สดใหม่บนส้นเท้าของ การประนีประนอมทางไซเบอร์ของ Bank of Americaบริษัทยักษ์ใหญ่ใน Fortune 500 อีกรายหนึ่งมีความโดดเด่นในด้านการละเมิดข้อมูล: พรูเด็นเชียลไฟแนนเชียลกล่าวในสัปดาห์นี้ว่าแฮกเกอร์ได้เจาะระบบ "บางส่วน" เมื่อต้นเดือนนี้
การประกาศดังกล่าวยังโดดเด่นด้วยเหตุผลอีกประการหนึ่ง: ในขณะที่บริษัทต่างๆ จำเป็นต้องทำเช่นนั้น รายงานเหตุการณ์ความปลอดภัยทางไซเบอร์ที่มีผลกระทบ "สำคัญ" สำหรับการดำเนินงานของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐอเมริกา (SEC) ดูเหมือนว่าพรูเด็นเชียลได้ดำเนินการก่อนคำสั่งใหม่ดังกล่าวด้วยการเปิดเผยเหตุการณ์โดยสมัครใจ ก่อนที่จะมีการพิจารณาผลกระทบดังกล่าว
“เป็นเรื่องดีที่เห็นว่า Prudential Financial ตรวจจับและตอบสนองต่อการละเมิดข้อมูลได้อย่างรวดเร็ว และเราหวังว่าผู้โจมตีจะถูกหยุดยั้งก่อนที่ข้อมูลที่ละเอียดอ่อนจะถูกขโมย และผลกระทบต่อธุรกิจจะมีน้อยมาก” โจเซฟ คาร์สัน หัวหน้าฝ่ายรักษาความปลอดภัยกล่าว นักวิทยาศาสตร์และที่ปรึกษา CISO ที่ Delinea สำหรับตอนนี้รายละเอียดเหล่านั้นยังไม่ชัดเจน
แก๊งอาชญากรไซเบอร์น่าจะอยู่เบื้องหลังการละเมิดของพรูเด็นเชียล
ใน ประกาศแจ้งแบบฟอร์ม 8-K ต่อสำนักงาน ก.ล.ต. พรูเด็นเชียลกล่าว ตรวจพบการเข้าถึงโครงสร้างพื้นฐานโดยไม่ได้รับอนุญาตเมื่อวันที่ 5 กุมภาพันธ์ โดยระบุว่าผู้ก่อภัยคุกคามซึ่งยักษ์ใหญ่ทางการเงินและการประกันภัยเชื่อว่าเป็นกลุ่มอาชญากรรมไซเบอร์ที่จัดตั้งขึ้น ได้เข้าถึงเมื่อวันก่อนเพื่อ “ข้อมูลด้านการบริหารและผู้ใช้จาก [IT] บางอย่าง และบัญชีผู้ใช้ของบริษัทจำนวนเล็กน้อยที่เกี่ยวข้องกับพนักงานและผู้รับเหมา”
บริษัทได้เริ่มดำเนินการตอบสนองต่อเหตุการณ์ดังกล่าว ซึ่งยังอยู่ในช่วงเริ่มต้น จนถึงขณะนี้ ยังไม่ชัดเจนว่าผู้โจมตีเข้าถึงข้อมูลหรือระบบเพิ่มเติม ปล้นข้อมูลลูกค้าหรือลูกค้า หรือเหตุการณ์ดังกล่าวจะมีผลกระทบอย่างมีนัยสำคัญต่อการดำเนินงานของพรูเด็นเชียลหรือไม่
เนื่องจากไม่มีหลักฐานของสถานการณ์ดังกล่าว พรูเด็นเชียลจึงยังไม่อยู่ภายใต้คำสั่งให้รายงานการละเมิด ดังนั้น นักวิจัยกล่าวว่าการยื่นฟ้องต่อ SEC ของบริษัทเป็นการบ่งชี้ถึงแนวโน้มใหม่: การยื่นเชิงรุก
เราไม่จำเป็นต้องทำเช่นนี้ — แต่เราจะทำ
เมื่อวันที่ 15 ธันวาคม กฎการเปิดเผยเหตุการณ์ของ ก.ล.ต. ได้เปลี่ยนแปลงให้ต้องยื่นแบบฟอร์ม 8-K ภายใน "สี่วันทำการนับจากวันที่พิจารณาว่าเหตุการณ์ [ทางไซเบอร์] นั้นมีสาระสำคัญ"
