Tươi theo gót của Tấn công mạng của Ngân hàng Mỹ, một gã khổng lồ khác trong Fortune 500 cũng đáng chú ý nằm trong tầm ngắm vi phạm dữ liệu: Prudential Financial cho biết trong tuần này rằng tin tặc đã bẻ khóa “một số” hệ thống của họ vào đầu tháng.
Thông báo này còn nổi bật vì một lý do khác: Trong khi các công ty hiện nay được yêu cầu phải báo cáo sự cố an ninh mạng có tác động “đáng kể” đối với các hoạt động của Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC), Prudential dường như đã vượt qua nhiệm vụ mới đó bằng việc tự nguyện tiết lộ sự cố, trước khi bất kỳ tác động nào như vậy được xác định.
Joseph Carson, giám đốc an ninh cho biết: “Thật tuyệt khi thấy Prudential Financial nhanh chóng phát hiện và ứng phó với hành vi vi phạm dữ liệu, đồng thời chúng tôi hy vọng rằng những kẻ tấn công đã bị ngăn chặn trước khi bất kỳ dữ liệu nhạy cảm nào bị đánh cắp và tác động đến hoạt động kinh doanh là tối thiểu”. nhà khoa học và cố vấn CISO tại Delinea. Hiện tại, những chi tiết đó vẫn chưa rõ ràng.
Băng nhóm tội phạm mạng có khả năng đứng đằng sau hành vi vi phạm của Prudential
Trong một Thông báo mẫu 8-K gửi SEC, Prudential cho biết rằng nó đã phát hiện hành vi truy cập trái phép vào cơ sở hạ tầng của mình vào ngày 5 tháng XNUMX. Nó xác định rằng tác nhân đe dọa, mà gã khổng lồ tài chính và bảo hiểm tin rằng là một nhóm tội phạm mạng có tổ chức, đã giành được quyền truy cập một ngày trước đó vào “dữ liệu hành chính và người dùng từ một số [IT] nhất định hệ thống và một tỷ lệ nhỏ tài khoản người dùng của công ty được liên kết với nhân viên và nhà thầu.”
Công ty đã bắt đầu ứng phó sự cố ở giai đoạn đầu; Cho đến nay, vẫn chưa rõ liệu những kẻ tấn công có truy cập thông tin hoặc hệ thống bổ sung, đánh cắp dữ liệu khách hàng hay không, hay liệu vụ việc có ảnh hưởng đáng kể đến hoạt động của Prudential hay không.
Không có bằng chứng về bất kỳ tình huống nào trong số đó, Prudential vẫn chưa có nhiệm vụ báo cáo hành vi vi phạm. Do đó, các nhà nghiên cứu cho biết việc nộp hồ sơ lên SEC của công ty là dấu hiệu cho thấy xu hướng mới: chủ động nộp hồ sơ.
Chúng tôi không cần phải làm điều này - nhưng chúng tôi sẽ làm
Vào ngày 15 tháng 8, quy tắc tiết lộ sự cố của SEC đã thay đổi để yêu cầu phải nộp Biểu mẫu XNUMX-K trong vòng “bốn ngày làm việc kể từ khi xác định sự cố [mạng] là quan trọng”.
Claude Mandy, nhà truyền giáo chính về bảo mật dữ liệu tại Symmetry Systems, lưu ý rằng việc Prudential chuyển sang nộp hồ sơ trước khi xác định đầy đủ mức độ nghiêm trọng của vi phạm có thể là một nỗ lực nhằm ngăn chặn mọi nỗ lực tống tiền của những kẻ tấn công.
Khả năng vũ khí hóa các quy định mới của SEC thể hiện rõ trong trường hợp của MeridianLink, công ty đã chọn không đàm phán với nhóm ransomware ALPHV (còn gọi là BlackCat) sau một cuộc tấn công mạng. Nhóm đã trả lời bằng cách nộp đơn khiếu nại chính thức với SEC, cáo buộc rằng nạn nhân gần đây của nó đã không tuân thủ các quy định tiết lộ mới.
Mandy cho biết: “Tuyên bố chủ động giữ nguyên của Prudential là dấu hiệu cho thấy áp lực mà tội phạm mạng đang đặt lên các nạn nhân của tội phạm mạng theo chế độ báo cáo sự cố mới này”. “Đó là dấu hiệu của một chương trình ứng phó sự cố đã được chuẩn bị kỹ lưỡng.”
Ông cho biết thêm, “tội phạm mạng có thể và sẽ đe dọa tiết lộ công khai vụ việc để tống tiền nạn nhân. Việc tiết lộ sớm như thế này sẽ làm giảm bớt áp lực đó, nhưng nó đòi hỏi các công cụ bảo mật dữ liệu hiện đại để xác định mức độ nghiêm trọng có thể xảy ra của vụ việc.”
Trong khi đó, Darren Guccione, Giám đốc điều hành và đồng sáng lập của Keeper Security, cho biết trong một tuyên bố gửi qua email rằng việc báo cáo tự nguyện như vậy về các sự cố mạng có thể chỉ đơn giản là một nỗ lực nghiên cứu sai lệch, sau khi chứng kiến hậu quả rằng Uber và SolarWinds những người điều hành phải chịu đựng vì không báo cáo sự cố kịp thời.
Ông lưu ý: “Prudential có thể đang cố gắng chủ động giảm thiểu thiệt hại về danh tiếng… kiểu tiết lộ tự nguyện này có thể được thúc đẩy bởi quan hệ công chúng hơn là quy định”.
Vụ việc cũng chỉ ra một thiếu sót rõ ràng trong luật liên bang: Không có đạo luật chung về quyền riêng tư dữ liệu liên bang yêu cầu doanh nghiệp phải thông báo trực tiếp cho khách hàng về các vi phạm dữ liệu thực tế hoặc tiềm ẩn và không có khoản tiền phạt hoặc biện pháp trừng phạt tương ứng nào có tác dụng ngăn chặn trừng phạt. Các liên bang đã giao quyền riêng tư và bảo vệ dữ liệu một cách hiệu quả cho các tiểu bang và quy định của cơ quan cụ thể theo ngành; Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA) là một trong những biện pháp bảo vệ nghiêm ngặt nhất, mặc dù các nhà phê bình phàn nàn CCPA chưa đi đủ xa.
Điều khiến quy tắc mới của SEC khác biệt so với các quy định khác là yêu cầu các công ty giao dịch công khai phải báo cáo những vi phạm đó trong vòng bốn ngày kể từ khi xác định được tác động quan trọng. Ngược lại, HIPAA cho các tổ chức chăm sóc sức khỏe 60 ngày đối với những thông báo như vậy.
Prudential đã không trả lời ngay lập tức yêu cầu bình luận từ Dark Reading. Mandy lưu ý rằng hiện tại, khách hàng của Prudential sẽ chỉ cần chờ xem liệu thông tin của họ có bị xâm phạm do vi phạm hay không.
Mandy nói: “Như chúng tôi đã thấy với các vi phạm khác, có thể có những khía cạnh khác của vụ việc chưa được phát hiện khi cuộc điều tra và hậu quả tiếp tục”. “Tuyên bố giữ nguyên của Prudential chỉ ra rằng dựa trên những gì họ biết hiện tại, họ không tin rằng nó đáp ứng được ngưỡng về tính trọng yếu của họ. Ngưỡng này được Prudential xác định, dựa trên việc liệu tác động (theo quan điểm của họ) có phải là thông tin quan trọng đối với nhà đầu tư hoặc cổ đông hay không.”
Ông nói thêm: “Chúng tôi hy vọng sẽ thấy phân tích chi tiết hơn từ Prudential khi cuộc điều tra tiếp tục.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cybersecurity-operations/prudential-files-voluntary-breach-notice-sec
- : có
- :là
- :không phải
- $ LÊN
- 15%
- 500
- 60
- 7
- a
- truy cập
- truy cập
- Trợ Lý Giám Đốc
- Hành động
- thêm vào
- thông tin bổ sung
- Thêm
- hành chính
- cố vấn
- Sau
- cơ quan
- trước
- aka
- Ngoài ra
- Mỹ
- an
- phân tích
- và
- Thông báo
- Một
- bất kì
- ngoài
- xuất hiện
- LÀ
- AS
- các khía cạnh
- liên kết
- At
- cố gắng
- Nỗ lực
- dựa
- BE
- được
- trước
- người khổng lồ
- sau
- được
- Tin
- tin
- vi phạm
- vi phạm
- kinh doanh
- các doanh nghiệp
- nhưng
- by
- california
- CAN
- trường hợp
- CCPA
- giám đốc điều hành
- nhất định
- thay đổi
- chánh
- CISO
- khách hàng
- Đồng sáng lập
- bình luận
- hoa hồng
- Các công ty
- công ty
- khiếu nại
- tuân theo
- Thỏa hiệp
- người tiêu dùng
- quyền riêng tư của người tiêu dùng
- liên tiếp
- nhà thầu
- Ngược lại
- Tổng công ty
- Tương ứng
- có thể
- nứt
- Phê bình
- xuyên âm
- khách hàng
- khách hàng
- không gian mạng
- Tấn công mạng
- tội phạm mạng
- tội phạm mạng
- An ninh mạng
- hư hại
- tối
- Đọc tối
- Darren
- dữ liệu
- vi phạm dữ liệu
- Vi phạm dữ liệu
- dữ liệu riêng tư
- bảo mật dữ liệu
- ngày
- Ngày
- Tháng mười hai
- chi tiết
- chi tiết
- phát hiện
- Xác định
- xác định
- xác định
- ĐÃ LÀM
- trực tiếp
- công bố thông tin
- do
- doesn
- don
- Sớm hơn
- Đầu
- hiệu quả
- nỗ lực
- nhân viên
- thực thể
- Thuyết phúc âm
- bằng chứng
- hiển nhiên
- Sàn giao dịch
- Thực thi
- tống tiền
- thất bại
- bụi phóng xạ
- xa
- Tháng Hai
- Liên bang
- FBI
- Tập tin
- nộp
- Các tập tin
- Nộp hồ sơ
- hồ sơ
- tài chính
- đầu cuối
- Công ty
- Trong
- hình thức
- chính thức
- Vận may
- 4
- từ
- đầy đủ
- xa hơn
- đạt được
- Đám
- khổng lồ
- cho
- Go
- tuyệt vời
- Nhóm
- tin tặc
- có
- Có
- he
- chăm sóc sức khỏe
- tổ chức
- mong
- HTTPS
- xác định
- if
- ngay
- Va chạm
- in
- sự cố
- ứng phó sự cố
- chỉ
- chỉ định
- báo
- thông tin
- Cơ sở hạ tầng
- bảo hiểm
- điều tra
- nhà đầu tư
- isn
- IT
- ITS
- jpg
- chỉ
- Biết
- Luật
- Lượt thích
- Có khả năng
- Nhiệm vụ
- cách thức
- vật liệu
- Có thể..
- Đạt
- tối thiểu
- Giảm nhẹ
- hiện đại
- tiền
- tháng
- chi tiết
- động cơ
- di chuyển
- Cần
- Mới
- Không
- đáng chú ý
- lưu ý
- Chú ý
- Để ý..
- thông báo
- tại
- of
- off
- on
- ONE
- Hoạt động
- or
- Tổ chức
- Nền tảng khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- tỷ lệ phần trăm
- Nơi
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- điểm
- tiềm năng
- áp lực
- riêng tư
- Chủ động
- chương trình
- bảo vệ
- Do tánh cẩn thận
- công khai
- Quan hệ công chúng
- công khai
- đặt
- Mau
- ransomware
- Reading
- thực
- lý do
- gần đây
- chế độ
- Quy định
- quy định
- quan hệ
- báo cáo
- Báo cáo
- yêu cầu
- yêu cầu
- cần phải
- yêu cầu
- đòi hỏi
- nhà nghiên cứu
- phản ứng
- trở lại
- ngay
- Quy tắc
- quy tắc
- s
- Nói
- Hình phạt
- nói
- nói
- kịch bản
- Nhà khoa học
- SEC
- -Sự nộp SEC
- ngành cụ thể
- Chứng khoán
- Ủy ban Chứng khoán & Giao dịch
- an ninh
- xem
- nhìn thấy
- đã xem
- nhạy cảm
- bộ
- cổ đông
- đăng ký
- đơn giản
- nhỏ
- So
- cho đến nay
- Được tài trợ
- giai đoạn
- đứng
- Tuyên bố
- Bang
- ăn cắp
- dừng lại
- như vậy
- chịu đựng
- hệ thống
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Đó
- họ
- điều này
- tuần này
- những
- Tuy nhiên?
- mối đe dọa
- ngưỡng
- Như vậy
- hợp thời
- đến
- công cụ
- giao dịch
- khuynh hướng
- kiểu
- không được phép
- để hở
- Dưới
- us
- người sử dang
- nạn nhân
- nạn nhân
- Xem
- tình nguyện
- chờ đợi
- là
- we
- tuần
- là
- Điều gì
- liệu
- cái nào
- trong khi
- sẽ
- với
- ở trong
- sẽ
- nhưng
- zephyrnet