Fresco nos calcanhares do Compromisso cibernético do Bank of America, outro gigante da Fortune 500 está notavelmente na mira da violação de dados: a Prudential Financial disse esta semana que hackers invadiram “alguns” de seus sistemas no início do mês.
O anúncio também se destaca por outro motivo: embora as empresas sejam agora obrigadas a relatar incidentes de segurança cibernética que tenham impacto “material” às operações para a Securities & Exchange Commission (SEC) dos EUA, a Prudential parece ter saído à frente desse novo mandato com uma divulgação voluntária do incidente, antes que qualquer impacto desse tipo fosse determinado.
“É ótimo ver que a Prudential Financial detectou e respondeu rapidamente à violação de dados, e nossa esperança é que os invasores sejam detidos antes que quaisquer dados confidenciais sejam roubados e que o impacto para os negócios seja mínimo”, disse Joseph Carson, chefe de segurança cientista e CISO consultor da Delinea. Por enquanto, porém, esses detalhes não estão claros.
Gangue do crime cibernético provavelmente por trás da violação da Prudential
Em um artigo do Notificação do Formulário 8-K para a SEC, disse a Prudential que detectou acesso não autorizado à sua infraestrutura em 5 de fevereiro. Determinou que o ator da ameaça, que o gigante financeiro e de seguros acredita ser um grupo de crime cibernético organizado, obteve acesso no dia anterior a “dados administrativos e de usuários de determinados [TI] sistemas e uma pequena porcentagem de contas de usuários da empresa associadas a funcionários e prestadores de serviços.”
A empresa iniciou sua resposta a incidentes, que está nos estágios iniciais; até o momento, não está claro se os invasores acessaram informações ou sistemas adicionais, roubaram dados de clientes ou clientes ou se o incidente terá um impacto material nas operações da Prudential.
Sem evidências de nenhum desses cenários, a Prudential ainda não tem mandato para denunciar a violação. Assim, os pesquisadores dizem que o arquivamento da empresa na SEC é indicativo do que poderia ser uma nova tendência: arquivamentos proativos.
Não precisamos fazer isso - mas faremos
Em 15 de dezembro, as regras de divulgação de incidentes da SEC foram alteradas para exigir que um Formulário 8-K fosse preenchido dentro de “quatro dias úteis após a determinação de que o incidente [cibernético] era material”.
Claude Mandy, evangelista-chefe de segurança de dados da Symmetry Systems, observa que a decisão da Prudential de arquivar antes de identificar completamente a materialidade da violação poderia ser um esforço para impedir qualquer tentativa de extorsão por parte dos agressores.
O potencial para transformar as novas regulamentações da SEC em arma é evidente no caso da MeridianLink, que optou por não negociar com o grupo de ransomware ALPHV (também conhecido como BlackCat) após um ataque cibernético. A turma respondeu apresentar uma reclamação formal à SEC, alegando que sua vítima recente não cumpriu os novos regulamentos de divulgação.
“A declaração de retenção proativa da Prudential é indicativa da pressão exercida pelos cibercriminosos sobre as vítimas do crime cibernético sob este novo regime de notificação de incidentes”, diz Mandy. “É um sinal de um programa de resposta a incidentes bem ensaiado.”
Ele acrescenta: “os cibercriminosos podem e estarão ameaçando a divulgação pública do incidente para extorquir dinheiro das vítimas. Uma divulgação antecipada como esta alivia essa pressão, mas requer ferramentas modernas de segurança de dados para determinar a provável materialidade do incidente.”
Enquanto isso, Darren Guccione, CEO e cofundador da Keeper Security, disse em um comunicado enviado por e-mail que esse relato voluntário de incidentes cibernéticos poderia ser simplesmente um esforço de spin-doctoring, depois de ver as consequências que Uber e SolarWinds executivos sofreram por não relatar incidentes em tempo hábil.
“A Prudential pode estar tentando mitigar proativamente os danos à reputação… este tipo de divulgação voluntária é provavelmente motivado mais por relações públicas do que por regulamentos”, observou ele.
O incidente também aponta para uma omissão flagrante na lei federal: não existem estatutos federais gerais de privacidade de dados que exijam que as empresas informem directamente os clientes sobre violações de dados reais ou potenciais, e não existem multas ou sanções correspondentes que actuem como dissuasores punitivos. Os federais relegaram efetivamente a privacidade e a proteção dos dados aos estados e à regulamentação das agências específicas do setor; a Lei de Privacidade do Consumidor da Califórnia (CCPA) é uma das proteções mais rigorosas, embora os críticos reclamem CCPA não vai longe o suficiente.
O que diferencia a nova regra da SEC de outras regulamentações é a exigência de que as empresas de capital aberto relatem tais violações no prazo de quatro dias após a determinação do impacto material. Em contrapartida, a HIPAA concede às entidades de saúde 60 dias para tais notificações.
A Prudential não retornou imediatamente um pedido de comentário da Dark Reading. Mandy observa que, por enquanto, os clientes da Prudential só precisarão esperar e ver se suas informações foram comprometidas na violação.
