Świeżo na piętach Cyberkompromis Bank of America, inny gigant z listy Fortune 500 znajduje się na celowniku naruszeń danych: Prudential Financial podał w tym tygodniu, że na początku miesiąca hakerzy włamali się do „niektórych” systemów tej firmy.
Ogłoszenie wyróżnia się również z innego powodu: choć korporacje są teraz do tego zobowiązane zgłaszać incydenty związane z cyberbezpieczeństwem, które mają „istotny” wpływ do operacji przed amerykańską Komisją Papierów Wartościowych i Giełd (SEC), wydaje się, że Prudential wyprzedził nowy mandat, dobrowolnie ujawniając incydenty, zanim ustalono jakikolwiek ich wpływ.
„Wspaniale jest widzieć, że Prudential Financial szybko wykrył naruszenie bezpieczeństwa danych i zareagował na nie. Mamy nadzieję, że atakujący zostali zatrzymani, zanim jakiekolwiek wrażliwe dane zostały skradzione, a wpływ na firmę był minimalny” – mówi Joseph Carson, dyrektor ds. bezpieczeństwa naukowiec i doradca CISO w Delinea. Na razie jednak szczegóły te nie są jasne.
Gang cyberprzestępczy prawdopodobnie stoi za naruszeniem Prudential
W Zawiadomienie na formularzu 8-K do SEC, powiedział Prudential że 5 lutego wykrył nieautoryzowany dostęp do swojej infrastruktury. Ustalił, że ugrupowanie zagrażające, którego zdaniem giganta finansowego i ubezpieczeniowego jest zorganizowaną grupą cyberprzestępczą, dzień wcześniej uzyskało dostęp do „danych administracyjnych i użytkowników z niektórych [IT] systemów oraz niewielki procent firmowych kont użytkowników powiązanych z pracownikami i kontrahentami.”
Firma rozpoczęła reagowanie na incydenty, które jest na wczesnym etapie; jak dotąd nie jest jasne, czy napastnicy uzyskali dostęp do dodatkowych informacji lub systemów, ukradli dane klientów lub czy incydent będzie miał istotny wpływ na działalność Prudential.
Wobec braku dowodów na istnienie któregokolwiek z tych scenariuszy firma Prudential nie ma jeszcze obowiązku zgłaszania naruszenia. Dlatego naukowcy twierdzą, że złożenie przez firmę wniosku do SEC wskazuje na nowy trend: proaktywne składanie wniosków.
Nie musimy tego robić – ale zrobimy to
15 grudnia zasady SEC dotyczące ujawniania incydentów uległy zmianie i wymagają złożenia formularza 8-K w ciągu „czterech dni roboczych od ustalenia, że [cyber] incydent był istotny”.
Claude Mandy, główny propagator bezpieczeństwa danych w Symmetry Systems, zauważa, że złożenie przez Prudential zgłoszenia przed pełnym określeniem istotności naruszenia może stanowić próbę udaremnienia wszelkich prób wyłudzeń podejmowanych przez napastników.
Potencjał do uzbrojenia nowych przepisów SEC jest ewidentny w przypadku MeridianLink, który po cyberataku zdecydował się nie negocjować z grupą zajmującą się ransomware ALPHV (znaną również jako BlackCat). Gang odpowiedział złożenie formalnej skargi do SEC, zarzucając, że jego niedawna ofiara nie zastosowała się do nowych przepisów dotyczących ujawniania informacji.
„Oświadczenie Prudential dotyczące proaktywnego holdingu wskazuje na presję wywieraną przez cyberprzestępców na ofiary cyberprzestępczości w ramach nowego systemu zgłaszania incydentów” – mówi Mandy. „To oznaka dobrze przećwiczonego programu reagowania na incydenty”.
Dodaje: „cyberprzestępcy mogą i będą grozić publicznym ujawnieniem zdarzenia w celu wyłudzenia pieniędzy od ofiar. Takie wczesne ujawnienie łagodzi tę presję, ale wymaga nowoczesnych narzędzi bezpieczeństwa danych, aby określić prawdopodobną istotność incydentu”.