Claude Mandy หัวหน้าผู้เผยแพร่ข่าวด้านความปลอดภัยของข้อมูลที่ Symmetry Systems ตั้งข้อสังเกตว่าการย้ายของพรูเด็นเชียลไปยังไฟล์ก่อนที่จะระบุสาระสำคัญของการละเมิดอย่างเต็มที่อาจเป็นความพยายามในการต่อต้านความพยายามขู่กรรโชกของผู้โจมตี
ศักยภาพในการวางอาวุธให้กับกฎระเบียบใหม่ของ SEC นั้นชัดเจนในกรณีของ MeridianLink ซึ่งเลือกที่จะไม่เจรจากับกลุ่มแรนซัมแวร์ ALPHV (หรือที่รู้จักในชื่อ BlackCat) หลังจากการโจมตีทางไซเบอร์ ชาวแก๊งก็ตอบกลับมา. ยื่นเรื่องร้องเรียนอย่างเป็นทางการต่อ ก.ล.ตโดยกล่าวหาว่าเหยื่อรายล่าสุดไม่ปฏิบัติตามกฎระเบียบการเปิดเผยข้อมูลใหม่
“คำแถลงเชิงรุกของพรูเด็นเชียลบ่งชี้ถึงความกดดันที่เหยื่ออาชญากรรมไซเบอร์ได้รับจากอาชญากรไซเบอร์ภายใต้ระบบการรายงานเหตุการณ์ใหม่นี้” แมนดี้กล่าว “มันเป็นสัญญาณของโครงการตอบสนองต่อเหตุการณ์ที่ได้รับการฝึกฝนมาอย่างดี”
เขากล่าวเสริมว่า “อาชญากรไซเบอร์สามารถและจะขู่ว่าจะเปิดเผยเหตุการณ์ดังกล่าวต่อสาธารณะเพื่อขู่กรรโชกเงินจากเหยื่อ การเปิดเผยข้อมูลตั้งแต่เนิ่นๆ เช่นนี้ช่วยลดความกดดันดังกล่าว แต่ต้องใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ทันสมัย เพื่อระบุความมีนัยสำคัญของเหตุการณ์ดังกล่าว”
ในขณะเดียวกัน Darren Guccione ซีอีโอและผู้ร่วมก่อตั้ง Keeper Security กล่าวในแถลงการณ์ทางอีเมลว่าการรายงานเหตุการณ์ทางไซเบอร์โดยสมัครใจดังกล่าวอาจเป็นเพียงความพยายามในการค้นคว้าวิจัยหลังจากได้เห็นผลกระทบที่ Uber และ SolarWinds ผู้บริหารต้องทนทุกข์ทรมาน ไม่รายงานเหตุการณ์ ในเวลาที่เหมาะสม
“พรูเด็นเชียลอาจพยายามบรรเทาความเสียหายต่อชื่อเสียงในเชิงรุก … การเปิดเผยข้อมูลโดยสมัครใจประเภทนี้น่าจะได้รับแรงบันดาลใจจากการประชาสัมพันธ์มากกว่ากฎระเบียบ” เขากล่าว
เหตุการณ์ดังกล่าวยังชี้ให้เห็นถึงการละเว้นอย่างเห็นได้ชัดในกฎหมายของรัฐบาลกลาง: ไม่มีกฎเกณฑ์ความเป็นส่วนตัวของข้อมูลของรัฐบาลกลางที่ครอบคลุมซึ่งกำหนดให้ธุรกิจต้องแจ้งให้ลูกค้าทราบโดยตรงถึงการละเมิดข้อมูลที่เกิดขึ้นจริงหรือที่อาจเกิดขึ้น และไม่มีค่าปรับหรือการลงโทษที่เกี่ยวข้องซึ่งทำหน้าที่เป็นอุปสรรคในการลงโทษ รัฐบาลกลางได้ลดความเป็นส่วนตัวของข้อมูลและการคุ้มครองอย่างมีประสิทธิภาพให้กับรัฐและกฎระเบียบของหน่วยงานเฉพาะภาคส่วน พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย (CCPA) เป็นหนึ่งในการคุ้มครองที่เข้มงวดที่สุด แม้ว่านักวิจารณ์จะบ่นก็ตาม CCPA ยังไปไกลไม่พอ.
สิ่งที่ทำให้กฎ ก.ล.ต. ใหม่แตกต่างจากข้อบังคับอื่น ๆ คือข้อกำหนดให้บริษัทที่ซื้อขายในตลาดหลักทรัพย์รายงานการละเมิดดังกล่าวภายในสี่วันนับจากการพิจารณาผลกระทบที่สำคัญ ในทางตรงกันข้าม HIPAA ให้เวลาหน่วยงานด้านการดูแลสุขภาพ 60 วันสำหรับการแจ้งเตือนดังกล่าว
พรูเด็นเชียลไม่ได้ส่งคำขอความคิดเห็นจาก Dark Reading ทันที Mandy ตั้งข้อสังเกตว่าในตอนนี้ ลูกค้าของพรูเด็นเชียลจะต้องรอดูว่าข้อมูลของตนถูกบุกรุกจากการละเมิดหรือไม่
“ดังที่เราได้เห็นจากการละเมิดอื่นๆ อาจมีแง่มุมเพิ่มเติมของเหตุการณ์ที่ถูกเปิดเผยในขณะที่การสืบสวนและผลกระทบยังคงดำเนินต่อไป” แมนดี้กล่าว “คำแถลงการถือครองจากพรูเด็นเชียลระบุว่าจากสิ่งที่พวกเขารู้ในขณะนี้ พวกเขาไม่เชื่อว่าจะเป็นไปตามเกณฑ์ที่มีนัยสำคัญ เกณฑ์นี้ถูกกำหนดโดยพรูเด็นเชียล โดยขึ้นอยู่กับว่าผลกระทบ (ในมุมมองของพวกเขา) จะเป็นข้อมูลที่สำคัญต่อนักลงทุนหรือผู้ถือหุ้นหรือไม่”
เขากล่าวเสริมว่า “เราหวังว่าจะเห็นการวิเคราะห์โดยละเอียดเพิ่มเติมจากพรูเด็นเชียลในขณะที่การสอบสวนดำเนินต่อไป”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 15%
- 500
- 60
- 7
- a
- เข้า
- Accessed
- บัญชี
- กระทำ
- เพิ่มเติม
- ข้อมูลเพิ่มเติม
- เพิ่ม
- การบริหาร
- ที่ปรึกษา
- หลังจาก
- บริษัท ตัวแทน
- ก่อน
- อาคา
- ด้วย
- สหรัฐอเมริกา
- an
- การวิเคราะห์
- และ
- การประกาศ
- อื่น
- ใด
- นอกเหนือ
- ปรากฏ
- เป็น
- AS
- ด้าน
- ที่เกี่ยวข้อง
- At
- พยายาม
- ความพยายามในการ
- ตาม
- BE
- รับ
- ก่อน
- behemoth
- หลัง
- กำลัง
- เชื่อ
- เชื่อ
- ช่องโหว่
- การละเมิด
- ธุรกิจ
- ธุรกิจ
- แต่
- by
- แคลิฟอร์เนีย
- CAN
- กรณี
- CCPA
- ผู้บริหารสูงสุด
- บาง
- การเปลี่ยนแปลง
- หัวหน้า
- CISO
- ไคลเอนต์
- ผู้ร่วมก่อตั้ง
- ความเห็น
- คณะกรรมาธิการ
- บริษัท
- บริษัท
- การร้องเรียน
- ปฏิบัติตาม
- ที่ถูกบุกรุก
- ผู้บริโภค
- ความเป็นส่วนตัวของผู้บริโภค
- อย่างต่อเนื่อง
- ผู้รับเหมา
- ตรงกันข้าม
- บริษัท
- ตรงกัน
- ได้
- แตกระแหง
- นักวิจารณ์
- กากบาท
- ลูกค้า
- ลูกค้า
- ไซเบอร์
- cyberattack
- อาชญากรรม
- อาชญากรไซเบอร์
- cybersecurity
- ความเสียหาย
- มืด
- การอ่านที่มืด
- คาร์เรน
- ข้อมูล
- การละเมิดข้อมูล
- การละเมิดข้อมูล
- ความเป็นส่วนตัวของข้อมูล
- ความปลอดภัยของข้อมูล
- วัน
- วัน
- ธันวาคม
- รายละเอียด
- รายละเอียด
- ตรวจพบ
- กำหนด
- แน่นอน
- การกำหนด
- DID
- โดยตรง
- การเปิดเผย
- do
- doesn
- สวม
- ก่อน
- ก่อน
- มีประสิทธิภาพ
- ความพยายาม
- พนักงาน
- หน่วยงาน
- ผู้สอนศาสนา
- หลักฐาน
- ชัดเจน
- ตลาดแลกเปลี่ยน
- ผู้บริหาร
- การกรรโชก
- ล้มเหลว
