Prudential gửi thông báo vi phạm tự nguyện cho SEC

Prudential gửi thông báo vi phạm tự nguyện cho SEC

Dấu thời gian: 14 tháng 2024 năm 4 05:XNUMX CH
Prudential Files Voluntary Breach Notice with SEC PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Tươi theo gót của Tấn công mạng của Ngân hàng Mỹ, một gã khổng lồ khác trong Fortune 500 cũng đáng chú ý nằm trong tầm ngắm vi phạm dữ liệu: Prudential Financial cho biết trong tuần này rằng tin tặc đã bẻ khóa “một số” hệ thống của họ vào đầu tháng.

Thông báo này còn nổi bật vì một lý do khác: Trong khi các công ty hiện nay được yêu cầu phải báo cáo sự cố an ninh mạng có tác động “đáng kể” đối với các hoạt động của Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC), Prudential dường như đã vượt qua nhiệm vụ mới đó bằng việc tự nguyện tiết lộ sự cố, trước khi bất kỳ tác động nào như vậy được xác định.

Joseph Carson, giám đốc an ninh cho biết: “Thật tuyệt khi thấy Prudential Financial nhanh chóng phát hiện và ứng phó với hành vi vi phạm dữ liệu, đồng thời chúng tôi hy vọng rằng những kẻ tấn công đã bị ngăn chặn trước khi bất kỳ dữ liệu nhạy cảm nào bị đánh cắp và tác động đến hoạt động kinh doanh là tối thiểu”. nhà khoa học và cố vấn CISO tại Delinea. Hiện tại, những chi tiết đó vẫn chưa rõ ràng.

Băng nhóm tội phạm mạng có khả năng đứng đằng sau hành vi vi phạm của Prudential

Trong một Thông báo mẫu 8-K gửi SEC, Prudential cho biết rằng nó đã phát hiện hành vi truy cập trái phép vào cơ sở hạ tầng của mình vào ngày 5 tháng XNUMX. Nó xác định rằng tác nhân đe dọa, mà gã khổng lồ tài chính và bảo hiểm tin rằng là một nhóm tội phạm mạng có tổ chức, đã giành được quyền truy cập một ngày trước đó vào “dữ liệu hành chính và người dùng từ một số [IT] nhất định hệ thống và một tỷ lệ nhỏ tài khoản người dùng của công ty được liên kết với nhân viên và nhà thầu.”

Công ty đã bắt đầu ứng phó sự cố ở giai đoạn đầu; Cho đến nay, vẫn chưa rõ liệu những kẻ tấn công có truy cập thông tin hoặc hệ thống bổ sung, đánh cắp dữ liệu khách hàng hay không, hay liệu vụ việc có ảnh hưởng đáng kể đến hoạt động của Prudential hay không.

Không có bằng chứng về bất kỳ tình huống nào trong số đó, Prudential vẫn chưa có nhiệm vụ báo cáo hành vi vi phạm. Do đó, các nhà nghiên cứu cho biết việc nộp hồ sơ lên ​​SEC của công ty là dấu hiệu cho thấy xu hướng mới: chủ động nộp hồ sơ.

Chúng tôi không cần phải làm điều này - nhưng chúng tôi sẽ làm

Vào ngày 15 tháng 8, quy tắc tiết lộ sự cố của SEC đã thay đổi để yêu cầu phải nộp Biểu mẫu XNUMX-K trong vòng “bốn ngày làm việc kể từ khi xác định sự cố [mạng] là quan trọng”.

Claude Mandy, nhà truyền giáo chính về bảo mật dữ liệu tại Symmetry Systems, lưu ý rằng việc Prudential chuyển sang nộp hồ sơ trước khi xác định đầy đủ mức độ nghiêm trọng của vi phạm có thể là một nỗ lực nhằm ngăn chặn mọi nỗ lực tống tiền của những kẻ tấn công.

