Peşinde taze Bank of America’nın siber güvenliğiFortune 500’ün bir başka devi de özellikle veri ihlali hedefinde: Prudential Financial bu hafta, bilgisayar korsanlarının ayın başında “belirli” sistemlerini kırdığını söyledi.
Duyuru başka bir nedenden dolayı da öne çıkıyor: Şirketlerin artık “Maddi” etkisi olan siber güvenlik olaylarını bildirin Prudential, ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) yönelik operasyonlara yönelik olarak, böyle bir etki belirlenmeden önce, gönüllü bir olay açıklaması yaparak bu yeni görev süresinin önüne geçmiş gibi görünüyor.
Güvenlik şefi Joseph Carson, “Prudential Financial’ın veri ihlalini hızlı bir şekilde tespit edip yanıt verdiğini görmek harika. Umudumuz, saldırganların herhangi bir hassas veri çalınmadan önce durdurulması ve iş üzerindeki etkisinin minimum düzeyde olmasıdır” dedi. Delinea’da bilim adamı ve danışman CISO. Ancak şimdilik bu ayrıntılar belirsiz.
Prudential’ın İhlalinin Arkasında Muhtemelen Siber Suç Çetesi Var
İçinde Prudential, SEC’e 8-K bildirimi gönderdiğini söyledi 5 Şubat’ta altyapısına yetkisiz erişim tespit ettiğini tespit etti. Finans ve sigorta devinin organize bir siber suç grubu olduğuna inandığı tehdit aktörünün, bir gün önce belirli kuruluşlardan “idari ve kullanıcı verilerine” erişim elde ettiğini belirledi. [IT] sistemleri ve çalışanlarla ve yüklenicilerle ilişkili şirket kullanıcı hesaplarının küçük bir yüzdesi.”
Şirket, henüz başlangıç aşamasında olan olay müdahalesini başlattı; Şu ana kadar saldırganların ek bilgi veya sistemlere mi eriştiği, müşteri veya müşteri verilerine mi eriştiği veya olayın Prudential operasyonları üzerinde önemli bir etkisi olup olmayacağı belli değil.
Bu senaryolardan herhangi birine dair bir kanıt bulunmadığından Prudential’ın henüz ihlali bildirme yetkisi bulunmuyor. Bu nedenle araştırmacılar, firmanın SEC başvurusunun yeni bir trend olabileceğinin göstergesi olduğunu söylüyor: proaktif başvurular.
Bunu Yapmamıza Gerek Yok – Ama Yapacağız
15 Aralık’ta SEC olay açıklama kuralları, 8-K Formunun “belirlendikten sonraki dört iş günü içinde” doldurulmasını gerektirecek şekilde değiştirildi. [a cyber] olay maddiydi.”
Symmetry Systems’in veri güvenliği baş savunucusu Claude Mandy, Prudential’ın ihlalin maddi boyutunu tam olarak belirlemeden önce dosyaya koyma hareketinin, saldırganların gasp girişimlerini etkisiz hale getirme çabası olabileceğini belirtiyor.
Yeni SEC düzenlemelerini silah haline getirme potansiyeli, bir siber saldırının ardından fidye yazılımı grubu ALPHV (diğer adıyla BlackCat) ile pazarlık yapmamayı tercih eden MeridianLink örneğinde açıkça görülüyor. Çete tepki gösterdi SEC’e resmi bir şikayette bulunmakson kurbanının yeni ifşa düzenlemelerine uymadığını iddia etti.
Mandy, “Prudential’ın proaktif bekletme açıklaması, bu yeni olay raporlama rejimi kapsamında siber suçlular tarafından siber suç mağdurları üzerinde uygulanan baskının göstergesidir” diyor. “Bu, iyi prova edilmiş bir olay müdahale programının işaretidir.”
Şöyle ekliyor: “Siber suçlular, mağdurlardan zorla para almak için olayı kamuya açıklama tehdidinde bulunabilirler ve olmaya da devam edecekler. Bunun gibi erken bir açıklama, bu baskıyı hafifletir, ancak olayın olası önemliliğini belirlemek için modern veri güvenliği araçları gerektirir.”
Bu arada Keeper Security’nin CEO’su ve kurucu ortağı Darren Guccione, e-postayla gönderdiği bir açıklamada siber olayların bu tür gönüllü raporlamasının sadece bir düzeltme çabası olabileceğini söyledi. Über Ve SolarRüzgarlar yöneticiler acı çekti olayları bildirmemek zamanında.
“Prudential, itibar hasarını proaktif bir şekilde hafifletmeye çalışıyor olabilir… bu tür gönüllü açıklamalar muhtemelen düzenlemelerden çok halkla ilişkiler tarafından motive ediliyor” dedi.
Olay aynı zamanda federal yasadaki göze çarpan bir ihmale de işaret ediyor: İşletmelerin müşterileri gerçek veya potansiyel veri ihlalleri konusunda doğrudan bilgilendirmesini gerektiren genel bir federal veri gizliliği kanunu yok ve cezai caydırıcı olarak hareket eden buna karşılık gelen para cezaları veya yaptırımlar mevcut değil. Federaller, veri gizliliğini ve korumayı etkili bir şekilde eyaletlere ve sektöre özel kurum düzenlemelerine havale etti; Eleştirmenler şikayet etse de Kaliforniya Tüketici Gizliliği Yasası (CCPA) en katı korumalardan biridir CCPA yeterince ileri gitmiyor.
Yeni SEC kuralını diğer düzenlemelerden ayıran şey, halka açık şirketlerin bu tür ihlalleri maddi etkinin belirlenmesinden sonraki dört gün içinde bildirme zorunluluğudur. Buna karşılık HIPAA, sağlık kurumlarına bu tür bildirimler için 60 gün süre veriyor.
Prudential, Dark Reading’in yorum talebine hemen yanıt vermedi. Mandy, şimdilik Prudential müşterilerinin bilgilerinin ihlal nedeniyle ele geçirilip geçirilmediğini bekleyip görmeleri gerektiğini belirtiyor.
Mandy, “Diğer ihlallerde de gördüğümüz gibi, soruşturma ve yansımalar devam ettikçe olayın açığa çıkan başka yönleri de olabilir” diyor. “Prudential’ın açıklaması, şu anda bildiklerine dayanarak, bunun önemlilik eşiğini karşıladığına inanmadıklarını gösteriyor. Bu eşik, (onların görüşüne göre) etkinin bir kuruluş için maddi bilgi olup olmayacağına bağlı olarak Prudential tarafından belirleniyor. yatırımcı veya hissedar.”
Şöyle ekliyor: “Soruşturma devam ettikçe Prudential’ın daha ayrıntılı analizlerini görmeyi umuyoruz.”