Prudential vloži prostovoljno obvestilo o kršitvi pri SEC

Sveže za petami Kibernetski kompromis Bank of America, še en velikan s seznama Fortune 500 je zlasti v križišču kršitev podatkov: družba Prudential Financial je ta teden sporočila, da so hekerji v začetku meseca vdrli v »nekatere« njene sisteme.

Obvestilo izstopa tudi iz drugega razloga: medtem ko se od korporacij zdaj zahteva poročanje o incidentih kibernetske varnosti, ki imajo "material" vpliv za operacije pri ameriški komisiji za vrednostne papirje in borzo (SEC), se zdi, da se je družba Prudential izognila pred tem novim mandatom s prostovoljnim razkritjem incidenta, preden je bil kakršen koli tak vpliv ugotovljen.

»Lepo je videti, da je Prudential Financial hitro zaznal in se odzval na kršitev podatkov, in upamo, da so bili napadalci ustavljeni, preden so bili ukradeni kakršni koli občutljivi podatki, in da je vpliv na poslovanje minimalen,« pravi Joseph Carson, glavni varnostnik znanstvenik in svetovalec CISO pri Delinei. Za zdaj pa te podrobnosti niso jasne.

Za kršitvijo podjetja Prudential verjetno stoji združba kibernetskega kriminala

V Obrazec 8-K obvestilo SEC, je dejal Prudential da je 5. februarja zaznal nepooblaščen dostop do svoje infrastrukture. Ugotovil je, da je akter grožnje, za katerega finančni in zavarovalniški velikan verjame, da je organizirana kibernetska kriminalna skupina, dan prej pridobil dostop do »administrativnih in uporabniških podatkov iz nekaterih [IT] sistemov in majhen odstotek uporabniških računov podjetja, povezanih z zaposlenimi in izvajalci.«

Podjetje je začelo odziv na incidente, ki je v zgodnjih fazah; zaenkrat ni jasno, ali so napadalci dostopali do dodatnih informacij ali sistemov, ukradli podatke o strankah ali strankah ali če bo incident pomembno vplival na operacije Prudential.

Brez dokazov o katerem koli od teh scenarijev družba Prudential še ni pooblaščena za poročanje o kršitvi. Zato raziskovalci pravijo, da je prijava podjetja SEC pokazatelj tega, kar bi lahko bil nov trend: proaktivne prijave.

Tega nam ni treba storiti, a bomo

15. decembra so se pravila SEC o razkritju incidentov spremenila tako, da zahtevajo, da se obrazec 8-K vloži v "štirih delovnih dneh od ugotovitve, da je [kibernetski] incident bistven."

Claude Mandy, glavni evangelist za varnost podatkov pri Symmetry Systems, ugotavlja, da bi Prudentialova poteza, preden bi v celoti ugotovila pomembnost kršitve, lahko pomenilo prizadevanje za preprečitev vseh poskusov izsiljevanja s strani napadalcev.

Potencial za oborožitev novih predpisov SEC je očiten v primeru MeridianLinka, ki se je po kibernetskem napadu odločil, da se ne bo pogajal s skupino izsiljevalske programske opreme ALPHV (aka BlackCat). Družba je odgovorila z vložitev uradne pritožbe pri SEC, češ da njegova nedavna žrtev ni spoštovala novih predpisov o razkritju.

»Izjava Prudential o proaktivnem zadrževanju kaže na pritisk, ki ga kiberkriminalci izvajajo na žrtve kibernetske kriminalitete v okviru tega novega režima poročanja o incidentih,« pravi Mandy. "To je znak dobro vajenega programa odzivanja na incidente."

Dodaja, »kibernetski kriminalci lahko in bodo grozili z javnim razkritjem incidenta, da bi od žrtev izsiljevali denar. Zgodnje razkritje, kot je to, razbremeni ta pritisk, vendar zahteva sodobna orodja za varnost podatkov za določitev verjetne pomembnosti incidenta.«

Medtem je Darren Guccione, izvršni direktor in soustanovitelj podjetja Keeper Security, v izjavi po e-pošti dejal, da bi lahko bilo takšno prostovoljno poročanje o kibernetskih incidentih preprosto poskus navajanja, potem ko je videl posledice tega Uber in SolarWinds izvršitelji so trpeli za ne poročanje o dogodkih pravočasno.

"Prudential morda poskuša proaktivno ublažiti škodo za ugled ... to vrsto prostovoljnega razkritja verjetno bolj motivirajo odnosi z javnostmi kot predpisi," je opozoril.

Incident kaže tudi na očitno pomanjkljivost v zvezni zakonodaji: ni splošnih zveznih statutov o zasebnosti podatkov, ki bi zahtevali, da podjetja neposredno obveščajo stranke o resničnih ali potencialnih kršitvah podatkov, in ni ustreznih glob ali sankcij, ki bi delovale kot kaznovalni odvračilni dejavnik. Zvezni organi so zasebnost in zaščito podatkov dejansko prenesli na državno in sektorsko agencijsko ureditev; Kalifornijski zakon o zasebnosti potrošnikov (CCPA) je ena najstrožjih zaščit, čeprav se kritiki pritožujejo CCPA ne gre dovolj daleč.

Kar ločuje novo pravilo SEC od drugih predpisov, je njegova zahteva, da javne družbe poročajo o takšnih kršitvah v štirih dneh po ugotovitvi pomembnega vpliva. Nasprotno pa HIPAA daje zdravstvenim subjektom 60 dni časa za taka obvestila.

Prudential ni takoj vrnil zahteve za komentar od Dark Reading. Mandy ugotavlja, da bodo stranke Prudential za zdaj morale samo počakati in videti, ali so bili njihovi podatki ogroženi zaradi kršitve.

»Kot smo videli pri drugih vdorih, lahko obstajajo nadaljnji vidiki incidenta, ki bodo odkriti, ko se preiskava in posledice nadaljujejo,« pravi Mandy. »Izjava Prudential o holdingu kaže, da na podlagi tega, kar trenutno vedo, ne verjamejo, da dosega njihov prag pomembnosti. Ta prag določi Prudential glede na to, ali bi bil vpliv (po njihovem mnenju) pomembna informacija za vlagatelja ali delničarja.«

Dodal je: "Upamo, da bomo med nadaljevanjem preiskave videli podrobnejšo analizo Prudentiala."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec