Proaspăt pe călcâiele Compromis cibernetic Bank of America, un alt gigant Fortune 500 este în special în punctul de vedere al încălcării datelor: Prudential Financial a declarat în această săptămână că hackerii au spart „anumite” sisteme la începutul lunii.
Anunțul iese în evidență și dintr-un alt motiv: în timp ce corporațiile sunt acum obligate să o facă raportați incidentele de securitate cibernetică care au impact „material”. la operațiunile către Comisia pentru Valori Mobiliare și Schimb (SEC) din SUA, Prudential pare să fi ieșit înaintea noului mandat cu o dezvăluire voluntară a incidentului, înainte ca un astfel de impact să fie determinat.
„Este grozav să vedem că Prudential Financial a detectat și a răspuns rapid la încălcarea datelor, iar speranța noastră este că atacatorii au fost opriți înainte ca orice date sensibile să fie furate și că impactul asupra afacerii este minim”, spune Joseph Carson, șeful securitate. om de știință și consilier CISO la Delinea. Deocamdată, însă, aceste detalii sunt neclare.
Gang de criminalitate cibernetică probabil în spatele încălcării lui Prudential
Într-o Formularul 8-K notificare către SEC, a spus Prudential că a detectat acces neautorizat la infrastructura sa pe 5 februarie. A stabilit că actorul amenințării, despre care gigantul financiar și al asigurărilor îl consideră un grup organizat de criminalitate cibernetică, a obținut acces cu o zi înainte la „date administrative și ale utilizatorilor de la anumite [IT] sisteme și un mic procent din conturile de utilizatori ale companiei asociate cu angajații și contractorii.”
Compania și-a început răspunsul la incident, care este în stadii incipiente; Până acum, nu este clar dacă atacatorii au accesat informații sau sisteme suplimentare, au furat date despre clienți sau clienți sau dacă incidentul va avea un impact material asupra operațiunilor Prudential.
Fără nicio dovadă a niciunuia dintre aceste scenarii, Prudential nu are încă mandatul de a raporta încălcarea. Astfel, cercetătorii spun că depunerea la SEC a firmei este un indicativ pentru ceea ce ar putea fi o nouă tendință: depunerea proactivă.
Nu trebuie să facem asta, dar o vom face
Pe 15 decembrie, regulile SEC privind dezvăluirea incidentelor s-au schimbat pentru a solicita depunerea unui Formular 8-K în termen de „patru zile lucrătoare de la stabilirea faptului că [un incident cibernetic] a fost semnificativ”.
Claude Mandy, evanghelist-șef pentru securitatea datelor la Symmetry Systems, observă că mișcarea Prudential de a depune un dosar înainte de a identifica pe deplin materialitatea încălcării ar putea fi un efort de a respinge orice tentativă de extorcare a atacatorilor.
Potențialul de armonizare a noilor reglementări SEC este evident în cazul MeridianLink, care a optat să nu negocieze cu grupul de ransomware ALPHV (alias BlackCat) după un atac cibernetic. Banda a răspuns prin depunând o plângere oficială la SEC, susținând că recenta sa victimă nu a respectat noile reglementări de divulgare.
„Declarația de participare proactivă a Prudential indică presiunea exercitată asupra victimelor infracțiunilor cibernetice de către infractorii cibernetici în cadrul acestui nou regim de raportare a incidentelor”, spune Mandy. „Este un semn al unui program de răspuns la incident bine repetit.”
El adaugă, „infractorii cibernetici pot și vor amenința cu dezvăluirea publică a incidentului pentru a stoarce bani de la victime. O dezvăluire timpurie ca aceasta ușurează această presiune, dar necesită instrumente moderne de securitate a datelor pentru a determina materialitatea probabilă a incidentului.”
Între timp, Darren Guccione, CEO și co-fondator la Keeper Security, a declarat într-o declarație trimisă prin e-mail că o astfel de raportare voluntară a incidentelor cibernetice ar putea fi pur și simplu un efort de spin-doctoring, după ce a văzut consecințele care Uber și SolarWinds directorii au suferit pentru neraportarea incidentelor în timp util.
„Prudential ar putea încerca să atenueze în mod proactiv daunele reputației... acest tip de dezvăluire voluntară este probabil motivat mai mult de relații publice decât de reglementări”, a menționat el.
Incidentul evidențiază, de asemenea, o omisiune flagrantă în legea federală: nu există statute federale generale privind confidențialitatea datelor care să impună companiilor să informeze direct clienții despre încălcări reale sau potențiale ale datelor și nu există amenzi sau sancțiuni corespunzătoare care să acționeze ca elemente de descurajare punitive. Federalele au relegat efectiv confidențialitatea și protecția datelor la reglementările statelor și ale agențiilor specifice sectorului; California Consumer Privacy Act (CCPA) este una dintre cele mai stricte protecții, deși criticii se plâng CCPA nu merge suficient de departe.
Ceea ce diferențiază noua regulă SEC de alte reglementări este cerința ca companiile cotate la bursă să raporteze astfel de încălcări în termen de patru zile de la determinarea impactului material. În schimb, HIPAA oferă entităților medicale 60 de zile pentru astfel de notificări.
Prudential nu a returnat imediat o solicitare de comentariu de la Dark Reading. Mandy notează că, deocamdată, clienții Prudential vor trebui doar să aștepte și să vadă dacă informațiile lor au fost compromise în încălcare.