“Como vimos em outras violações, pode haver outros aspectos do incidente que serão descobertos à medida que a investigação e as consequências continuarem”, diz Mandy. “A declaração da Prudential indica que, com base no que sabem neste momento, não acreditam que atenda ao seu limite de materialidade. Este limite é determinado pela Prudential, com base no facto de o impacto (na sua opinião) ser uma informação material para um investidor ou acionista.”
Ele acrescenta: “Esperamos ver análises mais detalhadas da Prudential à medida que a investigação continua”.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec
- :tem
- :é
- :não
- $UP
- 15%
- 500
- 60
- 7
- a
- Acesso
- acessadas
- Contas
- Aja
- Adicional
- Informação adicional
- Adiciona
- administrativo
- consultivo
- Depois de
- agência
- à frente
- aka
- tb
- América
- an
- análise
- e
- Anúncio
- Outro
- qualquer
- à parte
- aparece
- SOMOS
- AS
- aspectos
- associado
- At
- tentando
- Tentativas
- baseado
- BE
- sido
- antes
- gigante
- atrás
- ser
- Acreditar
- acredita
- violação
- violações
- negócio
- negócios
- mas a
- by
- Califórnia
- CAN
- casas
- CCPA
- Chefe executivo
- certo
- mudado
- chefe
- CISO
- cliente
- Co-fundador
- comentar
- de referência
- Empresas
- Empresa
- reclamação
- obedecer
- Comprometido
- consumidor
- privacidade do consumidor
- continua
- empreiteiros
- contraste
- Corporações
- Correspondente
- poderia
- rachado
- Críticos
- mira
- cliente
- Clientes
- cibernético
- Ataque cibernético
- cibercrime
- cibercriminosos
- Cíber segurança
- dano
- Escuro
- Leitura escura
- Darren
- dados,
- violação de dados
- Violações de dados
- privacidade de dados
- segurança dos dados
- dia
- dias
- dezembro
- detalhado
- detalhes
- detectou
- Determinar
- determinado
- determinando
- DID
- diretamente
- divulgação
- do
- não
- don
- Mais cedo
- Cedo
- efetivamente
- esforço
- colaboradores
- entidades
- Evangelista
- evidência
- evidente
- exchange
- Executivos
- extorsão
- fracassado
- fallout
- longe
- Fev
- Federal
- Feds
- Envie o
- arquivada
- Arquivos
- Arquivamento
- limalha
- financeiro
- final
- Empresa
- Escolha
- formulário
- formal
- Fortune
- quatro
- da
- totalmente
- mais distante
- ganhou
- Gangue
- gigante
- dá
- Go
- ótimo
- Grupo
- hackers
- tinha
- Ter
- he
- saúde
- segurando
- esperança
- HTTPS
- identificar
- if
- imediatamente
- Impacto
- in
- incidente
- resposta a incidentes
- indicam
- indicativo
- informar
- INFORMAÇÕES
- Infraestrutura
- com seguro
- investigação
- investidor
- isn
- IT
- ESTÁ
- jpg
- apenas por
- Saber
- Escritórios de
- como
- Provável
- Mandato
- maneira
- material
- Posso..
- atende
- mínimo
- Mitigar
- EQUIPAMENTOS
- dinheiro
- Mês
- mais
- motivados
- mover
- você merece...
- Novo
- não
- notavelmente
- notado
- Notas
- Perceber..
- notificações
- agora
- of
- WOW!
- on
- ONE
- Operações
- or
- Organizado
- Outros
- A Nossa
- Fora
- percentagem
- Lugar
- platão
- Inteligência de Dados Platão
- PlatãoData
- pontos
- potencial
- pressão
- política de privacidade
- Proactive
- Agenda
- proteção
- Prudencial
- público
- Relações públicas
- publicamente
- colocar
- rapidamente
- ransomware
- Leitura
- reais
- razão
- recentemente
- regime
- Regulamento
- regulamentos
- relações
- Denunciar
- Relatórios
- solicitar
- requerer
- requeridos
- requerimento
- exige
- pesquisadores
- resposta
- retorno
- certo
- Regra
- regras
- s
- Dito
- Sanções
- dizer
- diz
- cenários
- Cientista
- SEC
- Arquivo SEC
- setor específico
- Valores mobiliários
- Comissão de Valores Mobiliários
- segurança
- Vejo
- visto
- visto
- sensível
- Conjuntos
- acionista
- assinar
- simplesmente
- pequeno
- So
- até aqui
- Patrocinado
- Estágio
- fica
- Declaração
- Unidos
- roubado
- parou
- tal
- sofreu
- sistemas
- do que
- que
- A
- deles
- Lá.
- deles
- isto
- esta semana
- aqueles
- Apesar?
- ameaça
- limiar
- Assim
- oportuno
- para
- ferramentas
- negociadas
- Trend
- tipo
- não autorizado
- descoberto
- para
- us
- Utilizador
- Vítima
- vítimas
- Ver
- voluntário
- esperar
- foi
- we
- semana
- foram
- O Quê
- se
- qual
- enquanto
- precisarão
- de
- dentro
- seria
- ainda
- zefirnet