[bsa_pro_ad_space id=1 link=rovnaké] [bsa_pro_ad_space id=2]

Prejsť na obsah

Pulz

Kybernetická bezpečnosť: zlyhať v príprave...

By - 14. mája 2024

Herný priemysel, podobne ako mnohé iné odvetvia, sa potýka so zvýšeným tlakom na právnych poradcov, aby poskytovali poradenstvo v tomto čoraz zložitejšom regulačnom a rizikovom prostredí. Scott Melnick, hlavný bezpečnostný výskum a vývoj v spoločnosti Bulletproof, spoločnosti GLI, sa delí o svoje odborné znalosti o opatreniach v oblasti IT, ktoré by kasína mali implementovať, aby sa pokúsili zabrániť kybernetickým útokom a ako sa vysporiadať s následkami, ak by k nim došlo.

Sú teraz kybernetické porušenia nevyhnutné? A prečo je to súčasný stav?

Áno. Identity Theft Resource Center (ITRC) uvádza, že počet prípadov krádeže identity vzrástol od roku 78 do roku 2022 o 2023 percent a nevykazuje žiadne známky zastavenia. Bolo to čiastočne kvôli posunu v obchodných praktikách a vzniku veľkých nových trhov počas pandémie, ako je práca z domu, online hry, doručovacie služby a ďalšie. 

Kto sú subjekty, ktoré sa snažia prelomiť digitálnu obranu kasín? Aké sú ich motivácie?

V súčasnosti ide väčšinou o Ransomware as a Service (RaaS), ktoré fungujú nezávisle a predávajú/sprostredkúvajú svoje služby útočníkom, ktorí už získali prístup alebo dokonca vnútorné hrozby, ktorým môže poskytnúť prístup k RaaS zamestnanec vnútri organizácie. 

Ich motivácia je väčšinou finančná, ale môže súvisieť aj s nespokojnými zamestnancami. V roku 2020 bol zamestnancovi Telsy ponúknutý 1 milión dolárov na implantáciu ransomvéru. 

Aké sú metódy, ktorými sa zlí herci pokúšajú/a darí sa im prenikať do kasín?

Dnes existuje niekoľko metód, pri ktorých som videl, ako sa klienti porušujú. Jedným z nich je nedostatok bezpečnostných záplat a nesprávne konfigurácie, ktoré umožňujú útočníkom pristupovať k sieťam kasín cez vpn/firewall, lokálne servery alebo systém zamestnanca. 

Súčasným trendom je však sociálne inžinierstvo, ktoré prichádza ako phishing, kedy útočník pošle e-mailom zraniteľnosť/odkaz, ktorý môže byť zameraný na konkrétneho jednotlivca (spear phishing) alebo zaslaný čo najväčšiemu počtu ľudí v rámci organizácie. 

Techniky sociálneho inžinierstva cez telefón na získanie prístupu od používateľov alebo zamestnancov technickej podpory sú tiež na vzostupe, ako sme videli pri porušení MGM. Je to efektívnejšie, pretože organizácie môžu minúť milióny na kybernetickú bezpečnosť, ktorú však môže zvrhnúť jeden zamestnanec.

Aké škody môžu takéto porušenia spôsobiť?

Porušenie spôsobí obchodné škody na viacerých úrovniach. Nielenže platíte státisíce až milióny za ransomvér, ale aj finančná strata môže pochádzať z toho, že kasíno, hotely a online hry budú niekoľko týždňov offline. V závislosti od typu porušenia a odcudzenia údajov o zákazníkovi to môže nielen poškodiť vašu značku a lojalitu zákazníkov, ale viesť k mnohoročným súdnym sporom proti majetku. 

Prečo obrana kasín nepostačuje na odvrátenie takýchto útokov?

Obrana a problémy sa nelíšia od akejkoľvek inej veľkej korporácie alebo vládnej agentúry. Väčšina korporácií, ako aj kasín rada robí minimum potrebné na to, aby sa vyhli, a hoci je to stále dobrý štandard, nepokrýva to dostatočne. Je to preto, že krajina útokov sa pohybuje rýchlejšie ako miestne predpisy. Firmy chcú byť prvé na trhu, rýchlo optimalizovať zisky s rizikom bezpečnosti a stability svojich aplikácií. Hrajú hazardné hry. 

Ďalšou výzvou je finančný tlak a snaha operovať s minimálnymi zdrojmi, čo môže urobiť z kybernetickej bezpečnosti menšiu prioritu a viesť neskôr k väčším finančným problémom. 

Aké sú IT opatrenia, ktoré by mali kasína podnecovať, aby sa pokúsili takýmto útokom zabrániť?

Je potrebné spomenúť veľa vecí, ale kasína musia dodržiavať viacúrovňový bezpečnostný prístup. 

  • Bezpečnosť musí byť v týchto časoch vrstvená. Už sa nemôžete spoliehať len na firewally a vaše obvodové zabezpečenie. Musíte pridať ďalšie bezpečnostné funkcie, ako je viacfaktorová autentifikácia, ochrana koncových bodov, ochrana e-mailov, šifrovanie údajov a najať si bezpečnostné operačné stredisko tretej strany.
  • Časté testy kybernetickej bezpečnosti tretími stranami. IT oddelenia by to mali robiť samé vždy a neustále, ale kvôli zaujatosti sú kontroly tretích strán nevyhnutnosťou a štandardným osvedčeným postupom. V niektorých prípadoch sa to vyžaduje. Testovanie sociálneho inžinierstva by tiež mala vykonávať tá istá testovacia spoločnosť alebo interný bezpečnostný tím, ktorý bude neustále udržiavať zamestnancov v strehu a merať mieru úspešnosti vášho vzdelávania. 
  • Firemná kultúra, školenia a financovanie. Zamestnanci sú zraniteľní voči sociálnemu inžinierstvu, ak má C-level a vyšší manažment zlú kultúru. Mali by existovať jasné zásady a súhlas vedenia, že dodržanie postupu nebude mať žiadne dôsledky a zamestnanci by sa mali cítiť pohodlne, keď povedali nie. To zahŕňa úroveň C, ktorá chce byť oslobodená od podnikovej politiky, ako je viacfaktorová autentifikácia, heslá atď. 
  • Školenie o phishingu a vishingu pre všetkých zamestnancov by malo byť bežnou praxou. Nakoniec financujte svoje IT oddelenie a udržujte ho spokojné, odmeňujte ho a poskytnite mu školenie a nástroje, ktoré potrebujú na jednoduchú ochranu podniku. Bezpečnosť musí byť v týchto časoch vrstvená. Nemôžete sa spoliehať len na firewally a vaše obvodové zabezpečenie. Musíte pridať ďalšie bezpečnostné funkcie, ako je viacfaktorová autentifikácia, ochrana koncových bodov, ochrana e-mailov, šifrovanie údajov a bezpečnostné operačné centrum.

Aké sú najlepšie postupy, keď sa stane neodvratné – ako by sa mal riešiť spád?

To je skvelá otázka. Plánovanie katastrof a rozpočet sú nevyhnutné, rovnako ako vaša obrana. To, ako sa vysporiadate s porušením, môže ovplyvniť náklady od tisícok po milióny dolárov. 

Majte plán, ako reagovať na incident, prideľte mu úlohy a dodržujte ho čo najpresnejšie. Nerobte paniku. Situáciu to len zhorší. Kedysi som mal v peňaženke kontaktné čísla pre prípad, že by som sa k nim pre výpadky nedostal z telefónu. To je staromódne.  