„Așa cum am văzut cu alte încălcări, pot exista alte aspecte ale incidentului care sunt descoperite pe măsură ce investigația și consecințele continuă”, spune Mandy. „Declarația deținută de la Prudential indică faptul că, pe baza a ceea ce știu acum, ei nu cred că le atinge pragul de materialitate. Acest prag este determinat de Prudential, pe baza faptului dacă impactul (în opinia lor) ar fi informații semnificative pentru un investitor sau acționar.”
El adaugă: „Sperăm să vedem analize mai detaliate de la Prudential pe măsură ce investigația continuă”.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec
- :are
- :este
- :nu
- $UP
- 15%
- 500
- 60
- 7
- a
- acces
- accesate
- Conturi
- act
- Suplimentar
- informatii suplimentare
- Adaugă
- administrativ
- consultativ
- După
- agenție
- înainte
- Propriul rol
- de asemenea
- America
- an
- analiză
- și
- Anunț
- O alta
- Orice
- separat
- apare
- SUNT
- AS
- aspecte
- asociate
- At
- încercarea
- Încercările
- bazat
- BE
- fost
- înainte
- Behemoth
- în spatele
- fiind
- Crede
- consideră că
- încălcarea
- încălcări
- afaceri
- întreprinderi
- dar
- by
- California
- CAN
- caz
- CJAP
- CEO
- sigur
- si-a schimbat hainele;
- şef
- CISO
- client
- Co-fondator
- comentariu
- comision
- Companii
- companie
- plângere
- se conforma
- compromis
- consumator
- intimitatea consumatorilor
- continuă
- antreprenori
- contrast
- Corporații
- Corespunzător
- ar putea
- crăpat
- criticii
- cursorul
- client
- clienţii care
- Cyber
- Atac cibernetic
- criminalităţii cibernetice
- cybercriminals
- Securitate cibernetică
- prejudiciu
- Întuneric
- Lectură întunecată
- Darren
- de date
- încălcării securității datelor
- Încălcări de date
- confidențialitatea datelor
- securitatea datelor
- zi
- Zi
- dec
- detaliat
- detalii
- detectat
- Determina
- determinat
- determinarea
- FĂCUT
- direct
- dezvăluire
- do
- nu
- don
- Mai devreme
- Devreme
- în mod eficient
- efort
- de angajați
- entități
- evanghelist
- dovadă
- evident
- schimb
- Execs
- stoarcere
- A eșuat
- Fallout
- departe
- februarie
- federal
- Federalii
- Fișier
- depusă
- Fişiere
- Depunerea
- pilitură
- financiar
- capăt
- Firmă
- Pentru
- formă
- formal
- Avere
- patru
- din
- complet
- mai mult
- dobândită
- Bandă
- gigant
- oferă
- Go
- mare
- grup
- hackeri
- HAD
- Avea
- he
- de asistență medicală
- deținere
- speranţă
- HTTPS
- identificarea
- if
- imediat
- Impactul
- in
- incident
- răspuns la incident
- indică
- indicativ
- Informa
- informații
- Infrastructură
- asigurare
- investigaţie
- investitor
- ISN
- IT
- ESTE
- jpg
- doar
- Cunoaște
- Drept
- ca
- Probabil
- Mandat
- manieră
- material
- Mai..
- se intalneste
- minim
- diminua
- Modern
- bani
- Lună
- mai mult
- motivat
- muta
- Nevoie
- Nou
- Nu.
- în special
- notat
- notițe
- Înștiințare..
- notificări
- acum
- of
- de pe
- on
- ONE
- Operațiuni
- or
- Organizat
- Altele
- al nostru
- afară
- procent
- Loc
- Plato
- Informații despre date Platon
- PlatoData
- puncte
- potenţial
- presiune
- intimitate
- Proactivă
- Program
- protecţie
- Prudential
- public
- Relatii Publice
- public
- pune
- repede
- Ransomware
- Citind
- real
- motiv
- recent
- regim
- Regulament
- regulament
- relaţii
- raportează
- Raportarea
- solicita
- necesita
- necesar
- cerință
- Necesită
- cercetători
- răspuns
- reveni
- dreapta
- Regula
- norme
- s
- Said
- sancţiuni
- Spune
- spune
- scenarii
- Om de stiinta
- SEC
- Depunerea SEC
- specifice sectorului
- Titluri de valoare
- Securities & Exchange Commission
- securitate
- vedea
- vedere
- văzut
- sensibil
- Seturi
- acționar
- semna
- pur şi simplu
- mic
- So
- până acum
- Sponsorizat
- Stadiile
- Standuri
- Declarație
- Statele
- furate
- oprit
- astfel de
- a suferit
- sisteme
- decât
- acea
- lor
- Acolo.
- ei
- acest
- în această săptămână
- aceste
- deşi?
- amenințare
- prag
- Prin urmare
- oportun
- la
- Unelte
- firmei
- tendință
- tip
- neautorizat
- neacoperit
- în
- us
- Utilizator
- Victimă
- victime
- Vizualizare
- voluntar
- aștepta
- a fost
- we
- săptămână
- au fost
- Ce
- dacă
- care
- în timp ce
- voi
- cu
- în
- ar
- încă
- zephyrnet
