Vers op de hielen van de Cybercompromis van de Bank of AmericaEen andere Fortune 500-gigant zit met name in het vizier van datalekken: Prudential Financial zei deze week dat hackers eerder deze maand โbepaaldeโ systemen van het bedrijf hadden gekraakt.
De aankondiging valt ook om een โโandere reden op: terwijl bedrijven dat nu wel moeten doen rapporteer cyberveiligheidsincidenten die een โmateriรซleโ impact hebben Wat betreft operaties bij de Amerikaanse Securities & Exchange Commission (SEC), lijkt Prudential dit nieuwe mandaat vooruit te zijn gegaan met een vrijwillige openbaarmaking van incidenten, voordat een dergelijke impact is vastgesteld.
โHet is geweldig om te zien dat Prudential Financial het datalek snel heeft ontdekt en erop heeft gereageerd. We hopen dat de aanvallers zijn tegengehouden voordat er gevoelige gegevens zijn gestolen, en dat de impact op het bedrijf minimaal isโ, zegt Joseph Carson, hoofd beveiliging. wetenschapper en adviserend CISO bij Delinea. Voorlopig zijn die details echter onduidelijk.
Cybercriminaliteitsbende zit waarschijnlijk achter de inbreuk van Prudential
In een Formulier 8-K kennisgeving aan de SEC, zei Prudential dat het op 5 februari ongeoorloofde toegang tot zijn infrastructuur ontdekte. Het stelde vast dat de bedreigingsacteur, waarvan de financiรซle en verzekeringsgigant gelooft dat het een georganiseerde cybercriminaliteitsgroep was, de dag ervoor toegang had gekregen tot โadministratieve en gebruikersgegevens van bepaalde [IT] systemen, en een klein percentage van de bedrijfsgebruikersaccounts die verband houden met werknemers en aannemers.โ
Het bedrijf is begonnen met de respons op incidenten, die zich nog in de beginfase bevindt; Tot nu toe is het onduidelijk of de aanvallers toegang hebben gekregen tot aanvullende informatie of systemen, klant- of cliรซntgegevens hebben gestolen, of dat het incident een materiรซle impact zal hebben op de activiteiten van Prudential.
Omdat er geen bewijs is voor een van deze scenario's, heeft Prudential nog geen mandaat om de inbreuk te melden. Onderzoekers zeggen dus dat de SEC-aanvraag van het bedrijf indicatief is voor wat een nieuwe trend zou kunnen zijn: proactieve aanmeldingen.
We hoeven dit niet te doen, maar we zullen het wel doen
Op 15 december werden de regels voor het openbaar maken van incidenten door de SEC gewijzigd, zodat een formulier 8-K moest worden ingediend binnen โvier werkdagen nadat werd vastgesteld dat [een cyber]incident materieel was.โ
Claude Mandy, hoofdevangelist voor gegevensbeveiliging bij Symmetry Systems, merkt op dat de stap van Prudential om een โโdossier in te dienen voordat de materialiteit van de inbreuk volledig is geรฏdentificeerd, een poging zou kunnen zijn om eventuele afpersingspogingen van de aanvallers te dwarsbomen.
Het potentieel om de nieuwe SEC-regels te bewapenen is duidelijk in het geval van MeridianLink, dat ervoor koos om niet te onderhandelen met de ransomwaregroep ALPHV (ook bekend als BlackCat) na een cyberaanval. De bende reageerde door een formele klacht indienen bij de SEC, bewerend dat het recente slachtoffer niet heeft voldaan aan de nieuwe openbaarmakingsregels.
