Свежий по пятам Киберкомпрометация Bank of AmericaЕще один гигант из списка Fortune 500 находится под прицелом утечки данных: Prudential Financial заявила на этой неделе, что хакеры взломали «некоторые» ее системы в начале месяца.
Это объявление также выделяется по другой причине: хотя корпорации теперь обязаны сообщать об инцидентах кибербезопасности, которые имеют «материальное» воздействие Что касается операций Комиссии по ценным бумагам и биржам США (SEC), Prudential, судя по всему, опередил этот новый мандат, добровольно сообщив об инцидентах до того, как такое влияние будет определено.
«Приятно видеть, что Prudential Financial быстро обнаружила утечку данных и отреагировала на нее, и мы надеемся, что злоумышленники были остановлены до того, как были украдены какие-либо конфиденциальные данные, и что влияние на бизнес будет минимальным», — говорит Джозеф Карсон, руководитель службы безопасности. ученый и консультант по информационной безопасности в Delinea. Однако на данный момент эти детали неясны.
За нарушением закона Prudential стоит банда киберпреступников
В Форма уведомления 8-K для SEC, сообщила компания Prudential. что 5 февраля он обнаружил несанкционированный доступ к своей инфраструктуре. Он установил, что злоумышленник, который, по мнению финансового и страхового гиганта, был организованной группой киберпреступников, накануне получил доступ к «административным и пользовательским данным из определенных [ИТ] систем и небольшой процент учетных записей пользователей компании, связанных с сотрудниками и подрядчиками».
Компания приступила к реагированию на инциденты, которое находится на ранней стадии; до сих пор неясно, получили ли злоумышленники доступ к дополнительной информации или системам, похитили данные клиентов или клиентов, или окажет ли инцидент существенное влияние на деятельность Prudential.
Не имея доказательств ни одного из этих сценариев, Prudential пока не обязан сообщать о нарушении. Таким образом, исследователи говорят, что заявление компании в Комиссию по ценным бумагам и биржам (SEC) указывает на то, что может стать новой тенденцией: активная подача заявок.
Нам не нужно этого делать, но мы сделаем это
15 декабря правила раскрытия информации об инцидентах SEC были изменены и теперь требуют подачи формы 8-K в течение «четырех рабочих дней с момента определения того, что [кибер] инцидент является существенным».
Клод Мэнди, главный евангелист по безопасности данных в Symmetry Systems, отмечает, что решение Prudential подать заявление до того, как полностью определить существенность нарушения, может быть попыткой остановить любые попытки вымогательства со стороны нападавших.
Потенциал использования новых правил SEC в качестве оружия очевиден в случае с MeridianLink, которая предпочла не вести переговоры с группой вымогателей ALPHV (также известной как BlackCat) после кибератаки. Банда ответила подача официальной жалобы в SEC, утверждая, что его недавняя жертва не выполнила новые правила раскрытия информации.
«Заявление Prudential о превентивном сдерживании свидетельствует о давлении, которое киберпреступники оказывают на жертв киберпреступлений в рамках нового режима сообщения об инцидентах», — говорит Мэнди. «Это признак хорошо отработанной программы реагирования на инциденты».
Он добавляет: «Киберпреступники могут и будут угрожать публичным раскрытием инцидента, чтобы вымогать деньги у жертв. Подобное раннее раскрытие информации снижает это давление, но требует современных инструментов безопасности данных, чтобы определить вероятную существенность инцидента».
Тем временем Даррен Гуччионе, генеральный директор и соучредитель Keeper Security, в заявлении, отправленном по электронной почте, заявил, что такое добровольное сообщение о киберинцидентах может быть просто пропагандистской попыткой, после того, как он увидел последствия, которые Uber и SolarWinds руководители пострадали за не сообщать об инцидентах своевременно.
«Возможно, Prudential пытается активно смягчить репутационный ущерб… этот тип добровольного раскрытия информации, скорее всего, мотивирован больше связями с общественностью, чем нормативными актами», — отметил он.
Инцидент также указывает на вопиющее упущение в федеральном законе: не существует общих федеральных законов о конфиденциальности данных, которые требуют от предприятий напрямую информировать клиентов о реальных или потенциальных утечках данных, а также не существует соответствующих штрафов или санкций, которые действовали бы в качестве сдерживающих средств наказания. Федеральные власти фактически передали конфиденциальность и защиту данных регулированию штатов и отраслевых агентств; Калифорнийский закон о конфиденциальности потребителей (CCPA) является одной из самых строгих мер защиты, хотя критики жалуются CCPA не заходит достаточно далеко.
Что отличает новое правило SEC от других правил, так это его требование о том, чтобы публично торгуемые компании сообщали о таких нарушениях в течение четырех дней с момента определения существенного воздействия. Напротив, HIPAA дает организациям здравоохранения 60 дней на такие уведомления.
Prudential не сразу ответил на запрос о комментариях от Dark Reading. Мэнди отмечает, что на данный момент клиентам Prudential придется просто подождать и посмотреть, не была ли скомпрометирована их информация в результате взлома.