Khả năng vũ khí hóa các quy định mới của SEC thể hiện rõ trong trường hợp của MeridianLink, công ty đã chọn không đàm phán với nhóm ransomware ALPHV (còn gọi là BlackCat) sau một cuộc tấn công mạng. Nhóm đã trả lời bằng cách nộp đơn khiếu nại chính thức với SEC, cáo buộc rằng nạn nhân gần đây của nó đã không tuân thủ các quy định tiết lộ mới.

Mandy cho biết: “Tuyên bố chủ động giữ nguyên của Prudential là dấu hiệu cho thấy áp lực mà tội phạm mạng đang đặt lên các nạn nhân của tội phạm mạng theo chế độ báo cáo sự cố mới này”. “Đó là dấu hiệu của một chương trình ứng phó sự cố đã được chuẩn bị kỹ lưỡng.”

Ông cho biết thêm, “tội phạm mạng có thể và sẽ đe dọa tiết lộ công khai vụ việc để tống tiền nạn nhân. Việc tiết lộ sớm như thế này sẽ làm giảm bớt áp lực đó, nhưng nó đòi hỏi các công cụ bảo mật dữ liệu hiện đại để xác định mức độ nghiêm trọng có thể xảy ra của vụ việc.”

Trong khi đó, Darren Guccione, Giám đốc điều hành và đồng sáng lập của Keeper Security, cho biết trong một tuyên bố gửi qua email rằng việc báo cáo tự nguyện như vậy về các sự cố mạng có thể chỉ đơn giản là một nỗ lực nghiên cứu sai lệch, sau khi chứng kiến ​​hậu quả rằng UberSolarWinds những người điều hành phải chịu đựng vì không báo cáo sự cố kịp thời.

Ông lưu ý: “Prudential có thể đang cố gắng chủ động giảm thiểu thiệt hại về danh tiếng… kiểu tiết lộ tự nguyện này có thể được thúc đẩy bởi quan hệ công chúng hơn là quy định”.

Vụ việc cũng chỉ ra một thiếu sót rõ ràng trong luật liên bang: Không có đạo luật chung về quyền riêng tư dữ liệu liên bang yêu cầu doanh nghiệp phải thông báo trực tiếp cho khách hàng về các vi phạm dữ liệu thực tế hoặc tiềm ẩn và không có khoản tiền phạt hoặc biện pháp trừng phạt tương ứng nào có tác dụng ngăn chặn trừng phạt. Các liên bang đã giao quyền riêng tư và bảo vệ dữ liệu một cách hiệu quả cho các tiểu bang và quy định của cơ quan cụ thể theo ngành; Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA) là một trong những biện pháp bảo vệ nghiêm ngặt nhất, mặc dù các nhà phê bình phàn nàn CCPA chưa đi đủ xa.

Điều khiến quy tắc mới của SEC khác biệt so với các quy định khác là yêu cầu các công ty giao dịch công khai phải báo cáo những vi phạm đó trong vòng bốn ngày kể từ khi xác định được tác động quan trọng. Ngược lại, HIPAA cho các tổ chức chăm sóc sức khỏe 60 ngày đối với những thông báo như vậy.

Prudential đã không trả lời ngay lập tức yêu cầu bình luận từ Dark Reading. Mandy lưu ý rằng hiện tại, khách hàng của Prudential sẽ chỉ cần chờ xem liệu thông tin của họ có bị xâm phạm do vi phạm hay không.

Mandy nói: “Như chúng tôi đã thấy với các vi phạm khác, có thể có những khía cạnh khác của vụ việc chưa được phát hiện khi cuộc điều tra và hậu quả tiếp tục”. “Tuyên bố giữ nguyên của Prudential chỉ ra rằng dựa trên những gì họ biết hiện tại, họ không tin rằng nó đáp ứng được ngưỡng về tính trọng yếu của họ. Ngưỡng này được Prudential xác định, dựa trên việc liệu tác động (theo quan điểm của họ) có phải là thông tin quan trọng đối với nhà đầu tư hoặc cổ đông hay không.”

Ông nói thêm: “Chúng tôi hy vọng sẽ thấy phân tích chi tiết hơn từ Prudential khi cuộc điều tra tiếp tục.”

Dấu thời gian:

Thêm từ Đọc tối