พรูเด็นเชียลยื่นคำบอกกล่าวการละเมิดโดยสมัครใจกับ ก.ล.ต

สดใหม่บนส้นเท้าของ การประนีประนอมทางไซเบอร์ของ Bank of Americaบริษัทยักษ์ใหญ่ใน Fortune 500 อีกรายหนึ่งมีความโดดเด่นในด้านการละเมิดข้อมูล: พรูเด็นเชียลไฟแนนเชียลกล่าวในสัปดาห์นี้ว่าแฮกเกอร์ได้เจาะระบบ "บางส่วน" เมื่อต้นเดือนนี้

การประกาศดังกล่าวยังโดดเด่นด้วยเหตุผลอีกประการหนึ่ง: ในขณะที่บริษัทต่างๆ จำเป็นต้องทำเช่นนั้น รายงานเหตุการณ์ความปลอดภัยทางไซเบอร์ที่มีผลกระทบ "สำคัญ" สำหรับการดำเนินงานของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐอเมริกา (SEC) ดูเหมือนว่าพรูเด็นเชียลได้ดำเนินการก่อนคำสั่งใหม่ดังกล่าวด้วยการเปิดเผยเหตุการณ์โดยสมัครใจ ก่อนที่จะมีการพิจารณาผลกระทบดังกล่าว

“เป็นเรื่องดีที่เห็นว่า Prudential Financial ตรวจจับและตอบสนองต่อการละเมิดข้อมูลได้อย่างรวดเร็ว และเราหวังว่าผู้โจมตีจะถูกหยุดยั้งก่อนที่ข้อมูลที่ละเอียดอ่อนจะถูกขโมย และผลกระทบต่อธุรกิจจะมีน้อยมาก” โจเซฟ คาร์สัน หัวหน้าฝ่ายรักษาความปลอดภัยกล่าว นักวิทยาศาสตร์และที่ปรึกษา CISO ที่ Delinea สำหรับตอนนี้รายละเอียดเหล่านั้นยังไม่ชัดเจน

แก๊งอาชญากรไซเบอร์น่าจะอยู่เบื้องหลังการละเมิดของพรูเด็นเชียล

ใน ประกาศแจ้งแบบฟอร์ม 8-K ต่อสำนักงาน ก.ล.ต. พรูเด็นเชียลกล่าว ตรวจพบการเข้าถึงโครงสร้างพื้นฐานโดยไม่ได้รับอนุญาตเมื่อวันที่ 5 กุมภาพันธ์ โดยระบุว่าผู้ก่อภัยคุกคามซึ่งยักษ์ใหญ่ทางการเงินและการประกันภัยเชื่อว่าเป็นกลุ่มอาชญากรรมไซเบอร์ที่จัดตั้งขึ้น ได้เข้าถึงเมื่อวันก่อนเพื่อ “ข้อมูลด้านการบริหารและผู้ใช้จาก [IT] บางอย่าง และบัญชีผู้ใช้ของบริษัทจำนวนเล็กน้อยที่เกี่ยวข้องกับพนักงานและผู้รับเหมา”

บริษัทได้เริ่มดำเนินการตอบสนองต่อเหตุการณ์ดังกล่าว ซึ่งยังอยู่ในช่วงเริ่มต้น จนถึงขณะนี้ ยังไม่ชัดเจนว่าผู้โจมตีเข้าถึงข้อมูลหรือระบบเพิ่มเติม ปล้นข้อมูลลูกค้าหรือลูกค้า หรือเหตุการณ์ดังกล่าวจะมีผลกระทบอย่างมีนัยสำคัญต่อการดำเนินงานของพรูเด็นเชียลหรือไม่

เนื่องจากไม่มีหลักฐานของสถานการณ์ดังกล่าว พรูเด็นเชียลจึงยังไม่อยู่ภายใต้คำสั่งให้รายงานการละเมิด ดังนั้น นักวิจัยกล่าวว่าการยื่นฟ้องต่อ SEC ของบริษัทเป็นการบ่งชี้ถึงแนวโน้มใหม่: การยื่นเชิงรุก

เราไม่จำเป็นต้องทำเช่นนี้ — แต่เราจะทำ

เมื่อวันที่ 15 ธันวาคม กฎการเปิดเผยเหตุการณ์ของ ก.ล.ต. ได้เปลี่ยนแปลงให้ต้องยื่นแบบฟอร์ม 8-K ภายใน "สี่วันทำการนับจากวันที่พิจารณาว่าเหตุการณ์ [ทางไซเบอร์] นั้นมีสาระสำคัญ"

Claude Mandy หัวหน้าผู้เผยแพร่ข่าวด้านความปลอดภัยของข้อมูลที่ Symmetry Systems ตั้งข้อสังเกตว่าการย้ายของพรูเด็นเชียลไปยังไฟล์ก่อนที่จะระบุสาระสำคัญของการละเมิดอย่างเต็มที่อาจเป็นความพยายามในการต่อต้านความพยายามขู่กรรโชกของผู้โจมตี

ศักยภาพในการวางอาวุธให้กับกฎระเบียบใหม่ของ SEC นั้นชัดเจนในกรณีของ MeridianLink ซึ่งเลือกที่จะไม่เจรจากับกลุ่มแรนซัมแวร์ ALPHV (หรือที่รู้จักในชื่อ BlackCat) หลังจากการโจมตีทางไซเบอร์ ชาวแก๊งก็ตอบกลับมา. ยื่นเรื่องร้องเรียนอย่างเป็นทางการต่อ ก.ล.ตโดยกล่าวหาว่าเหยื่อรายล่าสุดไม่ปฏิบัติตามกฎระเบียบการเปิดเผยข้อมูลใหม่

“คำแถลงเชิงรุกของพรูเด็นเชียลบ่งชี้ถึงความกดดันที่เหยื่ออาชญากรรมไซเบอร์ได้รับจากอาชญากรไซเบอร์ภายใต้ระบบการรายงานเหตุการณ์ใหม่นี้” แมนดี้กล่าว “มันเป็นสัญญาณของโครงการตอบสนองต่อเหตุการณ์ที่ได้รับการฝึกฝนมาอย่างดี”

เขากล่าวเสริมว่า “อาชญากรไซเบอร์สามารถและจะขู่ว่าจะเปิดเผยเหตุการณ์ดังกล่าวต่อสาธารณะเพื่อขู่กรรโชกเงินจากเหยื่อ การเปิดเผยข้อมูลตั้งแต่เนิ่นๆ เช่นนี้ช่วยลดความกดดันดังกล่าว แต่ต้องใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ทันสมัย ​​เพื่อระบุความมีนัยสำคัญของเหตุการณ์ดังกล่าว”

ในขณะเดียวกัน Darren Guccione ซีอีโอและผู้ร่วมก่อตั้ง Keeper Security กล่าวในแถลงการณ์ทางอีเมลว่าการรายงานเหตุการณ์ทางไซเบอร์โดยสมัครใจดังกล่าวอาจเป็นเพียงความพยายามในการค้นคว้าวิจัยหลังจากได้เห็นผลกระทบที่ Uber และ SolarWinds ผู้บริหารต้องทนทุกข์ทรมาน ไม่รายงานเหตุการณ์ ในเวลาที่เหมาะสม

“พรูเด็นเชียลอาจพยายามบรรเทาความเสียหายต่อชื่อเสียงในเชิงรุก … การเปิดเผยข้อมูลโดยสมัครใจประเภทนี้น่าจะได้รับแรงบันดาลใจจากการประชาสัมพันธ์มากกว่ากฎระเบียบ” เขากล่าว

เหตุการณ์ดังกล่าวยังชี้ให้เห็นถึงการละเว้นอย่างเห็นได้ชัดในกฎหมายของรัฐบาลกลาง: ไม่มีกฎเกณฑ์ความเป็นส่วนตัวของข้อมูลของรัฐบาลกลางที่ครอบคลุมซึ่งกำหนดให้ธุรกิจต้องแจ้งให้ลูกค้าทราบโดยตรงถึงการละเมิดข้อมูลที่เกิดขึ้นจริงหรือที่อาจเกิดขึ้น และไม่มีค่าปรับหรือการลงโทษที่เกี่ยวข้องซึ่งทำหน้าที่เป็นอุปสรรคในการลงโทษ รัฐบาลกลางได้ลดความเป็นส่วนตัวของข้อมูลและการคุ้มครองอย่างมีประสิทธิภาพให้กับรัฐและกฎระเบียบของหน่วยงานเฉพาะภาคส่วน พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย (CCPA) เป็นหนึ่งในการคุ้มครองที่เข้มงวดที่สุด แม้ว่านักวิจารณ์จะบ่นก็ตาม CCPA ยังไปไกลไม่พอ.

สิ่งที่ทำให้กฎ ก.ล.ต. ใหม่แตกต่างจากข้อบังคับอื่น ๆ คือข้อกำหนดให้บริษัทที่ซื้อขายในตลาดหลักทรัพย์รายงานการละเมิดดังกล่าวภายในสี่วันนับจากการพิจารณาผลกระทบที่สำคัญ ในทางตรงกันข้าม HIPAA ให้เวลาหน่วยงานด้านการดูแลสุขภาพ 60 วันสำหรับการแจ้งเตือนดังกล่าว

พรูเด็นเชียลไม่ได้ส่งคำขอความคิดเห็นจาก Dark Reading ทันที Mandy ตั้งข้อสังเกตว่าในตอนนี้ ลูกค้าของพรูเด็นเชียลจะต้องรอดูว่าข้อมูลของตนถูกบุกรุกจากการละเมิดหรือไม่

“ดังที่เราได้เห็นจากการละเมิดอื่นๆ อาจมีแง่มุมเพิ่มเติมของเหตุการณ์ที่ถูกเปิดเผยในขณะที่การสืบสวนและผลกระทบยังคงดำเนินต่อไป” แมนดี้กล่าว “คำแถลงการถือครองจากพรูเด็นเชียลระบุว่าจากสิ่งที่พวกเขารู้ในขณะนี้ พวกเขาไม่เชื่อว่าจะเป็นไปตามเกณฑ์ที่มีนัยสำคัญ เกณฑ์นี้ถูกกำหนดโดยพรูเด็นเชียล โดยขึ้นอยู่กับว่าผลกระทบ (ในมุมมองของพวกเขา) จะเป็นข้อมูลที่สำคัญต่อนักลงทุนหรือผู้ถือหุ้นหรือไม่”

เขากล่าวเสริมว่า “เราหวังว่าจะเห็นการวิเคราะห์โดยละเอียดเพิ่มเติมจากพรูเด็นเชียลในขณะที่การสอบสวนดำเนินต่อไป”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec