Prudential filer frivillig bruddmelding med SEC

Frisk på hælene på Bank of America cyberkompromiss, en annen Fortune 500-gigant er spesielt i trådkorset for datainnbrudd: Prudential Financial sa denne uken at hackere sprakk "visse" av systemene sine tidligere i måneden.

Kunngjøringen skiller seg også ut av en annen grunn: Mens selskaper nå er pålagt det rapportere cybersikkerhetshendelser som har "materiell" innvirkning til operasjoner til US Securities & Exchange Commission (SEC), ser Prudential ut til å ha kommet seg i forkant av det nye mandatet med en frivillig avsløring av hendelser, før noen slik innvirkning har blitt fastslått.

"Det er flott å se at Prudential Financial raskt oppdaget og reagerte på datainnbruddet, og vårt håp er at angriperne ble stoppet før noen sensitive data ble stjålet, og at innvirkningen på virksomheten er minimal," sier Joseph Carson, sikkerhetssjef vitenskapsmann og rådgivende CISO ved Delinea. Foreløpig er imidlertid disse detaljene uklare.

Nettkriminalitetsgjengen ligger sannsynligvis bak Prudentials brudd

I en Form 8-K-melding til SEC, sa Prudential at den oppdaget uautorisert tilgang til infrastrukturen den 5. februar. Den fastslo at trusselaktøren, som finans- og forsikringsselskapet mener var en organisert nettkriminalitetsgruppe, hadde fått tilgang dagen før til «administrative og brukerdata fra visse [IT]] systemer, og en liten prosentandel av bedriftens brukerkontoer knyttet til ansatte og kontraktører."

Selskapet har startet sin hendelsesreaksjon, som er i de tidlige stadiene; så langt er det uklart om angriperne har fått tilgang til tilleggsinformasjon eller systemer, ranet kunde- eller klientdata, eller om hendelsen vil ha en vesentlig innvirkning på Prudential-operasjoner.

Uten bevis for noen av disse scenariene, er Prudential ennå ikke under mandat til å rapportere bruddet. Derfor sier forskere at firmaets SEC-arkivering er en indikasjon på hva som kan være en ny trend: proaktive registreringer.

Vi trenger ikke å gjøre dette - men vi vil

Den 15. desember ble SEC-hendelsesavsløringsreglene endret til å kreve at et skjema 8-K skal sendes inn innen «fire virkedager etter å ha fastslått at [en cyber]-hendelse var vesentlig».

Claude Mandy, sjefsevangelist for datasikkerhet ved Symmetry Systems, bemerker at Prudentials bevegelse til å arkivere før de fullt ut identifiserer vesentligheten av bruddet kan være et forsøk på å avskrekke eventuelle utpressingsforsøk fra angriperne.

Potensialet for å bevæpne de nye SEC-regelverket er tydelig i tilfellet MeridianLink, som valgte å ikke forhandle med løsepengevaregruppen ALPHV (aka BlackCat) etter et nettangrep. Gjengen svarte med sende inn en formell klage til SEC, med påstand om at det nylige offeret ikke overholdt nye avsløringsbestemmelser.

"Den proaktive holdeerklæringen fra Prudential er en indikasjon på presset som blir lagt på ofre for nettkriminalitet av nettkriminelle under dette nye rapporteringsregimet for hendelser," sier Mandy. "Det er et tegn på et godt innøvd hendelsesresponsprogram."

Han legger til, "cyberkriminelle kan og vil true offentlig avsløring av hendelsen for å presse penger fra ofrene. En tidlig avsløring som dette avlaster dette presset, men det krever moderne datasikkerhetsverktøy for å fastslå den sannsynlige vesentligheten av hendelsen.»

I mellomtiden sa Darren Guccione, administrerende direktør og medgründer i Keeper Security, i en e-postmelding at slik frivillig rapportering av cyberhendelser ganske enkelt kan være en spin-doktorarbeid, etter å ha sett konsekvensene som Uber og Solarwinds execs led for ikke rapportere hendelser på en riktig måte.

"Prudential kan forsøke å proaktivt redusere skade på omdømme ... denne typen frivillig avsløring er sannsynligvis motivert mer av PR enn regelverk," bemerket han.

Hendelsen peker også på en iøynefallende utelatelse i føderal lov: Det er ingen generelle føderale personvernlover som krever at virksomheter informerer kunder direkte om reelle eller potensielle datainnbrudd, og ingen tilsvarende bøter eller sanksjoner på plass som fungerer som avskrekkende straff. Feds har effektivt henvist personvern og beskyttelse av data til statene og sektorspesifikke byråer; California Consumer Privacy Act (CCPA) er en av de strengeste beskyttelsene, selv om kritikere klager CCPA går ikke langt nok.

Det som skiller den nye SEC-regelen fra andre forskrifter er kravet om at børsnoterte selskaper rapporterer slike brudd innen fire dager etter å ha fastslått vesentlig påvirkning. Derimot gir HIPAA helsetjenester 60 dager for slike varsler.

Prudential returnerte ikke umiddelbart en forespørsel om kommentar fra Dark Reading. Mandy bemerker at foreløpig vil Prudential-kunder bare måtte vente og se om informasjonen deres har blitt kompromittert i bruddet.

"Som vi har sett med andre brudd, kan det være ytterligere aspekter ved hendelsen som blir avdekket ettersom etterforskningen og nedfallet fortsetter," sier Mandy. "Beholdningserklæringen fra Prudential indikerer at basert på det de vet akkurat nå, tror de ikke at det oppfyller terskelen deres for vesentlighet. Denne terskelen bestemmes av Prudential, basert på om virkningen (etter deres syn) vil være vesentlig informasjon for en investor eller aksjonær."

Han legger til, "Vi håper å se mer detaljert analyse fra Prudential ettersom etterforskningen fortsetter."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec