Prudential подает в SEC уведомление о добровольном нарушении

Свежий по пятам Киберкомпрометация Bank of AmericaЕще один гигант из списка Fortune 500 находится под прицелом утечки данных: Prudential Financial заявила на этой неделе, что хакеры взломали «некоторые» ее системы в начале месяца.

Это объявление также выделяется по другой причине: хотя корпорации теперь обязаны сообщать об инцидентах кибербезопасности, которые имеют «материальное» воздействие Что касается операций Комиссии по ценным бумагам и биржам США (SEC), Prudential, судя по всему, опередил этот новый мандат, добровольно сообщив об инцидентах до того, как такое влияние будет определено.

«Приятно видеть, что Prudential Financial быстро обнаружила утечку данных и отреагировала на нее, и мы надеемся, что злоумышленники были остановлены до того, как были украдены какие-либо конфиденциальные данные, и что влияние на бизнес будет минимальным», — говорит Джозеф Карсон, руководитель службы безопасности. ученый и консультант по информационной безопасности в Delinea. Однако на данный момент эти детали неясны.

За нарушением закона Prudential стоит банда киберпреступников

В Форма уведомления 8-K для SEC, сообщила компания Prudential. что 5 февраля он обнаружил несанкционированный доступ к своей инфраструктуре. Он установил, что злоумышленник, который, по мнению финансового и страхового гиганта, был организованной группой киберпреступников, накануне получил доступ к «административным и пользовательским данным из определенных [ИТ] систем и небольшой процент учетных записей пользователей компании, связанных с сотрудниками и подрядчиками».

Компания приступила к реагированию на инциденты, которое находится на ранней стадии; до сих пор неясно, получили ли злоумышленники доступ к дополнительной информации или системам, похитили данные клиентов или клиентов, или окажет ли инцидент существенное влияние на деятельность Prudential.

Не имея доказательств ни одного из этих сценариев, Prudential пока не обязан сообщать о нарушении. Таким образом, исследователи говорят, что заявление компании в Комиссию по ценным бумагам и биржам (SEC) указывает на то, что может стать новой тенденцией: активная подача заявок.

Нам не нужно этого делать, но мы сделаем это

15 декабря правила раскрытия информации об инцидентах SEC были изменены и теперь требуют подачи формы 8-K в течение «четырех рабочих дней с момента определения того, что [кибер] инцидент является существенным».

Клод Мэнди, главный евангелист по безопасности данных в Symmetry Systems, отмечает, что решение Prudential подать заявление до того, как полностью определить существенность нарушения, может быть попыткой остановить любые попытки вымогательства со стороны нападавших.

Потенциал использования новых правил SEC в качестве оружия очевиден в случае с MeridianLink, которая предпочла не вести переговоры с группой вымогателей ALPHV (также известной как BlackCat) после кибератаки. Банда ответила подача официальной жалобы в SEC, утверждая, что его недавняя жертва не выполнила новые правила раскрытия информации.

«Заявление Prudential о превентивном сдерживании свидетельствует о давлении, которое киберпреступники оказывают на жертв киберпреступлений в рамках нового режима сообщения об инцидентах», — говорит Мэнди. «Это признак хорошо отработанной программы реагирования на инциденты».

Он добавляет: «Киберпреступники могут и будут угрожать публичным раскрытием инцидента, чтобы вымогать деньги у жертв. Подобное раннее раскрытие информации снижает это давление, но требует современных инструментов безопасности данных, чтобы определить вероятную существенность инцидента».

Тем временем Даррен Гуччионе, генеральный директор и соучредитель Keeper Security, в заявлении, отправленном по электронной почте, заявил, что такое добровольное сообщение о киберинцидентах может быть просто пропагандистской попыткой, после того, как он увидел последствия, которые Uber и SolarWinds руководители пострадали за не сообщать об инцидентах своевременно.

«Возможно, Prudential пытается активно смягчить репутационный ущерб… этот тип добровольного раскрытия информации, скорее всего, мотивирован больше связями с общественностью, чем нормативными актами», — отметил он.

Инцидент также указывает на вопиющее упущение в федеральном законе: не существует общих федеральных законов о конфиденциальности данных, которые требуют от предприятий напрямую информировать клиентов о реальных или потенциальных утечках данных, а также не существует соответствующих штрафов или санкций, которые действовали бы в качестве сдерживающих средств наказания. Федеральные власти фактически передали конфиденциальность и защиту данных регулированию штатов и отраслевых агентств; Калифорнийский закон о конфиденциальности потребителей (CCPA) является одной из самых строгих мер защиты, хотя критики жалуются CCPA не заходит достаточно далеко.

Что отличает новое правило SEC от других правил, так это его требование о том, чтобы публично торгуемые компании сообщали о таких нарушениях в течение четырех дней с момента определения существенного воздействия. Напротив, HIPAA дает организациям здравоохранения 60 дней на такие уведомления.

Prudential не сразу ответил на запрос о комментариях от Dark Reading. Мэнди отмечает, что на данный момент клиентам Prudential придется просто подождать и посмотреть, не была ли скомпрометирована их информация в результате взлома.

«Как мы видели на примере других нарушений, могут быть и другие аспекты инцидента, которые будут раскрыты по мере продолжения расследования и его последствий», — говорит Мэнди. «В заявлении Prudential указано, что, исходя из того, что им известно на данный момент, они не считают, что это соответствует их порогу существенности. Этот порог определяется Prudential на основе того, будет ли влияние (по их мнению) существенной информацией для инвестора или акционера».

Он добавляет: «Мы надеемся увидеть более подробный анализ от Prudential по мере продолжения расследования».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec