Prudential Filer frivilligt meddelande om överträdelse med SEC

Fräsch på hälarna Bank of America cyberkompromiss, är en annan Fortune 500-jätte särskilt i trådkorset för dataintrång: Prudential Financial sa denna vecka att hackare knäckte "vissa" av sina system tidigare under månaden.

Tillkännagivandet sticker också ut av en annan anledning: Medan företag nu måste göra det rapportera cybersäkerhetsincidenter som har "materiell" inverkan till US Securities & Exchange Commission (SEC), verkar Prudential ha kommit ifrån det nya mandatet med ett frivilligt avslöjande av incidenter, innan någon sådan påverkan har fastställts.

"Det är fantastiskt att se att Prudential Financial snabbt upptäckte och reagerade på dataintrånget, och vår förhoppning är att angriparna stoppades innan någon känslig data stals, och att påverkan på verksamheten är minimal", säger Joseph Carson, chefssäkerhetschef vetenskapsman och rådgivande CISO på Delinea. För nu är dock dessa detaljer oklara.

Cyberbrottsgäng troligen bakom Prudentials överträdelse

I en Form 8-K meddelande till SEC, sade Prudential att den upptäckte obehörig åtkomst till sin infrastruktur den 5 februari. Den fastställde att hotaktören, som finans- och försäkringsgiganten tror var en organiserad cyberbrottsgrupp, hade fått tillgång dagen innan till "administrativa och användardata från vissa [IT]" system och en liten andel av företagets användarkonton associerade med anställda och entreprenörer."

Företaget har startat sin incidentrespons, som är i ett tidigt skede; än så länge är det oklart om angriparna fick tillgång till ytterligare information eller system, häktade kund- eller klientdata, eller om incidenten kommer att ha en väsentlig inverkan på tillsynsverksamheten.

Utan några bevis för något av dessa scenarier har Prudential ännu inte mandat att rapportera intrånget. Således säger forskare att företagets SEC-anmälan är en indikation på vad som kan vara en ny trend: proaktiva anmälningar.

Vi behöver inte göra det här - men vi kommer att göra det

Den 15 december ändrades reglerna för avslöjande av incidenter från SEC till att kräva att ett formulär 8-K ska lämnas in inom "fyra arbetsdagar efter att man fastställt att [en cyberincident] var väsentlig."

Claude Mandy, chefsevangelist för datasäkerhet på Symmetry Systems, noterar att Prudentials övergång till arkivering innan man fullt ut identifierar väsentligheten i intrånget kan vara ett försök att avskräcka eventuella utpressningsförsök från angriparna.

Potentialen för att beväpna de nya SEC-reglerna är uppenbar i fallet MeridianLink, som valde att inte förhandla med ransomware-gruppen ALPHV (aka BlackCat) efter en cyberattack. Gänget svarade med lämna in ett formellt klagomål till SEC, hävdar att dess nyligen drabbade misslyckades med att följa nya avslöjandebestämmelser.

"Det proaktiva uttalandet från Prudential är ett tecken på den press som utsätts för cyberbrottsoffer av cyberbrottslingar under denna nya incidentrapporteringsregim", säger Mandy. "Det är ett tecken på ett väl inövat incidentresponsprogram."

Han tillägger, "cyberbrottslingar kan och kommer att hota med offentliggörande av händelsen för att pressa offren på pengar. Ett tidigt avslöjande som detta avlastar det trycket, men det kräver moderna datasäkerhetsverktyg för att avgöra händelsens sannolika väsentlighet."

Samtidigt sa Darren Guccione, VD och medgrundare på Keeper Security, i ett e-postmeddelande att sådan frivillig rapportering av cyberincidenter helt enkelt kan vara en spin-doktorande insats, efter att ha sett följderna som Uber och Solarwinds execs lidit för inte rapportera incidenter i tid.

"Prudential kan vara ett försök att proaktivt mildra skador på rykte ... den här typen av frivilligt avslöjande är sannolikt motiverat mer av PR än regler," noterade han.

Händelsen pekar också på en påfallande utelämnande i federal lag: Det finns inga generella federala dataskyddsförfattningar som kräver att företag informerar kunderna direkt om verkliga eller potentiella dataintrång, och inga motsvarande böter eller sanktioner på plats som fungerar som avskräckande bestraffningar. Feds har effektivt delegerat dataintegritet och skydd till staterna och sektorspecifika myndigheters reglering; California Consumer Privacy Act (CCPA) är ett av de strängaste skydden, även om kritiker klagar CCPA räcker inte långt.

Det som skiljer den nya SEC-regeln från andra regler är dess krav på att börsnoterade företag rapporterar sådana överträdelser inom fyra dagar efter att ha fastställt väsentlig påverkan. Däremot ger HIPAA vårdenheter 60 dagar för sådana meddelanden.

Prudential returnerade inte omedelbart en begäran om kommentar från Dark Reading. Mandy noterar att tills vidare behöver Prudential-kunder bara vänta och se om deras information har äventyrats i intrånget.

"Som vi har sett med andra intrång kan det finnas ytterligare aspekter av händelsen som avslöjas när utredningen och nedfallet fortsätter", säger Mandy. "Holding statement från Prudential indikerar att baserat på vad de vet just nu, tror de inte att det når deras tröskel för väsentlighet. Denna tröskel bestäms av Prudential, baserat på om effekten (enligt deras uppfattning) skulle vara väsentlig information för en investerare eller aktieägare."

Han tillägger, "Vi hoppas få se mer detaljerad analys från Prudential när utredningen fortsätter."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec