[bsa_pro_ad_space id=1 σύνδεσμος=ίδιος] [bsa_pro_ad_space id=2]

Μετάβαση στο περιεχόμενο

Σφυγμός

Κυβερνοασφάλεια: αποτυχία προετοιμασίας…

By - 14 Μαΐου 2024

Η βιομηχανία τυχερών παιχνιδιών, όπως και πολλές άλλες βιομηχανίες, αντιμετωπίζει αυξημένη πίεση στους νομικούς συμβούλους να παρέχουν καθοδήγηση σε αυτό το όλο και πιο περίπλοκο ρυθμιστικό περιβάλλον και περιβάλλον κινδύνου. Ο Scott Melnick, Principal Security Research & Development στην Bulletproof, μια εταιρεία GLI, μοιράζεται την τεχνογνωσία του σχετικά με τα μέτρα πληροφορικής που πρέπει να εφαρμόζουν τα καζίνο για να προσπαθήσουν να αποτρέψουν τις κυβερνοεπιθέσεις και πώς να χειριστούν τις επιπτώσεις σε περίπτωση που συμβεί κάτι τέτοιο.

Είναι πλέον αναπόφευκτες οι παραβιάσεις στον κυβερνοχώρο; Και γιατί είναι αυτή η σημερινή κατάσταση;

Ναί. Το Identity Theft Resource Center (ITRC) αναφέρει ότι τα περιστατικά κλοπής ταυτότητας αυξήθηκαν κατά 78 τοις εκατό από το 2022 έως το 2023 και δεν δείχνει σημάδια διακοπής. Αυτό οφείλεται εν μέρει στη μετατόπιση των επιχειρηματικών πρακτικών και στην εμφάνιση μεγάλων νέων αγορών κατά τη διάρκεια της πανδημίας, όπως η εργασία από το σπίτι, τα διαδικτυακά παιχνίδια, οι υπηρεσίες παράδοσης και πολλά άλλα. 

Ποιοι είναι οι οντότητες που προσπαθούν να παραβιάσουν την ψηφιακή άμυνα των καζίνο; Ποια είναι τα κίνητρά τους;

Αυτή τη στιγμή, ως επί το πλείστον, το Ransomware as a Service (RaaS) λειτουργεί ανεξάρτητα και πωλεί/διαμεσολαβεί τις υπηρεσίες του σε εισβολείς που έχουν ήδη αποκτήσει πρόσβαση ή ακόμα και εσωτερικές απειλές στις οποίες ένας υπάλληλος εντός του οργανισμού μπορεί να παρέχει πρόσβαση στο RaaS. 

Το κίνητρό τους είναι κυρίως οικονομικό, αλλά μπορεί επίσης να σχετίζεται με δυσαρεστημένους υπαλλήλους. Το 2020 προσφέρθηκε σε έναν υπάλληλο της Telsa 1 εκατομμύριο δολάρια για να εμφυτεύσει ransomware. 

Ποιες είναι οι μέθοδοι με τις οποίες οι κακοί ηθοποιοί επιχειρούν/και καταφέρνουν να διεισδύσουν στα καζίνο;

Υπάρχουν μερικές μέθοδοι σήμερα με τις οποίες έχω δει πελάτες να παραβιάζονται. Το ένα είναι η έλλειψη ενημερώσεων κώδικα ασφαλείας και εσφαλμένες διαμορφώσεις που επιτρέπουν στους εισβολείς να έχουν πρόσβαση στα δίκτυα του καζίνο μέσω vpn/τείχους προστασίας, διακομιστών εσωτερικής εγκατάστασης ή συστήματος υπαλλήλου. 

Ωστόσο, η τρέχουσα τάση είναι η κοινωνική μηχανική που έρχεται ως ηλεκτρονικό "ψάρεμα" όπου ο εισβολέας στέλνει μια ευπάθεια/σύνδεσμο μέσω email που μπορεί να στοχεύσει σε ένα συγκεκριμένο άτομο (ψάρεμα με δόρυ) ή να σταλεί σε όσο το δυνατόν περισσότερα άτομα εντός του οργανισμού. 

Οι τεχνικές κοινωνικής μηχανικής μέσω τηλεφώνου για πρόσβαση από χρήστες ή υπαλλήλους του γραφείου υποστήριξης είναι επίσης σε άνοδο, όπως είδαμε με την παραβίαση του MGM. Αυτό είναι πιο αποτελεσματικό επειδή οι οργανισμοί μπορούν να ξοδέψουν εκατομμύρια για την ασφάλεια στον κυβερνοχώρο, αλλά μπορεί να ανατραπεί από έναν υπάλληλο.