Tymczasem Darren Guccione, dyrektor generalny i współzałożyciel Keeper Security, w oświadczeniu przesłanym pocztą elektroniczną stwierdził, że takie dobrowolne zgłaszanie incydentów cybernetycznych może być po prostu zabiegiem spin-doktorskim, po zobaczeniu skutków, jakie to spowodowało. Uber i SolarWinds dyrektorzy cierpieli nie zgłaszanie incydentów w odpowiednim czasie.
„Prudential może próbować proaktywnie łagodzić szkody dla reputacji… tego rodzaju dobrowolne ujawnienie jest prawdopodobnie motywowane bardziej public relations niż przepisami” – zauważył.
Incydent wskazuje również na rażące zaniedbanie w prawie federalnym: nie istnieją żadne ogólne federalne przepisy dotyczące ochrony danych, które nakładałyby na firmy obowiązek bezpośredniego informowania klientów o rzeczywistych lub potencjalnych naruszeniach bezpieczeństwa danych, ani nie obowiązują żadne odpowiadające im kary ani sankcje, które działałyby odstraszająco. Władze federalne skutecznie przekazały prywatność i ochronę danych stanom i regulacjom agencji sektorowych; Kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) jest jedną z najsurowszych zabezpieczeń, choć krytycy narzekają CCPA nie sięga wystarczająco daleko.
Tym, co odróżnia nowy przepis SEC od innych przepisów, jest wymóg, aby spółki notowane na giełdzie zgłaszały takie naruszenia w ciągu czterech dni od ustalenia istotnego wpływu. Natomiast HIPAA daje podmiotom leczniczym 60 dni na takie powiadomienia.
Prudential nie odpowiedział natychmiast na prośbę Dark Reading o komentarz. Mandy zauważa, że na razie klienci Prudential muszą po prostu poczekać i sprawdzić, czy ich dane nie zostały naruszone w wyniku naruszenia.
„Jak widzieliśmy w przypadku innych naruszeń, w miarę kontynuowania dochodzenia i jego skutków mogą ujawnić się dalsze aspekty incydentu” – mówi Mandy. „Oświadczenie Prudential wskazuje, że na podstawie tego, co obecnie wiedzą, nie wierzą, że spełnia to ich próg istotności. Prudential ustala ten próg na podstawie tego, czy skutkiem (jej zdaniem) będzie istotna informacja dla inwestora lub akcjonariusza.”
Dodaje: „Mamy nadzieję, że w miarę kontynuacji dochodzenia Prudential otrzyma bardziej szczegółową analizę”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 15%
- 500
- 60
- 7
- a
- dostęp
- dostęp
- Konta
- działać
- Dodatkowy
- Dodatkowe informacje
- Dodaje
- administracyjny
- doradczy
- Po
- agencja
- przed
- aka
- również
- Ameryka
- an
- analiza
- i
- Zapowiedź
- Inne
- każdy
- osobno
- pojawia się
- SĄ
- AS
- aspekty
- powiązany
- At
- próbując
- Próby
- na podstawie
- BE
- być
- zanim
- potwór
- za
- jest
- uwierzyć
- uważa,
- naruszenie
- naruszenia
- biznes
- biznes
- ale
- by
- California
- CAN
- walizka
- CCPA
- ceo
- pewien
- zmieniony
- szef
- CISO
- klient
- Współzałożyciel
- komentarz
- prowizja
- Firmy
- sukcesy firma
- skarga
- wykonania
- Zagrożone
- konsument
- prywatność konsumentów