- ออกมาเสีย
- ไกล
- กุมภาพันธ์
- รัฐบาลกลาง
- เอฟบีไอ
- เนื้อไม่มีมัน
- ยื่น
- ไฟล์
- ยื่น
- เอกสารที่ยื่นต่อ
- ทางการเงิน
- ค่าปรับ
- บริษัท
- สำหรับ
- ฟอร์ม
- เป็นทางการ
- โชคลาภ
- สี่
- ราคาเริ่มต้นที่
- อย่างเต็มที่
- ต่อไป
- ที่ได้รับ
- แก๊ง
- ยักษ์
- จะช่วยให้
- Go
- ยิ่งใหญ่
- บัญชีกลุ่ม
- แฮกเกอร์
- มี
- มี
- he
- การดูแลสุขภาพ
- โฮลดิ้ง
- ความหวัง
- HTTPS
- ระบุ
- if
- ทันที
- ส่งผลกระทบ
- in
- อุบัติการณ์
- การตอบสนองต่อเหตุการณ์
- บ่งชี้ว่า
- ตัวบ่งชี้
- แจ้ง
- ข้อมูล
- โครงสร้างพื้นฐาน
- ประกัน
- การสอบสวน
- นักลงทุน
- ISN
- IT
- ITS
- jpg
- เพียงแค่
- ทราบ
- กฏหมาย
- กดไลก์
- น่าจะ
- อาณัติ
- ลักษณะ
- วัสดุ
- อาจ..
- มีคุณสมบัติตรงตาม
- ต่ำสุด
- บรรเทา
- ทันสมัย
- เงิน
- เดือน
- ข้อมูลเพิ่มเติม
- แรงบันดาลใจ
- ย้าย
- จำเป็นต้อง
- ใหม่
- ไม่
- ยวด
- เด่น
- หมายเหตุ / รายละเอียดเพิ่มเติม
- สังเกต..
- การแจ้งเตือน
- ตอนนี้
- of
- ปิด
- on
- ONE
- การดำเนินการ
- or
- Organized
- อื่นๆ
- ของเรา
- ออก
- เปอร์เซ็นต์
- สถานที่
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- ที่มีศักยภาพ
- ความดัน
- ความเป็นส่วนตัว
- เชิงรุก
- โครงการ
- การป้องกัน
- ระมัดระวัง
- สาธารณะ
- การประชาสัมพันธ์
- สาธารณชน
- ใส่
- อย่างรวดเร็ว
- ransomware
- การอ่าน
- จริง
- เหตุผล
- เมื่อเร็ว ๆ นี้
- ระบบการปกครอง
- การควบคุม
- กฎระเบียบ
- ความสัมพันธ์
- รายงาน
- การรายงาน
- ขอ
- ต้องการ
- จำเป็นต้องใช้
- ความต้องการ
- ต้อง
- นักวิจัย
- คำตอบ
- กลับ
- ขวา
- กฎ
- กฎระเบียบ
- s
- กล่าวว่า
- การลงโทษ
- กล่าว
- พูดว่า
- สถานการณ์
- นักวิทยาศาสตร์
- สำนักงานคณะกรรมการ ก.ล.ต.
- การยื่นแบบ SEC
- เฉพาะภาคส่วน
- หลักทรัพย์
- สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์
- ความปลอดภัย
- เห็น
- เห็น
- เห็น
- มีความละเอียดอ่อน
- ชุดอุปกรณ์
- ผู้ถือหุ้น
- ลงชื่อ
- ง่ายดาย
- เล็ก
- So
- จนถึงตอนนี้
- ผู้ให้การสนับสนุน
- ขั้นตอน
- ยืน
- คำแถลง
- สหรัฐอเมริกา
- ที่ถูกขโมย
- หยุด
- อย่างเช่น
- ได้รับความเดือดร้อน
- ระบบ
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- ที่นั่น
- พวกเขา
- นี้
- ในสัปดาห์นี้
- เหล่านั้น
- แต่?
- การคุกคาม
- ธรณีประตู
- ดังนั้น
- ทันเวลา
- ไปยัง
- เครื่องมือ
- ซื้อขาย
- เทรนด์
- ชนิด
- ไม่มีสิทธิ
- เปิด
- ภายใต้
- us
- ผู้ใช้งาน
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- รายละเอียด
- สมัครใจ
- รอ
- คือ
- we
- สัปดาห์
- คือ
- อะไร
- ว่า
- ที่
- ในขณะที่
- จะ
- กับ
- ภายใน
- จะ
- ยัง
- ลมทะเล