«Как мы видели на примере других нарушений, могут быть и другие аспекты инцидента, которые будут раскрыты по мере продолжения расследования и его последствий», — говорит Мэнди. «В заявлении Prudential указано, что, исходя из того, что им известно на данный момент, они не считают, что это соответствует их порогу существенности. Этот порог определяется Prudential на основе того, будет ли влияние (по их мнению) существенной информацией для инвестора или акционера».
Он добавляет: «Мы надеемся увидеть более подробный анализ от Prudential по мере продолжения расследования».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec
- :имеет
- :является
- :нет
- $UP
- 15%
- 500
- 60
- 7
- a
- доступ
- Доступ
- Учетные записи
- Действие (Act):
- дополнительный
- Дополнительная информация
- Добавляет
- административный
- консультативный
- После
- агентство
- впереди
- ака
- причислены
- Америка
- an
- анализ
- и
- Объявление
- Другой
- любой
- кроме
- появляется
- МЫ
- AS
- аспекты
- связанный
- At
- попытки
- попытки
- основанный
- BE
- было
- до
- бегемот
- за
- не являетесь
- верить
- считает,
- нарушение
- нарушения
- бизнес
- бизнес
- но
- by
- Калифорния
- CAN
- случаев
- CCPA
- Генеральный директор
- определенный
- менялась
- главный
- CISO
- клиент
- Соучредитель
- комментарий
- комиссии
- Компании
- Компания
- жалоба
- соблюдать
- Ослабленный
- потребитель
- конфиденциальность потребителя
- продолжается
- подрядчики
- контраст
- Корпорации
- соответствующий
- может
- треснувший
- Критиков
- перекрестье
- клиент
- Клиенты
- кибер-
- Кибератака
- киберпреступности
- киберпреступники
- Информационная безопасность
- повреждение
- темно
- Темное чтение
- Даррен
- данным
- Данные нарушения
- Нарушения данных
- конфиденциальность данных
- безопасность данных
- день
- Дней
- декабрь
- подробный
- подробнее
- обнаруженный
- Определять
- определены
- определения
- DID
- непосредственно
- раскрытие
- do
- Безразлично
- Дон
- Ранее
- Рано
- фактически
- усилие
- сотрудников
- лиц
- Евангелист
- , поскольку большинство сенаторов
- очевидный
- обмена
- Execs
- вымогательство
- Oшибка
- осадки
- далеко
- фев
- Федеральный
- Федералы
- Файл
- подано
- Файлы
- Подача
- опилки
- финансовый
- конец
- Фирма
- Что касается
- форма
- формальный
- Fortune
- 4
- от
- полностью
- далее
- получила
- шайка
- гигант
- дает
- Go
- большой
- группы
- Хакеры
- было
- Есть
- he
- здравоохранение
- проведение
- надежды
- HTTPS
- идентифицирующий
- if
- немедленно
- Влияние
- in
- инцидент
- реакция на инцидент
- указывает
- ориентировочный
- наделяют информацией
- информация
- Инфраструктура
- страхование
- ходе расследования,
- инвестор
- мобильной
- IT
- ЕГО
- JPG
- всего
- Знать
- закон
- такое как
- Вероятно
- Мандат
- способ
- материала
- Май..
- Соответствует
- минимальный
- смягчать
- Модерн
- деньги
- Месяц
- БОЛЕЕ
- мотивированные
- двигаться
- Необходимость
- Новые
- нет
- особенно
- отметил,
- Заметки
- Уведомление..
- Уведомления
- сейчас
- of
- от
- on
- ONE
- Операционный отдел
- or
- Организованный
- Другое
- наши
- внешний
- процент
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- потенциал
- давление
- политикой конфиденциальности.
- Проактивная
- FitPartner™
- защиту
- Благоразумный
- что такое варган?
- Общественные Связи
- публично
- положил
- быстро
- вымогателей
- Reading
- реальные
- причина
- последний
- режим
- "Регулирование"
- правила
- отношения
- отчету
- Reporting
- запросить
- требовать
- обязательный
- требование
- требуется
- исследователи
- ответ
- возвращают
- правую
- Правило
- условиями,
- s
- Сказал
- санкции
- сообщили
- говорит
- Сценарии
- Ученый
- SEC / КОМИССИЯ ПО ЦЕННЫМ БУМАГАМ И БИРЖАМ
- Регистрация SEC
- отраслевой
- Ценные бумаги
- Комиссия по ценным бумагам и биржам
- безопасность
- посмотреть
- видя
- видел
- чувствительный
- Наборы
- акционер
- подпись
- просто
- небольшой
- So
- уже
- Спонсоров
- этапы
- стоит
- заявление
- Области
- украли
- остановившийся
- такие
- пострадали
- системы
- чем
- который
- Ассоциация
- их
- Там.
- они
- этой
- На этой неделе
- те
- хоть?
- угроза
- порог
- Таким образом
- своевременно
- в
- инструменты
- торговал
- тенденция
- напишите
- неразрешенный
- непокрытый
- под
- us
- Информация о пользователе
- Жертва
- жертвы
- Вид
- добровольный
- ждать
- законопроект
- we
- неделя
- были
- Что
- будь то
- который
- в то время как
- будете
- в
- бы
- еще
- зефирнет