- ciągły
- wykonawcy
- kontrast
- Korporacje
- Odpowiedni
- mógłby
- pęknięty
- Krytycy
- crosshairs
- klient
- Klientów
- cyber
- Cyber atak
- cyberprzestępczość
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- uszkodzić
- Ciemny
- Mroczne czytanie
- Darren
- dane
- naruszenie danych
- Naruszenie danych
- prywatność danych
- bezpieczeństwo danych
- dzień
- Dni
- grudzień
- szczegółowe
- detale
- wykryte
- Ustalać
- ustalona
- określaniu
- ZROBIŁ
- bezpośrednio
- ujawnienie
- do
- robi
- darowizna
- Wcześniej
- Wcześnie
- faktycznie
- wysiłek
- pracowników
- podmioty
- Ewangelista
- dowód
- oczywisty
- wymiana
- Execs
- wymuszenie
- Failed
- fallout
- daleko
- luty
- Federalny
- FBI
- filet
- wniesiony
- Akta
- Złożenie
- opiłki
- budżetowy
- koniec
- Firma
- W razie zamówieenia projektu
- Nasz formularz
- formalny
- Majątek
- cztery
- od
- w pełni
- dalej
- zdobyte
- Gang
- gigant
- daje
- Go
- wspaniały
- Zarządzanie
- hakerzy
- miał
- Have
- he
- opieki zdrowotnej
- przytrzymanie
- nadzieję
- HTTPS
- identyfikacja
- if
- natychmiast
- Rezultat
- in
- incydent
- reakcja na incydent
- wskazuje
- orientacyjny
- informować
- Informacja
- Infrastruktura
- ubezpieczenie
- śledztwo
- inwestor
- ISN
- IT
- JEGO
- jpg
- właśnie
- Wiedzieć
- Prawo
- lubić
- Prawdopodobnie
- Mandat
- sposób
- materiał
- Może..
- Spełnia
- minimalny
- Złagodzić
- Nowoczesne technologie
- pieniądze
- Miesiąc
- jeszcze
- zmotywowani
- ruch
- Potrzebować
- Nowości
- Nie
- szczególnie
- zauważyć
- Uwagi
- Zauważyć..
- Powiadomienia
- już dziś
- of
- poza
- on
- ONE
- operacje
- or
- Zorganizowany
- Inne
- ludzkiej,
- na zewnątrz
- procent
- Miejsce
- plato
- Analiza danych Platona
- PlatoDane
- zwrotnica
- potencjał
- nacisk
- prywatność
- Proaktywne
- Program
- ochrona
- Prudential
- publiczny
- Public Relations
- publicznie
- położyć
- szybko
- ransomware
- Czytający
- real
- powód
- niedawny
- reżim
- Regulacja
- regulamin
- relacje
- raport
- Raportowanie
- zażądać
- wymagać
- wymagany
- wymaganie
- Wymaga
- Badacze
- odpowiedź
- powrót
- prawo
- Zasada
- reguły
- s
- Powiedział
- Sankcje
- powiedzieć
- mówią
- scenariusze
- Naukowiec
- SEK
- Złożenie SEC
- specyficzne dla branży
- Papiery wartościowe
- Komisja Papierów Wartościowych i Giełd
- bezpieczeństwo
- widzieć
- widzenie
- widziany
- wrażliwy
- Zestawy
- akcjonariusz
- znak
- po prostu
- mały
- So
- dotychczas
- Łącza
- etapy
- stojaki
- Zestawienie sprzedaży
- Zjednoczone
- skradziony
- zatrzymany
- taki
- cierpiał
- systemy
- niż
- że
- Połączenia
- ich
- Tam.
- one
- to
- w tym tygodniu
- tych
- chociaż?
- groźba
- próg
- A zatem
- aktualny
- do
- narzędzia
- w obrocie
- Trend
- rodzaj
- Nieupoważniony
- odkryte
- dla
- us
- Użytkownik
- Ofiara
- Ofiary
- Zobacz i wysłuchaj
- dobrowolny
- czekać
- była
- we
- tydzień
- były
- Co
- czy
- który
- Podczas
- będzie
- w
- w ciągu
- by
- jeszcze
- zefirnet