  • Zadržte porušenie. Existujú rôzne spôsoby, ako to urobiť v závislosti od toho, ako je kasíno prevádzkované, ale vo všeobecnosti vždy odporúčam odpojiť sieť a nechať stroje zapnuté, ak je to možné. Pomôže to vyšetrovaniu. Ak si však nie ste istí, môžete vždy všetko vypnúť, kým nedostanete ďalšiu pomoc. 
  • Obráťte sa na úrady. V závislosti od typu porušenia existuje niekoľko organizácií, ktorých kontaktné informácie by ste mali mať v dokumente, ako reagovať na incident, ako napríklad miestna kancelária FBI. 
  • Majte pripravené zavolať niektoré spoločnosti zaoberajúce sa kybernetickou bezpečnosťou, ktoré vám môžu kedykoľvek pomôcť pri obnove a ďalšom monitorovaní ďalších hrozieb.
  • Otvorene a čestne komunikujte so svojimi právnymi pracovníkmi, na úrovni C a zainteresovanými stranami a prípadne so svojimi zákazníkmi.
  • Pravidelne interne aktualizujte a kontrolujte svoje procesy a najmite si audítora riadenia tretej strany, aby preskúmal, navrhol zmeny a otestoval vaše metódy obnovy.
  • Preskúmajte poistenie kybernetickej bezpečnosti, ako vám môže pomôcť a čo je pre vás vhodné.
  • Najmite si PR manažérsku firmu, ak bude spad vzhľadom na jeho povahu závažný.

Je možné použiť technológiu na zmiernenie potenciálnych škôd na povesti, na právne následky a stratu povesti?

Naozaj. Mnohé z týchto služieb sú určené pre vašich zákazníkov, ktorí ich môžu použiť na kontrolu a ochranu svojich osobných a finančných informácií. Existuje aj softvér na správu online reputácie, ktorý dokáže sledovať, kontrolovať a zlepšovať online reputáciu a verejný obraz na internete. 

Ako nové pravidlá SEC Cybersecurity Governance zvyšujú tlaky a opatrenia, ktoré musia kasína zaviesť?

Nové pravidlá SEC Cybersecurity sa vzťahujú na verejné spoločnosti. Zameriava sa na ochranu verejných investorov a poskytuje zabezpečenie programu kybernetickej bezpečnosti a hlásenie závažných porušení. Ale program kybernetickej bezpečnosti a dodržiavanie predpisov sa nerovná bezpečnosti. 

Môže to však byť dvojsečná zbraň. Keď verejná spoločnosť utrpí porušenie, ktoré je „závažné“, má štyri dni na to, aby to verejne oznámilo. Ransomvérové ​​gangy to vedia a materiál v tomto kontexte znamená informácie, ktoré by rozumný investor považoval za dôležité pri investičnom rozhodnutí. 

Nejde len o údaje o zákazníkoch alebo údaje, ktoré sa nedostali na verejnosť. To vytvára dve nové príležitosti pre útočníkov. Vydieranie. 

1. „Ak nezaplatíte, podáme sťažnosť SEC v prípade, že ste zabudli.“ 

V roku 2023 skupina ransomvéru známa ako AlphaV a Blackcat podala sťažnosť na SEC proti svojej obeti MeridanLink za to, že nezverejnila porušenie do štyroch požadovaných dní. 

2. "Zaplaťte nám tesne pod radarom toho, čo by sa mohlo považovať za materiálne porušenie, a my jednoducho odídeme a nikto sa to nikdy nebude musieť dozvedieť."

Druhá metóda stále porušuje pravidlá SEC, ak boli ukradnuté nejaké osobné údaje, ale ponúka obeti pokušenie zachrániť si rozpaky tým, že ich nezákonne skryje alebo nezverejní zaplatenú sumu. RaaS je biznis a zvyčajne, ak nedodržia slovo, nikto im v budúcnosti nezaplatí. Je to pochopený kolektív medzi zlodejmi.   

V roku 2023 sme videli niekoľko porušení kasína s vysokým profilom – uvidíme viac či menej v roku 2024? 

Trend útokov v hernom priemysle je ťažké predvídať, ale kybernetické útoky budú v roku 2024 celoplošne rásť. Stále prechádzame digitálnym prechodom podnikania a potom nové technológie, ako je AI, pomôžu útočníkom.

Niektoré skupiny sa kvôli svojim nedávnym výhram zamerajú na zábavný priemysel a niektoré sa zmenia. Ciele sú zvyčajne tie ľahké. Čím ťažšie je prelomiť, tým je pravdepodobnejšie, že budú hľadať jednoduchší cieľ.

Zdieľať cez
Skopírovať odkaz