Τι είδους ζημιά μπορούν να προκαλέσουν τέτοιες παραβιάσεις;

Μια παραβίαση θα προκαλέσει ζημιά στην επιχείρηση σε πολλαπλά επίπεδα. Όχι μόνο πληρώνοντας εκατοντάδες χιλιάδες έως εκατομμύρια σε ransomware, αλλά και οικονομικές ζημιές μπορεί να προκύψουν από το ότι το Casino Floor, το ξενοδοχείο και το διαδικτυακό παιχνίδι είναι εκτός σύνδεσης για εβδομάδες. Ανάλογα με τον τύπο της παραβίασης και εάν πιθανώς κλάπηκαν δεδομένα πελατών, δεν μπορεί μόνο να βλάψει την επωνυμία σας και την πίστη των πελατών σας, αλλά να οδηγήσει σε πολυετείς αγωγές κατά της ιδιοκτησίας. 

Γιατί οι άμυνες του καζίνο είναι ανεπαρκείς για να αποτρέψουν τέτοιες επιθέσεις;

Οι άμυνες και τα προβλήματα δεν διαφέρουν από οποιαδήποτε άλλη μεγάλη εταιρεία ή κυβερνητικό οργανισμό. Στις περισσότερες εταιρείες καθώς και στα καζίνο αρέσει να κάνουν το ελάχιστο που απαιτείται για να τα βγάλουν πέρα ​​και ενώ εξακολουθεί να είναι ένα καλό πρότυπο, δεν καλύπτει αρκετά. Αυτό συμβαίνει επειδή το τοπίο των επιθέσεων κινείται πιο γρήγορα από τους τοπικούς κανονισμούς. Οι επιχειρήσεις θέλουν να είναι οι πρώτες στην αγορά, να βελτιστοποιούν γρήγορα τα κέρδη τους με κίνδυνο την ασφάλεια και τη σταθερότητα της εφαρμογής τους. Παίζουν τζόγο. 

Μια άλλη πρόκληση είναι η οικονομική πίεση και η προσπάθεια λειτουργίας με ελάχιστους πόρους που μπορεί να καταστήσει την ασφάλεια στον κυβερνοχώρο λιγότερο προτεραιότητα και να οδηγήσει σε μεγαλύτερα οικονομικά προβλήματα αργότερα. 

Ποια είναι τα μέτρα πληροφορικής που πρέπει να λάβουν τα καζίνο για να προσπαθήσουν να αποτρέψουν τέτοιες επιθέσεις;

Υπάρχουν πολλά πράγματα που πρέπει να αναφέρουμε, αλλά τα καζίνο πρέπει να ακολουθούν μια προσέγγιση ασφάλειας πολλαπλών επιπέδων. 

  • Η ασφάλεια πρέπει να στρωθεί σε αυτές τις στιγμές. Δεν μπορείτε πλέον να βασίζεστε μόνο σε τείχη προστασίας και στην περιμετρική σας ασφάλεια. Πρέπει να προσθέσετε περισσότερες δυνατότητες ασφαλείας, όπως έλεγχο ταυτότητας πολλαπλών παραγόντων, προστασία τελικού σημείου, προστασία email, κρυπτογράφηση δεδομένων και να προσλάβετε ένα κέντρο λειτουργίας ασφαλείας τρίτου μέρους.
  • Συχνές δοκιμές κυβερνοασφάλειας από τρίτους. Τα τμήματα πληροφορικής θα πρέπει να το κάνουν αυτό τα ίδια πάντα και συνεχώς, αλλά λόγω μεροληψίας οι έλεγχοι τρίτων είναι απαραίτητη και τυπική βέλτιστη πρακτική. Σε ορισμένες περιπτώσεις, απαιτείται. Επίσης, οι δοκιμές κοινωνικής μηχανικής θα πρέπει να γίνονται από την ίδια εταιρεία δοκιμών ή μια ομάδα εσωτερικής ασφάλειας που θα κρατά συνεχώς τους υπαλλήλους σε εγρήγορση και θα μετράει το ποσοστό επιτυχίας της εκπαίδευσής σας. 
  • Εταιρική κουλτούρα, εκπαίδευση και χρηματοδότηση. Οι εργαζόμενοι είναι ευάλωτοι στην κοινωνική μηχανική εάν το επίπεδο C και η ανώτερη διοίκηση έχουν κακή κουλτούρα. Θα πρέπει να υπάρχουν σαφείς πολιτικές και έγκριση από την ηγεσία ότι δεν θα υπάρξουν επιπτώσεις για την παρακολούθηση της διαδικασίας και οι εργαζόμενοι θα πρέπει να αισθάνονται άνετα να λένε όχι. Αυτό περιλαμβάνει το C-Level που θέλουν να εξαιρεθούν από την εταιρική πολιτική, όπως έλεγχος ταυτότητας πολλαπλών παραγόντων, κωδικούς πρόσβασης κ.λπ. 
  • Η εκπαίδευση στο phishing και στο Vishing για όλους τους υπαλλήλους πρέπει να είναι μια συνήθης πρακτική. Τέλος, χρηματοδοτήστε το τμήμα IT σας και κρατήστε το ικανοποιημένο, επιβραβεύστε τους και δώστε τους την εκπαίδευση και τα εργαλεία που χρειάζονται για να προστατεύσουν εύκολα την επιχείρηση. Η ασφάλεια πρέπει να στρωθεί σε αυτές τις στιγμές. Δεν μπορείτε να βασίζεστε μόνο σε τείχη προστασίας και στην περιμετρική σας ασφάλεια. Πρέπει να προσθέσετε περισσότερες δυνατότητες ασφαλείας, όπως έλεγχο ταυτότητας πολλαπλών παραγόντων, προστασία τελικού σημείου, προστασία email, κρυπτογράφηση δεδομένων και κέντρο λειτουργίας ασφαλείας.

Ποιες είναι οι βέλτιστες πρακτικές όταν συμβεί το αναπόφευκτο – πώς πρέπει να αντιμετωπιστούν οι συνέπειες;

Αυτή είναι μια μεγάλη ερώτηση. Ο σχεδιασμός και ο προϋπολογισμός καταστροφών είναι απαραίτητοι καθώς και οι άμυνές σας. Ο τρόπος με τον οποίο αντιμετωπίζετε μια παραβίαση μπορεί να επηρεάσει το κόστος από χιλιάδες έως εκατομμύρια δολάρια. 

Έχετε ένα σχέδιο για το πώς να ανταποκριθείτε σε ένα περιστατικό, αναθέστε ρόλους και ακολουθήστε το όσο το δυνατόν περισσότερο. Μην πανικοβάλλεστε. Θα επιδεινώσει μόνο την κατάσταση. Είχα στο πορτοφόλι μου αριθμούς επικοινωνίας σε περίπτωση που δεν μπορούσα να έχω πρόσβαση από το τηλέφωνό μου λόγω διακοπών. Αυτό είναι παλιομοδίτικο.  

  • Συγκρατήστε την παραβίαση. Υπάρχουν διάφοροι τρόποι για να το κάνετε αυτό, ανάλογα με τον τρόπο λειτουργίας του καζίνο, αλλά γενικά προτείνω πάντα να αποσυνδέετε το δίκτυο και να διατηρείτε τα μηχανήματα ενεργοποιημένα, αν μπορείτε. Αυτό θα βοηθήσει την έρευνα. Αλλά αν δεν είστε σίγουροι, μπορείτε πάντα να τα απενεργοποιήσετε όλα μέχρι να λάβετε περισσότερη βοήθεια. 
  • Επικοινωνήστε με τις αρχές. Ανάλογα με τον τύπο της παραβίασης, υπάρχουν ορισμένοι οργανισμοί στους οποίους θα πρέπει να έχετε τα στοιχεία επικοινωνίας τους στο έγγραφο για τον τρόπο αντίδρασης σε ένα περιστατικό, όπως το τοπικό γραφείο του FBI. 
  • Έχετε κάποιες εταιρείες ασφάλειας στον κυβερνοχώρο έτοιμες να καλέσουν, οι οποίες μπορούν να σας βοηθήσουν ανά πάσα στιγμή για να βοηθήσουν στην ανάκτηση και την περαιτέρω παρακολούθηση για πρόσθετες απειλές.
  • Επικοινωνήστε ανοιχτά και ειλικρινά με το νομικό προσωπικό σας, το Γ-επίπεδο και τους ενδιαφερόμενους και τελικά τους πελάτες σας.
  • Ενημερώστε και ελέγχετε τις διαδικασίες σας εσωτερικά σε τακτική βάση και προσλάβετε έναν ελεγκτή διακυβέρνησης τρίτου μέρους για να ελέγξει, να προτείνει αλλαγές και να δοκιμάσει τις μεθόδους ανάκτησής σας.
  • Ερευνήστε την ασφάλεια στον κυβερνοχώρο, πώς μπορεί να σας βοηθήσει και τι είναι κατάλληλο για εσάς.
  • Προσλάβετε μια εταιρεία διαχείρισης δημοσίων σχέσεων εάν το αποτέλεσμα θα είναι σημαντικό λόγω της φύσης της.

