Bilgisayar Korsanları SEC Açıklama Kurallarını Kurumsal Hedeflere Karşı Silahlandırıyor - Dünyadan Güncel Teknoloji Haberleri

Bilgisayar Korsanları SEC Açıklama Kurallarını Kurumsal Hedeflere Karşı Silahlandırıyor - Dünyadan Güncel Teknoloji Haberleri
net’e söyledi Grubun 7 Kasım’da dijital kredi hizmeti sağlayıcısı MeridianLink’e başarılı bir şekilde saldırarak dosyalarını şifrelemeden sızdırdığını söyledi

ALPHV Aynı Anda Polis ve Soyguncuyu Oynuyor

26 Temmuz’da SEC, halka açık şirketler için yeni siber kuralları duyurdu SEC kuralları

İkincisi, belirtildiği gibi orijinal basın bülteniyeni SEC açıklama kuralı yalnızca 18 Aralık’ta yürürlüğe girecek Güvenlik

Bir kere, BleepingComputer’a sağlanan bir açıklama Çarşamba günü MeridianLink, herhangi bir tüketici kişisel bilgisinin ele geçirilip geçirilmediğinden henüz emin olmadığını belirterek şunları ekledi: “Bugüne kadar yaptığımız araştırmalara dayanarak, üretim platformlarımıza yetkisiz erişime dair hiçbir kanıt tespit etmedik ve olay minimum düzeyde iş kaybına neden oldu kesinti

Bir ALPHV içeriden biri databreaches

Benzer saldırıların gelecekteki kurbanlarının güvenebileceği daha az mola olacak net’e formun ekran görüntüsünü ve gönderimi onaylayan otomatik makbuzu sağladı



Fidye yazılımı grubu ALPHV (diğer adıyla “BlackCat”), yakın zamanda gerçekleşen bir kurbanın yeni ifşa düzenlemelerine uymadığını iddia ederek ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) resmi bir şikayette bulundu ”



siber-1

“MeridianLink’in, müşteri verileri ve operasyonel bilgilerden ödün veren önemli bir ihlal ışığında, yeni yönetmeliğin zorunlu kıldığı şekilde öngörülen dört iş günü içinde Form 8-K Madde 1 (Daha küçük şirketler, devreye girmeden önce fazladan 180 gün ile daha fazla hareket alanına sahip olacak) ” Böyle bir başvurunun “genellikle kayıt yaptıranın bir siber güvenlik olayının önemli olduğunu tespit etmesinden dört iş günü sonra yapılması gerekir

Keeper’ın güvenlik ve mimariden sorumlu başkan yardımcısı Patrick Tiquet, “Bu, ifşa kararlarının ve planlarının artık yalnızca en iyi güvenlik uygulamalarına göre yönlendirilmediğini anlamaları gereken güvenlik liderleri için bir başka uyarıdır; federal yasal yükümlülükler de önemli bir rol oynamaktadır” diyor ”

MeridianLink’ten dört gün geçmesine rağmen ALPHV, SEC’in resmi web sitesi aracılığıyla ihlale ilişkin bilgi gönderdi:

Grup, “MeridianLink’in yakın zamanda kabul edilen siber güvenlik olaylarını açıklama kurallarına uyumuyla ilgili endişe verici bir konuya dikkatinizi çekmek istiyoruz” diye yazdı Öne çıkanlardan biri, şirketlerin “önemli olduğunu belirledikleri herhangi bir siber güvenlik olayını” açıklamasının yanı sıra “olayın doğası, kapsamı ve zamanlamasının yanı sıra maddi etkisi veya makul derecede muhtemel maddi etkisinin” bir açıklamasıyla birlikte ifşa edilmesi gerekliliğiydi

Tiquet, “Kendi kurbanına karşı SEC’e ‘bildirmeme’ şikayetinde bulunma tehdidini kullanmak, bir siber suç grubunun çıkarı için bir hükümet düzenlemesini silah haline getirebilecek zorlayıcı bir taktiktir” diye uyarıyor

Yeni SEC Kuralındaki İncelikler

Hareketin katıksız cüretkarlığını bir kenara bırakırsak, ALPHV’nin SEC karşısında iki nedenden dolayı şansı yaver gitmiş olabilir Daha sonra, bir etkileşim dışında, üretken tehdit aktörü, şirketi çalınan verilerle ilgili müzakerelere dahil etmeyi başaramadı ”

Kaynak, databreaches kayıt ettiren ” ALPHV’nin tam olarak hangi verileri çaldığı ve yayınladığı, SEC dili uyarınca ihlalin “önemli” olup olmadığını etkileyebilir “SEC’in disiplin cezaları hafife alınamaz ve para cezaları çok yüksek olabilir 05 kapsamında gerekli açıklamayı yapmadığı dikkatimizi çekti

ALPHV bu verileri Çarşamba günü sızıntı sitesinde yayınladı Ayrıca, kurbanının, şirketlerin ihlallerini ne kadar sürede kamuya açıklamaları gerektiğine ilişkin yeni SEC yönergelerine uymadığını iddia ederek, kendi suçuyla ilgili olarak SEC’e bir rapor sunarak eşi benzeri görülmemiş bir ekstra şantaj taktiği denedi