Представители известной хакерской группировки вымогателей ALPHV/BlackCat подали официальную жалобу в американскую Комиссию по ценным бумагам и биржам (SEC). Жалоба подана в отношении компании MeridianLink, которая, по утверждениям киберпреступников, не выполнила требования американского законодательства в части уведомления о случившемся киберинциденте, сообщает издание Bleeping Computer.
В соответствии с требованиями SEC, предполагаемые жертвы кибератак с вероятной утечкой данных должны сообщать об этом профильным надзорным ведомствам США в течение четырех дней после случившегося инцидента информационной безопасности.
Журналисты отмечают, что группировка ALPHV/BlackCat ранее добавила в свой список с утечками данных компанию-разработчика программного обеспечения MeridianLink. Они пригрозили руководству организации опубликовать все украденные конфиденциальные данные в течение 24 часов, если не начнутся переговоры о перечислении выкупа. MeridianLink — публичная организация, разрабатывающая программные решения для финансовых учреждений, банков и других финансовых организаций.
По информации журналистов издания DataBreaches.net, хакеры группировки ALPHV/BlackCat сообщили, что 7 ноября им удалось взломать внутреннюю IT-инфраструктуру компании MeridianLink и украсть оттуда конфиденциальные данные. При этом шифрования файлов внутри IT-сетей организации не осуществлялось. Хакеры также сообщили, что руководство компании MeridianLink не стало проводить какие-либо переговоры о перечислении выкупа в обмен на неразглашение украденной информации. Отсутствие ответа со стороны компании, по всей видимости, побудило хакеров оказать на разработчика программного обеспечения максимальное давление.
В итоге, представители ALPHV/BlackCat отправили официальную жалобу в Комиссию по ценным бумагам и биржам США. В жалобе содержался текст о том, что компания MeridianLink намеренно не раскрыла информацию о случившемся инциденте, который повлиял «на данные клиентов и операционную информацию».
Жалоба хакеров:
Ответ SEC:
Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:
“Информирование компаниями своих клиентов и органов власти об атаках, в результате которых возможны утечки информации, дело необходимое, т.к. именно они могут столкнуться с последствиями незаконного использования скомпрометированной информации. Так субъекты персданных смогут предпринять шаги по защите, например, заблокировать кредитную карту, сменить пароль в профиле, и т.д.
Замалчивание такой атаки только усиливает опасность. Успешная атака на оператора персональных данных — это проблема и удар по репутации, но если правильно и вовремя отреагировать, компания продемонстрирует свою ответственность и заботу о клиентах, и впоследствии может восстановить свое “доброе имя”. Однако, если об утечке не сообщить, субъекты, чья информация украдена, могут понести гораздо большие потери, ведь от их имени могут совершить покупки или их информацию могут использовать для совершения новых незаконных действий.
Компания, которая заботится о своих клиентах, всегда будет информировать и предупреждать их обо всех опасностях: от утечек и уязвимостей до фишинговых сайтов и новых способов атак. Порядок и сроки информирования прописаны в законодательстве многих стран. В России эта информация указана в Приказе Роскомнадзора и федеральном законе №152-ФЗ, в европейских странах похожие положения указаны в GDPR, а в США, во всех штатах есть свои собственные законы. Любая уважающая себя компания понимает, что лучше заплатить штраф и вложить средства в усиленные меры безопасности, чем рискнуть потерять доверие клиентов. В данной конкретной ситуации это осознают даже сами злоумышленники, хотя это, безусловно, не оправдывает их”.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.