Μπορεί η τεχνολογία να χρησιμοποιηθεί για τον μετριασμό των πιθανών βλαβών στη φήμη, στις νομικές συνέπειες και στην απώλεια φήμης;

Πράγματι. Πολλές από αυτές τις υπηρεσίες έχουν σχεδιαστεί για τους πελάτες σας, οι οποίοι μπορούν να τις χρησιμοποιήσουν για να ελέγξουν και να προστατεύσουν τα προσωπικά και οικονομικά τους στοιχεία. Υπάρχει επίσης λογισμικό Online Reputation Management που μπορεί να παρακολουθεί, να ελέγχει και να βελτιώνει τη διαδικτυακή φήμη και τη δημόσια εικόνα στο διαδίκτυο. 

Πώς προσθέτουν οι νέοι κανόνες Διακυβέρνησης της SEC για την κυβερνοασφάλεια στις πιέσεις και τα μέτρα που πρέπει να ενσωματώσουν τα καζίνο;

Οι νέοι κανόνες κυβερνοασφάλειας της SEC ισχύουν για τις δημόσιες εταιρείες. Επικεντρώνεται στην προστασία των δημοσίων επενδυτών και παρέχει διασφάλιση ενός προγράμματος κυβερνοασφάλειας και αναφοράς υλικών παραβιάσεων. Αλλά ένα πρόγραμμα κυβερνοασφάλειας και συμμόρφωσης δεν ισοδυναμεί με ασφάλεια. 

Ωστόσο, μπορεί να είναι ένα δίκοπο μαχαίρι. Όταν μια δημόσια εταιρεία υφίσταται μια παραβίαση που είναι «ουσιώδης», έχει τέσσερις ημέρες για να την αναφέρει δημόσια. Οι συμμορίες ransomware το γνωρίζουν αυτό και υλικό σε αυτό το πλαίσιο σημαίνει πληροφορίες που ένας λογικός επενδυτής θα θεωρούσε σημαντικές για τη λήψη μιας επενδυτικής απόφασης. 

Δεν πρόκειται αποκλειστικά για δεδομένα πελατών ή δεδομένα που δεν έχουν δημοσιοποιηθεί. Αυτό δημιουργεί δύο νέες ευκαιρίες για τους επιθετικούς. Εκβιασμός. 

1. "Εάν δεν πληρώσετε, θα υποβάλουμε καταγγελία στην Επιτροπή Κεφαλαιαγοράς σε περίπτωση που το ξεχάσατε." 

Το 2023, η ομάδα ransomware γνωστή ως AlphaV και Blackcat υπέβαλε καταγγελία στην SEC κατά του θύματός τους MeridanLink επειδή δεν αποκάλυψε δημόσια την παραβίαση εντός των τεσσάρων ημερών που απαιτήθηκαν. 

2. «Πληρώστε μας ακριβώς κάτω από το ραντάρ αυτού που θα μπορούσε να θεωρηθεί υλική παραβίαση, και εμείς απλώς φεύγουμε και κανείς δεν θα χρειαστεί να το μάθει ποτέ».

Η δεύτερη μέθοδος εξακολουθεί να παραβιάζει τους κανόνες της SEC σε περίπτωση κλοπής προσωπικών δεδομένων, αλλά προσφέρει στο θύμα τον πειρασμό να σώσει την αμηχανία κρύβοντάς την παράνομα ή μη δημοσιεύοντας το ποσό που καταβλήθηκε. Το RaaS είναι μια επιχείρηση και συνήθως αν δεν τηρήσουν τον λόγο τους, τότε κανείς δεν θα τους πληρώσει ποτέ στο μέλλον. Είναι μια κατανοητή συλλογικότητα μεταξύ των κλεφτών.   

Είδαμε αρκετές παραβιάσεις καζίνο υψηλού προφίλ το 2023 – θα δούμε περισσότερες ή λιγότερες το 2024; 

Η τάση των επιθέσεων της βιομηχανίας τυχερών παιχνιδιών είναι δύσκολο να προβλεφθεί, αλλά οι επιθέσεις στον κυβερνοχώρο θα αυξηθούν παντού το 2024. Εξακολουθούμε να διανύουμε μια ψηφιακή μετάβαση στην επιχειρηματική δραστηριότητα και στη συνέχεια νέες τεχνολογίες όπως η τεχνητή νοημοσύνη θα βοηθήσουν τους εισβολείς.

Ορισμένες ομάδες θα στοχεύουν στη βιομηχανία του θεάματος λόγω των πρόσφατων νικών τους, και κάποιες θα αλλάξουν. Οι στόχοι είναι συνήθως οι εύκολοι. Όσο πιο δύσκολο είναι να παραβιαστεί, τόσο πιο πιθανό είναι να αναζητήσουν έναν απλούστερο στόχο.

Μοιραστείτε μέσω
Αντιγραφή συνδέσμου