โDe proactieve holdingverklaring van Prudential is indicatief voor de druk die cybercriminelen uitoefenen op slachtoffers van cybercriminaliteit onder dit nieuwe regime voor het melden van incidentenโ, zegt Mandy. โHet is een teken van een goed ingestudeerd incidentresponsprogramma.โ
Hij voegt eraan toe: โCybercriminelen kunnen en zullen dreigen met het openbaar maken van het incident om geld van de slachtoffers af te persen. Een vroege openbaarmaking als deze verlicht die druk, maar er zijn moderne gegevensbeveiligingsinstrumenten voor nodig om de waarschijnlijke materialiteit van het incident te bepalen.โ
Ondertussen zei Darren Guccione, CEO en mede-oprichter van Keeper Security, in een verklaring per e-mail dat een dergelijke vrijwillige rapportage van cyberincidenten eenvoudigweg een spin-doctoring-inspanning zou kunnen zijn, nadat hij de gevolgen had gezien die Uber en SolarWinds leidinggevenden hebben geleden incidenten niet melden Tijdig.
โPrudentieel probeert mogelijk proactief reputatieschade te beperken โฆ dit soort vrijwillige openbaarmaking wordt waarschijnlijk meer gemotiveerd door public relations dan door regelgeving,โ merkte hij op.
Het incident wijst ook op een flagrante omissie in de federale wetgeving: er zijn geen algemene federale wetten op het gebied van gegevensprivacy die bedrijven verplichten klanten rechtstreeks op de hoogte te stellen van echte of potentiรซle datalekken, en er zijn geen overeenkomstige boetes of sancties van kracht die als afschrikmiddel fungeren. De FBI heeft de privacy en bescherming van gegevens effectief gedelegeerd aan de staten en aan sectorspecifieke regelgeving; de California Consumer Privacy Act (CCPA) is een van de strengste beschermingsmaatregelen, hoewel critici klagen CCPA gaat niet ver genoeg.
Wat de nieuwe SEC-regel onderscheidt van andere regelgeving is de eis dat beursgenoteerde bedrijven dergelijke inbreuken binnen vier dagen na vaststelling van de materiรซle impact moeten melden. HIPAA geeft zorginstellingen daarentegen 60 dagen voor dergelijke meldingen.
Prudential heeft niet onmiddellijk een verzoek om commentaar van Dark Reading geretourneerd. Mandy merkt op dat Prudential-klanten voorlopig alleen maar moeten afwachten of hun informatie in gevaar is gekomen door de inbreuk.
โZoals we bij andere inbreuken hebben gezien, kunnen er nog meer aspecten aan het incident aan het licht komen naarmate het onderzoek en de gevolgen ervan voortdurenโ, zegt Mandy. โDe holdingverklaring van Prudential geeft aan dat ze op basis van wat ze nu weten, niet geloven dat het aan hun drempel voor materialiteit voldoet. Deze drempel wordt bepaald door Prudential, op basis van de vraag of de impact (naar hun mening) materiรซle informatie voor een investeerder of aandeelhouder zou zijn.โ
Hij voegt eraan toe: โWe hopen een meer gedetailleerde analyse van Prudential te zien naarmate het onderzoek voortduurt.โ
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec
- : heeft
- :is
- :niet
- $UP
- 15%
- 500
- 60
- 7
- a
- toegang
- geraadpleegde
- accounts
- Handelen
- Extra
- Extra informatie
- Voegt
- administratief
- adviserend
- Na
- agentschap
- vooruit
- aka
- ook
- Amerika
- an
- analyse
- en
- Aankondiging
- Nog een
- elke
- uit elkaar
- komt naar voren
- ZIJN
- AS
- aspecten
- geassocieerd
- At
- proberen
- pogingen
- gebaseerde
- BE
- geweest
- vaardigheden
- kolos
- achter
- wezen
- geloofd wie en wat je bent
- gelooft
- overtreding
- inbreuken
- bedrijfsdeskundigen
- ondernemingen
- maar
- by
- Californiรซ
- CAN
- geval
- CCPA
- ceo
- zeker
- veranderd
- chef
- CISO
- klant
- Mede-oprichter
- commentaar
- commissie
- Bedrijven
- afstand
- klacht
- voldoen
- Aangetast
- consument
- privacy van de consument
- blijft
- aannemers
- contrast
- Bedrijven
- Overeenkomend
- kon
- gebarsten
- Critici
- dradenkruis
- klant
- Klanten
- cyber
- Cyber โโaanval
- cybercrime
- cybercriminelen
- Cybersecurity
- schade
- Donker
- Donkere lezing
- Darren
- gegevens
- datalek
- Gegevensdoorbraken
- data Privacy
- gegevensbeveiliging
- dag
- dagen
- december
- gedetailleerd
- gegevens
- gedetecteerd
- Bepalen
- vastbesloten
- bepalen
- DEED
- direct
- onthulling
- do
- doesn
- don
- Vroeger
- Vroeg
- effectief
- inspanning
- medewerkers
- entiteiten
- Evangelist
- bewijzen
- duidelijk
- uitwisseling
- execs
- afpersing
- Mislukt
- Fallout
- ver
- Feb
- Federaal
- Feds
- Dien in
- ingediend
- Bestanden
- Filing
- vijlsel
- financieel
- uiteinden
- Stevig
- Voor
- formulier
- formeel
- Fortuin
- vier
- oppompen van
- geheel
- verder
- opgedaan
- Bende
- reus
- geeft
- Go
- groot
- Groep
- Hackers
- HAD
- Hebben
- he
- gezondheidszorg
- bezit
- hoop
- HTTPS
- het identificeren van
- if
- per direct
- Impact
- in
- incident
- incident reactie
- geeft aan
- indicatief
- informeren
- informatie
- Infrastructuur
- verzekering
- onderzoek
- investeerder
- isn
- IT
- HAAR
- jpg
- voor slechts
- blijven
- Wet
- als
- Waarschijnlijk
- mandaat
- manier
- materiaal
- Mei..
- Meets
- minimaal
- Verzachten
- Modern
- geld
- Maand
- meer
- gemotiveerde
- beweging
- Noodzaak
- New
- geen
- in het bijzonder
- bekend
- Opmerkingen
- Merk op..
- meldingen
- nu
- of
- korting
- on
- EEN
- Operations
- or
- Georganiseerd
- Overige
- onze
- uit
- percentage
- plaats
- Plato
- Plato gegevensintelligentie
- PlatoData
- punten
- potentieel
- druk
- privacy
- Proactieve
- Programma
- bescherming
- Prudential
- publiek
- Public relations
- in het openbaar
- zetten
- snel
- ransomware
- lezing
- vast
- reden
- recent
- regime
- Regulatie
- reglement
- betrekkingen
- verslag
- Rapportage
- te vragen
- vereisen
- nodig
- vereiste
- vereist
- onderzoekers
- antwoord
- terugkeer
- rechts
- Regel
- reglement
- s
- Zei
- sancties
- ervaren
- zegt
- scenario's
- Wetenschapper
- SEC
- SEC-archivering
- sectorspecifiek
- Effecten
- Securities & Exchange Commission
- veiligheid
- zien
- te zien
- gezien
- gevoelig
- Sets
- aandeelhouder
- teken
- eenvoudigweg
- Klein
- So
- dusver
- Gesponsorde
- stadia
- staat
- Statement
- Staten
- gestolen
- gestopt
- dergelijk
- leed
- Systems
- neem contact
- dat
- De
- hun
- Er.
- ze
- dit
- deze week
- die
- toch?
- bedreiging
- drempel
- Dus
- actuele
- naar
- tools
- verhandeld
- trend
- type dan:
- onbevoegd
- ongedekt
- voor
- us
- Gebruiker
- Slachtoffer
- slachtoffers
- Bekijk
- vrijwillig
- wachten
- was
- we
- week
- waren
- Wat
- of
- welke
- en
- wil
- Met
- binnen
- zou
- nog
- zephyrnet
