MGM, Caesars enfrentam labirinto legal e regulatório após incidentes cibernéticos

Views: 4138
0 0
Read Time:4 Minute, 58 Second

Na sequência dos novos requisitos regulamentares da Comissão de Valores Mobiliários (SEC) para divulgar incidentes cibernéticos “materiais” no prazo de quatro dias após a descoberta, as violações cibernéticas duplas da MGM Resorts e da Caesars Entertainment demonstraram como essas regras podem ser interpretadas de forma diferente.

Ambas as violações resultaram do abuso de um agente Okta e ambas teriam sido realizadas pelo mesmo agente de ameaça de ransomware . Ambos ocorreram com poucos dias de diferença um do outro. Mas a forma como cada organização lidou com as novas regras de divulgação da SEC foi diferente.

A Caesars apresentou sua divulgação , formulário 8-K da SEC, em 14 de setembro. Ela estava repleta de detalhes sobre a natureza e o escopo do ataque cibernético, incluindo o uso de um ataque de engenharia social a um fornecedor terceirizado de suporte de TI. No entanto, a divulgação acrescentou que o incidente foi descoberto em 7 de setembro, fora do prazo estabelecido pela SEC de quatro dias para relatório.

A MGM Resorts foi mais rápida em sua divulgação, arquivando dentro do prazo de quatro dias em 12 de setembro, mas não incluiu quaisquer detalhes sobre o compromisso além do que já havia estabelecido em um comunicado de imprensa inicial.

“MGM Resorts identificou recentemente um problema de segurança cibernética que afeta alguns sistemas da empresa. Imediatamente após detectar o problema, iniciamos uma investigação com a ajuda de especialistas externos líderes em segurança cibernética”, disse a divulgação. “Também notificamos as autoridades e estamos tomando medidas para proteger nossos sistemas e dados, incluindo o desligamento de determinados sistemas. Nossa investigação está em andamento e estamos trabalhando diligentemente para resolver o assunto. A Empresa continuará a implementar medidas para proteger suas operações comerciais. e tomar medidas adicionais conforme apropriado.”

Lendo ambas as revelações, parece que a MGM está subdivulgando detalhes do incidente ou o Caesars forneceu mais informações do que o necessário. Questionada sobre as discrepâncias entre as divulgações, a SEC não quis comentar.

Entretanto, a SEC intensificou a aplicação da sua antiga política de divulgação , ameaçando com ações legais contra executivos individuais envolvidos nos ataques cibernéticos à cadeia de abastecimento da SolarWinds em 2020, por exemplo.

A divulgação cibernética da MGM carece de detalhes do incidente

O fundador e sócio geral da Rain Capital, Chenxi Wang, oferece uma avaliação mais franca das duas divulgações.

“É difícil dizer qual estilo de divulgação se tornaria a norma, mas é quase certo que o da MGM não será suficiente”, diz Wang. “A diretriz afirmava que você precisa divulgar a natureza do incidente. A MGM não fez isso.”

Ela acrescenta que a divulgação do Caesars está mais alinhada com o espírito do regulamento. “Não tenho certeza se o Caesars divulgou demais”, diz Wang. “O que eles escreveram parece apropriado e com detalhes suficientes para compreender o seu processo”.

Quanto ao momento da divulgação do Caesars fora da janela de quatro dias, Wang diz que há muita margem de manobra necessária.

“Quanto ao prazo, faltam quatro dias para determinar a materialidade, e não para determinar que houve uma violação”, diz Wang. “Césares nunca disse se o incidente foi material, então talvez esse tenha sido o motivo.”

Wang argumenta que a SEC provavelmente dará mais liberdade às organizações em plena recuperação, como a MGM Resorts. O Caesars já havia recuperado grande parte de seus sistemas quando emitiu o SEC 8-K e provavelmente está em melhor posição para fornecer detalhes, explica Wang.

“A SEC deveria ser mais clara sobre o que deveria constar em uma divulgação? Talvez, mas há mérito em uma diretriz vagamente definida, que dá alguma flexibilidade em quais informações devem ser incluídas na divulgação”, diz Wang. “Isso pode ser importante para uma violação em andamento ou uma investigação inacabada.”

No caso da MGM, a organização provavelmente ainda estava tentando determinar se os atores da ameaça ainda tinham acesso aos seus sistemas e, portanto, não poderia divulgar mais detalhes, explica Jon Clay, vice-presidente de inteligência de ameaças da Trend Micro.

“Mas as empresas estão violando se não divulgam?” Clay pergunta. “Essa é uma pergunta diferente.”

As regras de divulgação da SEC permanecem vagas, mas adotadas por outros reguladores

Embora a SEC ainda não tenha fornecido orientações sobre os requisitos mínimos para divulgações 8-K, a implementação da abordagem está a afastar-se do alcance do regulador. Clay diz que o Nevada Gaming Board também está usando as diretrizes da SEC como modelo de supervisão, por exemplo.

O Nevada Gaming Board não quis comentar diretamente sobre suas interações com MGM Resorts ou Caesars Entertainment, mas forneceu um link para o regulamento 5.260, que exige que as operadoras de jogos protejam os dados de um ataque cibernético . O regulamento fornecido não inclui quaisquer disposições relativas à divulgação após um incidente cibernético.

“Outra camada é que os cassinos estão tendo que lidar com o Nevada Gaming Control Board, que segue as orientações da SEC”, acrescenta Clay. “O que isto significa para as empresas afetadas é que agora têm de lidar com algumas entidades diferentes, incluindo as autoridades policiais. Há muitos grupos que convergiram para a MGM e o Caesars.”

Barra lateral: Ação coletiva movida contra Césares 

Os reguladores não são os únicos problemas burocráticos que os cassinos enfrentam. Na segunda-feira, poucos dias após a divulgação de um ataque cibernético pelo Caesars, uma ação coletiva foi movida no Tribunal Distrital dos EUA em Nevada por Miguel Rodriguez, acusando o cassino de operar com “segurança de dados inadequada”. 

Embora as divulgações do Caesars e do MGM Resorts se aproximem de sua conclusão, a forma como as duas organizações enfrentam a litania de regulamentações e litígios oferecerá um precedente crítico que outros grupos podem usar para navegar em futuros ataques cibernéticos. Entretanto, as regras permanecem vagas e os parâmetros de aplicação pouco claros.

FONTE: DARKREADING

POSTS RELACIONADOS