 데이터 유출의 십자선에 있습니다. Prudential Financial은 이번 주에 해커들이 이달 초에 자사 시스템의 "특정"을 크랙했다고 밝혔습니다.

이 발표는 또 다른 이유로도 눈에 띕니다. 이제 기업은 다음 사항을 준수해야 합니다. "중요한" 영향을 미치는 사이버 보안 사고 보고 미국 증권거래위원회(SEC)에 대한 운영에 있어 Prudential은 그러한 영향이 결정되기 전에 자발적으로 사건을 공개함으로써 새로운 명령보다 앞서 나간 것으로 보입니다.

"Prudential Financial이 데이터 침해를 신속하게 감지하고 대응한 것을 보니 매우 기쁩니다. 우리는 민감한 데이터가 도난당하기 전에 공격자를 막아 비즈니스에 미치는 영향을 최소화하는 것이 우리의 희망입니다."라고 최고 보안 책임자인 Joseph Carson은 말합니다. Delinea의 과학자이자 자문 CISO입니다. 하지만 현재로서는 그 세부 사항이 불분명합니다.

푸르덴셜의 침해 배후에 사이버 범죄 집단이 있을 가능성

안에 푸르덴셜은 SEC에 8-K 양식을 제출했다고 밝혔습니다. 5월 XNUMX일 자사 인프라에 대한 무단 접근을 탐지했다고 밝혔습니다. 거대 금융 및 보험 회사가 조직적인 사이버 범죄 그룹으로 믿고 있는 위협 행위자가 전날 “특정 IT로부터 관리 및 사용자 데이터에 접근한 것으로 확인되었습니다.” 직원 및 계약자와 관련된 회사 사용자 계정의 일부입니다.”

회사는 초기 단계인 사고 대응을 시작했습니다. 지금까지는 공격자가 추가 정보나 시스템에 접근했는지, 고객이나 클라이언트 데이터를 훔쳤는지, 해당 사건이 Prudential 운영에 중대한 영향을 미칠지는 확실하지 않습니다.

이러한 시나리오에 대한 증거가 없기 때문에 Prudential은 아직 위반 사항을 보고할 의무가 없습니다. 따라서 연구원들은 회사의 SEC 서류 제출이 새로운 추세, 즉 적극적 서류 제출을 시사한다고 말합니다.

우리는 이것을 할 필요는 없지만 그렇게 할 것입니다.

15월 8일, SEC 사고 공개 규칙은 "[사이버] 사고가 중요하다고 판단한 후 영업일 기준 XNUMX일" 이내에 Form XNUMX-K를 제출하도록 변경되었습니다.

Symmetry Systems의 데이터 보안 담당 수석 전도사인 Claude Mandy는 Prudential이 침해의 중요성을 완전히 식별하기 전에 파일을 제출하는 것은 가해자의 강탈 시도를 저지하려는 노력일 수 있다고 지적합니다.

MeridianLink는 사이버 공격 이후 랜섬웨어 그룹 ALPHV(일명 BlackCat)와 협상하지 않기로 결정한 MeridianLink의 경우 새로운 SEC 규정을 무기화할 가능성이 분명합니다. 갱단은 이렇게 대답했다. SEC에 정식으로 불만을 제기, 최근 피해자가 새로운 공개 규정을 준수하지 않았다고 주장합니다.

Mandy는 “Prudential의 적극적인 보류 성명은 새로운 사고 보고 체제 하에서 사이버 범죄자들이 사이버 범죄 피해자들에게 가하는 압력을 나타냅니다.”라고 말했습니다. "이것은 잘 연습된 사고 대응 프로그램의 표시입니다."

그는 “사이버범죄자들은 ​​피해자들로부터 돈을 갈취하기 위해 사건을 공개하겠다고 위협할 수 있고 앞으로도 그렇게 할 것입니다. 이와 같이 조기에 공개하면 압박감이 완화되지만, 사건의 중요성을 판단하려면 현대적인 데이터 보안 도구가 필요합니다.”

한편, Keeper Security의 CEO이자 공동 창립자인 Darren Guccione는 이메일 성명을 통해 사이버 사고에 대한 자발적인 보고는 단순히 스핀 닥터링 노력일 수 있다고 말했습니다. 동네 짱 및 SolarWinds 임원들이 고생했다 사건을 보고하지 않음 적시에.

“푸르덴셜은 평판 훼손을 적극적으로 완화하려고 시도할 수 있습니다. 이러한 유형의 자발적인 공개는 규제보다는 홍보에 의해 더 많이 동기를 부여받을 가능성이 높습니다.”라고 그는 지적했습니다.

이 사건은 또한 연방법의 눈에 띄는 누락을 지적합니다. 기업이 실제 또는 잠재적 데이터 위반에 대해 고객에게 직접 알릴 것을 요구하는 포괄적인 연방 데이터 개인 정보 보호법이 없으며 징벌적 억제 수단으로 작용하는 해당 벌금이나 제재 조치도 없습니다. 연방정부는 데이터 개인 정보 보호 및 보호를 주 및 부문별 기관 규정으로 효과적으로 이관했습니다. 캘리포니아 소비자 개인 정보 보호법(CCPA)은 가장 엄격한 보호 조치 중 하나이지만 비평가들은 불만을 제기합니다. CCPA는 충분하지 않습니다.

새로운 SEC 규정이 다른 규정과 다른 점은 공개 거래 회사가 중대한 영향을 판단한 후 60일 이내에 그러한 위반 사항을 보고하도록 요구한다는 것입니다. 이와 대조적으로 HIPAA는 의료 기관에 이러한 통지를 제공할 수 있는 XNUMX일의 기간을 제공합니다.

Prudential은 Dark Reading의 논평 요청에 즉시 응답하지 않았습니다. Mandy는 현재로서는 Prudential 고객이 자신의 정보가 침해로 인해 손상되었는지 확인하기만 하면 된다고 지적합니다.

Mandy는 “다른 위반 사례에서 확인했듯이 조사와 결과가 계속되면서 사건에 대한 추가 측면이 밝혀질 수 있습니다.”라고 말했습니다. “푸르덴셜의 성명서는 그들이 현재 알고 있는 바에 따르면 그것이 중요성에 대한 한계점을 충족하지 않는다고 믿고 있음을 나타냅니다. 이 기준점은 Prudential의 관점에서 그 영향이 투자자나 주주에게 중요한 정보인지 여부에 따라 결정됩니다.”

그는 “조사가 계속되면서 푸르덴셜의 보다 자세한 분석을 볼 수 있기를 기대한다”고 덧붙였다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec