Kantor Pengawas Keuangan Mata Uang (OCC) memberi tahu Kongres bahwa mereka menjadi korban insiden keamanan informasi utama kemarin.
Insiden itu ditemukan setelah penyelidikan internal dan eksternal ke dalam email OCC. Pada 11 Februari, OCC melaporkan pembelajaran interaksi yang tidak biasa antara akun administrasi sistem di lingkungan otomasi kantor dan kotak surat pengguna OCC.
Keesokan harinya, OCC mengkonfirmasi interaksi yang tidak biasa tidak sah dan mengaktifkan protokol respons insiden, menonaktifkan akun yang dikompromikan, dan mengakhiri akses yang tidak sah.
OCC terus meninjau pesan email yang dikompromikan untuk menentukan isinya dan bekerja dengan para ilmuwan data internal dan pihak ketiga independen dalam penyelidikan. Namun, berdasarkan penemuan sejauh ini, dan setelah berkonsultasi dengan Departemen Keuangan, telah ditentukan bahwa “insiden tersebut memenuhi persyaratan yang diperlukan untuk diklasifikasikan sebagai insiden besar.”
OCC menemukan akses tidak sah ke beberapa email eksekutif dan karyawan, yang mencakup informasi yang sangat sensitif, seperti kondisi keuangan lembaga keuangan yang diatur secara federal.
“Saya telah mengambil langkah segera untuk menentukan sepenuhnya pelanggaran dan untuk memperbaiki kekurangan organisasi dan struktural yang telah lama dipegang yang berkontribusi pada insiden ini,” kata Rodney E. HoodPenjaga Pengawas Mata Uang. “Akan ada akuntabilitas penuh untuk kerentanan yang diidentifikasi dan setiap temuan internal yang terlewat yang menyebabkan akses yang tidak sah.”
Ikatan dengan pelanggaran cyber lainnya
OCC melaporkan serangan ke Cybersecurity and Infrastructure Agency (CISA) dan merilis a pernyataan publik Pada tanggal 26 Februari mencatat bahwa mereka tidak menemukan dampak pada sektor keuangan pada saat itu.
Menurut Bloomberg, yang pertama kali melaporkan pemberitahuan tersebut, peretas yang tidak dikenal memiliki akses ke akun email sekitar 100 pejabat senior dan lebih dari 150.000 email yang berasal dari Juni 2023.
“Meskipun sulit untuk mengetahui dengan pasti apakah ada ikatan antara pelanggaran ini dan Departemen Perbendaharaan Hack pada bulan Desember, ada kemungkinan korelasi yang kuat dalam beberapa cara,” kata Joshua Roback, arsitek solusi keamanan utama di Swimlane. “Itu tidak berarti bahwa peretas dapat pindah secara lateral dari satu jaringan ke jaringan lainnya. Namun, tahap awal rantai serangan, seperti pengumpulan informasi tentang personel, proses, dan teknologi, mungkin telah berkumpul selama pelanggaran Treasury pada bulan Desember.”
Roback mengacu pada pelanggaran di mana aktor ancaman yang didukung negara Cina mampu Kompromi sistem Treasury dan mencuri data dari stasiun kerjanya. Pelanggaran ini juga diperlakukan sebagai “insiden keamanan siber utama,” meskipun ini disebabkan oleh kelompok ancaman terus -menerus (APT) yang diduga berada di belakang serangan itu.
Musuh-musuh dapat masuk ke Departemen Keuangan melalui vendor keamanan siber pihak ketiga, di luar TRust, setelah mendapatkan akses ke kunci jarak jauh yang digunakan oleh vendor untuk mengamankan layanan berbasis cloud yang memberikan dukungan teknis ke kantor-kantor Treasury. Meskipun tidak ada bukti saat ini yang secara meyakinkan menghubungkan kedua insiden cyber ini, para peneliti akan melihat setiap koneksi potensial.
“Dalam skenario negara-bangsa,” tambah Roback, “informasi sensitif ini dapat digunakan untuk meningkatkan posisi negosiasi antara pemerintah atau bisnis yang didukung pemerintah, menghasilkan ancaman kekayaan intelektual dan bahkan memberikan peluang untuk penipuan keuangan.”
Sebagian besar fakta – tetapi tidak semua
Beberapa menemukan transparansi yang ditawarkan OCC menjadi tidak biasa, meskipun organisasi mungkin hanya mematuhi harapan dalam melaporkan insiden semacam ini.
“Pengungkapan pelanggaran OCC sangat transparan oleh standar pemerintah, meskipun keterbukaan seperti itu semakin dipandang sebagai bagian dari praktik akuntabilitas publik modern,” kata Jason Soroko, rekan senior di Sectigo. Namun, rilis ini memang menahan beberapa informasi, seperti vendor mana yang menyalakan sistem email atau kerentanan spesifik dieksploitasi, meninggalkan banyak pertanyaan teknis mengenai perlindungan keamanan siber dari organisasi yang tidak dijawab.
“Secara historis, insiden seperti itu sering melibatkan kerentanan dalam sistem yang banyak digunakan,” tambah Soroko, “tetapi dalam kasus ini, penyelidikan lebih lanjut diperlukan untuk mengikat serangan ke vendor atau kerentanan tertentu.”
_Vladimir_Stanisic_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "Risiko menggunakan model AI yang dikembangkan oleh negara -negara yang bersaing")
![[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda](https://i0.wp.com/www.darkreading.com/assets/darkreading-C928X8LZ.ico?w=300&resize=300,300&ssl=1 "[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda")