Pereiti prie turinio

17 m. birželio 2025 d., antradienis
Kitos kalbos

Pulsas

Kibernetinis saugumas: nepasiruoškite…

By – 14 m. gegužės 2024 d

Žaidimų pramonė, kaip ir daugelis kitų pramonės šakų, susiduria su padidėjusiu spaudimu teisiniams patarėjams teikti gaires šioje vis sudėtingesnėje reguliavimo ir rizikos aplinkoje. Scottas Melnickas, GLI bendrovės „Bulletproof“ pagrindinis saugumo tyrimų ir plėtros vadovas, dalijasi savo žiniomis apie IT priemones, kurias kazino turėtų įgyvendinti, kad būtų išvengta kibernetinių atakų ir kaip elgtis, jei jos įvyktų.

Ar kibernetiniai pažeidimai dabar neišvengiami? Ir kodėl tokia dabartinė situacija?

Taip. Tapatybės vagysčių išteklių centras (ITRC) praneša, kad nuo 78 m. iki 2022 m. tapatybės vagysčių atvejų padaugėjo 2023 procentais ir nerodo jokių sustabdymo ženklų. Tai iš dalies lėmė verslo praktikos pasikeitimas ir didelių naujų rinkų atsiradimas pandemijos metu, pavyzdžiui, darbas namuose, internetiniai žaidimai, pristatymo paslaugos ir kt. 

Kas yra subjektai, bandantys pažeisti skaitmeninę kazino apsaugą? Kokie jų motyvai?

Šiuo metu daugiausia „Ransomware as a Service“ (RaaS), kurios veikia savarankiškai ir parduoda / tarpininkauja savo paslaugas užpuolikams, kurie jau gavo prieigą arba net yra grėsmės, kurias organizacijos darbuotojas gali suteikti prieigą prie RaaS. 

Jų motyvacija dažniausiai yra finansinė, bet gali būti susijusi ir su nepatenkintais darbuotojais. 2020 m. „Telsa“ darbuotojui buvo pasiūlyta 1 mln. USD implantuoti išpirkos reikalaujančią programinę įrangą. 

Kokie yra metodai, kuriais blogi veikėjai bando / ir jiems pavyksta patekti į kazino?

Šiandien yra keletas būdų, kuriais mačiau, kaip klientai pažeidžiami. Vienas iš jų yra saugos pataisų trūkumas ir netinkamos konfigūracijos, leidžiančios užpuolikams pasiekti kazino tinklus per VPN / ugniasienę, vietinius serverius arba darbuotojo sistemą. 

Tačiau dabartinė tendencija yra socialinė inžinerija, kuri pasireiškia kaip sukčiavimas, kai užpuolikas el. paštu siunčia pažeidžiamumą / nuorodą, kuri gali būti nukreipta į konkretų asmenį (spear phishing) arba nusiunčiama kuo daugiau žmonių organizacijos viduje. 

Socialinės inžinerijos būdai telefonu, siekiant gauti prieigą iš vartotojų arba pagalbos tarnybos darbuotojų, taip pat daugėja, kaip matėme MGM pažeidimo atveju. Tai efektyviau, nes organizacijos gali išleisti milijonus kibernetiniam saugumui, tačiau jį gali nuversti vienas darbuotojas.

Kokią žalą gali padaryti tokie pažeidimai?

Pažeidimas verslui sukels kelių lygių žalą. Ne tik sumokėsite šimtus tūkstančių ar milijonus už išpirkos reikalaujančias programas, bet ir finansinių nuostolių gali kilti dėl to, kad kazino aukštas, viešbutis ir internetiniai žaidimai yra neprisijungę kelias savaites. Priklausomai nuo pažeidimo tipo ir galimo klientų duomenų pavogimo, tai ne tik pakenks jūsų prekės ženklui ir klientų lojalumui, bet ir kels ilgus ieškinius dėl nuosavybės. 

Kodėl kazino gynybos nepakanka tokioms atakoms atremti?

Apsauga ir problemos nesiskiria nuo bet kurios kitos didelės korporacijos ar vyriausybinės agentūros. Dauguma korporacijų, taip pat kazino, mėgsta daryti tai, ko reikia minimumui, kad išsilaikytų, ir nors tai vis dar yra geras standartas, jo nepakanka. Taip yra todėl, kad atakų aplinka juda greičiau nei vietiniai reglamentai. Įmonės nori būti pirmosios rinkoje, greitai optimizuoti pelną rizikuodami saugumu ir jų taikymo stabilumu. Jie yra azartiniai lošimai. 

Kitas iššūkis yra finansinis spaudimas ir bandymas dirbti su minimaliais ištekliais, dėl kurių kibernetinis saugumas gali tapti mažiau prioritetu, o vėliau kilti didesnių finansinių problemų. 

Kokių IT priemonių turėtų imtis kazino, kad išvengtų tokių atakų?

Galima paminėti daugybę dalykų, tačiau kazino turi laikytis kelių lygių saugumo metodo. 

  • Saugumas šiais laikais turi būti sluoksniuotas. Nebegalite pasikliauti vien ugniasienėmis ir perimetro saugumu. Turite pridėti daugiau saugos funkcijų, tokių kaip kelių veiksnių autentifikavimas, galutinio taško apsauga, el. pašto apsauga, duomenų šifravimas ir samdyti trečiosios šalies saugos operacijų centrą.
  • Trečiųjų šalių dažnai atliekami kibernetinio saugumo testai. IT skyriai turėtų tai daryti patys visada ir nuolat, tačiau dėl šališkumo trečiųjų šalių patikrinimai yra būtini ir standartinė geriausia praktika. Kai kuriais atvejais tai būtina. Be to, socialinės inžinerijos testavimą turėtų atlikti ta pati testavimo įmonė arba vidinės saugos komanda, kuri nuolat išlaikys darbuotojus ant kojų ir įvertins jūsų mokymosi sėkmės rodiklį. 
  • Įmonės kultūra, mokymai ir finansavimas. Darbuotojai yra pažeidžiami socialinės inžinerijos, jei C lygio ir aukštesnės vadovybės kultūra yra prasta. Turėtų būti aiški politika ir vadovybės patvirtinimas, kad procedūros atlikimas neturės pasekmių, o darbuotojai turėtų jaustis patogiai sakydami „ne“. Tai apima C-Level, kurie nori būti atleisti nuo įmonės politikos, pvz., kelių veiksnių autentifikavimo, slaptažodžių ir kt. 
  • Sukčiavimo ir „Vishing“ mokymai visiems darbuotojams turėtų būti įprasta praktika. Galiausiai, finansuokite savo IT skyrių ir būkite patenkinti, apdovanoti ir suteikite jiems mokymus bei įrankius, kurių reikia norint lengvai apsaugoti verslą. Saugumas šiais laikais turi būti sluoksniuotas. Negalite pasikliauti vien ugniasienėmis ir perimetro saugumu. Turite pridėti daugiau saugos funkcijų, tokių kaip kelių veiksnių autentifikavimas, galutinio taško apsauga, el. pašto apsauga, duomenų šifravimas ir saugos operacijų centras.

Kokios yra geriausios praktikos, kai įvyksta neišvengiamas dalykas – kaip reikėtų elgtis su nuosėdomis?

Tai puikus klausimas. Nelaimių planavimas ir biudžetas yra labai svarbūs, taip pat jūsų gynyba. Tai, kaip susidorosite su pažeidimu, gali turėti įtakos nuo tūkstančių iki milijonų dolerių. 

Turėkite planą, kaip reaguoti į incidentą, paskirkite vaidmenis ir kuo atidžiau jo vykdykite. Nepanikuokite. Tai tik pablogins situaciją. Piniginėje turėjau kontaktinius numerius, jei negalėčiau jų pasiekti iš telefono dėl gedimų. Tai senamadiška.  

  • Sulaikyti pažeidimą. Priklausomai nuo to, kaip veikia kazino, yra įvairių būdų tai padaryti, tačiau paprastai visada rekomenduoju atjungti tinklą ir, jei galite, palikti įjungtus automatus. Tai padės atlikti tyrimą. Bet jei nesate tikri, visada galite visa tai išjungti, kol gausite daugiau pagalbos. 
  • Kreipkitės į valdžios institucijas. Priklausomai nuo pažeidimo tipo, yra tam tikrų organizacijų, kurių kontaktinė informacija turėtų būti nurodyta dokumente, kaip reaguoti į incidentą, pavyzdžiui, vietinis FTB biuras. 
  • Pasiruoškite paskambinti kelioms kibernetinio saugumo įmonėms, kurios bet kada gali padėti atkurti ir toliau stebėti, ar nėra papildomų grėsmių.
  • Atvirai ir sąžiningai bendraukite su teisiniais darbuotojais, C lygio darbuotojais, suinteresuotosiomis šalimis ir galiausiai savo klientais.
  • Reguliariai atnaujinkite ir peržiūrėkite savo procesus viduje ir pasamdykite trečiosios šalies valdymo auditorių, kad šis peržiūrėtų, pasiūlytų pakeitimus ir išbandytų atkūrimo metodus.
  • Ištirkite kibernetinio saugumo draudimą, kaip jis gali jums padėti ir kas jums tinka.
  • Pasamdykite viešųjų ryšių valdymo įmonę, jei dėl jos pobūdžio bus didelių nuostolių.

Ar technologija gali būti naudojama siekiant sumažinti galimą žalą reputacijai, teisines pasekmes ir reputacijos praradimą?

Iš tikrųjų. Daugelis šių paslaugų yra skirtos jūsų klientams, kurie gali jomis naudotis savo asmeninei ir finansinei informacijai patikrinti ir apsaugoti. Taip pat yra internetinė reputacijos valdymo programinė įranga, kuri gali sekti, kontroliuoti ir pagerinti internetinę reputaciją ir viešąjį įvaizdį internete. 

Kaip naujosios SEC kibernetinio saugumo valdymo taisyklės padidina spaudimą ir priemones, kurias turi įtraukti kazino?

Naujosios SEC kibernetinio saugumo taisyklės taikomos valstybinėms įmonėms. Jame pagrindinis dėmesys skiriamas viešųjų investuotojų apsaugai ir užtikrinama kibernetinio saugumo programa bei pranešama apie esminius pažeidimus. Tačiau kibernetinio saugumo programa ir atitiktis nėra saugumas. 

Tačiau tai gali būti dviašmenis kardas. Kai akcinė bendrovė patiria „esminį“ pažeidimą, ji turi keturias dienas apie tai viešai pranešti. Ransomware gaujos tai žino, o medžiaga šiame kontekste reiškia informaciją, kurią protingas investuotojas laikytų svarbia priimdamas investicinį sprendimą. 

Kalbama ne tik apie klientų duomenis ar duomenis, kurie nebuvo paskelbti viešai. Tai atveria dvi naujas galimybes puolėjams. Prievartavimas. 

1. „Jei nesumokėsite, pateiksime skundą SEC, jei pamiršite“. 

2023 m. išpirkos reikalaujančių programų grupė, žinoma kaip AlphaV ir Blackcat, pateikė skundą SEC prieš savo auką „MeridanLink“, nes ši per keturias reikalaujamas dienas viešai neatskleidė pažeidimo. 

2. „Sumokėkite mums už tai, kas gali būti laikoma esminiu pažeidimu, ir mes tiesiog pasitrauksime ir niekas to niekada neturės žinoti“.

Antrasis metodas vis tiek pažeidžia SEC taisykles, jei buvo pavogti asmens duomenys, tačiau aukai vilioja gėdą išgelbėti neteisėtai ją slepiant arba neskelbiant sumokėtos sumos. RaaS yra verslas ir paprastai, jei jie nesilaiko savo žodžio, ateityje niekas jiems nemokės. Tai suprastas vagių kolektyvas.   

2023 m. matėme keletą didelio atgarsio sulaukusių kazino pažeidimų – ar 2024 m. matysime daugiau ar mažiau? 

Žaidimų pramonės atakų tendenciją sunku numatyti, tačiau 2024 m. kibernetinių atakų daugės. Vis dar vyksta skaitmeninis verslo perėjimas, o naujos technologijos, pvz., AI, padės užpuolikams.

Kai kurios grupės taikosi į pramogų industriją dėl pastarųjų laimėjimų, o kai kurios pasikeis. Tikslai paprastai yra lengvesni. Kuo sunkiau jį pažeisti, tuo didesnė tikimybė, kad jie ieškos paprastesnio tikslo.

Bendrinti per
Facebook
X („Twitter“)
"LinkedIn
Maišyti
Pinterest
Tumblr
"Skype"
Buferio
kišenė
vkontakte
kalbėti
Xing
reddit
linija
Flipboard
Mano erdvė
Skanus
Amazonė
Digg
Evernote
"Blogger"
LiveJournal
"Baidu"
MEWE
Newsvine
Yummly
"Yahoo"
WhatsApp
Viber
SMS
Telegram
"Facebook Messenger"
Kaip
El.pašto adresas
spausdinti
Kopijuoti nuorodą
Nukopijuoti nuorodą
kopijaNukopijuotas