[bsa_pro_ad_space id=1 länk=samma] [bsa_pro_ad_space id=2]

Gå till innehåll

Puls

Cybersäkerhet: misslyckas med att förbereda...

By - 14 maj 2024

Spelindustrin, liksom många andra branscher, hanterar ett ökat tryck på juridiska rådgivare att ge vägledning i denna allt mer komplexa reglerings- och riskmiljö. Scott Melnick, chef för säkerhetsforskning och utveckling på Bulletproof, ett GLI-företag, delar med sig av sin expertis om IT-åtgärder som kasinon bör implementera för att försöka förhindra cyberattacker och hur man hanterar nedfallet om en sådan skulle inträffa.

Är cyberintrång nu oundvikliga? Och varför är detta den nuvarande situationen?

Ja. Identity Theft Resource Center (ITRC) rapporterar att incidenter med identitetsstöld ökade med 78 procent från 2022 till 2023 och det visar inga tecken på att stoppa. Detta berodde delvis på förändringen i affärspraxis och uppkomsten av stora nya marknader under pandemin, som att arbeta hemifrån, onlinespel, leveranstjänster och mer. 

Vilka är de enheter som försöker bryta mot kasinons digitala försvar? Vilka är deras motiv?

För närvarande mestadels Ransomware as a Service (RaaS) som fungerar oberoende och säljer/förmedlar sina tjänster till angripare som redan har fått tillgång eller till och med insiderhot som en anställd inom organisationen kan ge tillgång till RaaS. 

Deras motivation är mest ekonomisk men kan också relateras till missnöjda anställda. 2020 erbjöds en Telsa-anställd 1 miljon dollar för att implantera ransomware. 

Vilka är metoderna för vilka dåliga skådespelare försöker/och lyckas penetrera kasinon?

Det finns några metoder idag som jag har sett klienter bli kränkta. En är bristen på säkerhetskorrigeringar och felkonfigurationer som låter angripare komma åt kasinonätverken via vpn/brandvägg, lokala servrar eller en anställds system. 

Den nuvarande trenden är dock social ingenjörskonst som kommer som Phishing där angriparen skickar en sårbarhet/länk via e-post som kan riktas mot en specifik individ (spear phishing) eller skickas till så många personer som möjligt inom organisationen. 

Social ingenjörsteknik via telefon för att få åtkomst från användare eller helpdesk-anställda är också på uppgång som vi såg med MGM-överträdelsen. Detta är mer effektivt eftersom organisationer kan spendera miljoner på cybersäkerhet, men det kan störtas av en anställd.

Vilken typ av skada kan sådana överträdelser orsaka?

Ett brott kommer att orsaka affärsskador på flera nivåer. Att inte bara betala hundratusentals till miljoner i ransomware utan även ekonomisk förlust kan komma från att kasinogolvet, hotell och onlinespel är offline i flera veckor. Beroende på typen av intrång och om kunddata eventuellt har stulits kan det inte bara skada ditt varumärke och kundlojalitet utan leda till flera år av stämningar mot fastigheten. 

Varför är kasinoförsvar otillräckligt för att avvärja sådana attacker?

Försvaret och problemen är inte annorlunda än något annat större företag eller statlig myndighet. De flesta företag såväl som kasinon gillar att göra det minimum som krävs för att klara sig och även om det fortfarande är en bra standard täcker det inte tillräckligt. Detta beror på att landskapet av attacker rör sig snabbare än lokala bestämmelser. Företag vill vara först på marknaden, optimera vinsten snabbt med risk för säkerhet och deras applikationsstabilitet. De spelar. 

En annan utmaning är den ekonomiska pressen och försöket att arbeta med minimala resurser som kan göra cybersäkerhet mindre prioriterad och leda till större ekonomiska problem senare. 

Vilka IT-åtgärder bör kasinon vidta för att försöka förhindra sådana attacker?

Det finns många saker att nämna, men kasinon måste följa en säkerhetsstrategi på flera nivåer. 

  • Säkerheten måste vara lager i dessa tider. Du kan inte lita på bara brandväggar och din perimetersäkerhet längre. Du måste lägga till fler säkerhetsfunktioner som multifaktorautentisering, slutpunktsskydd, e-postskydd, datakryptering och anlita ett tredjepartssäkerhetsoperationscenter.
  • Frekventa cybersäkerhetstester av tredje part. IT-avdelningar bör göra detta själva alltid och konstant, men på grund av partiskhet är tredjepartskontroller ett måste och en standardmässig bästa praxis. I vissa fall krävs det. Socialingenjörstestning bör också göras av samma testföretag eller ett internt säkerhetsteam som ständigt kommer att hålla anställda på tårna och mäta din framgångsfrekvens för utbildning. 
  • Företagskultur, utbildning och finansiering. Anställda är sårbara för social ingenjörskonst om C-nivån och högsta ledningen har en dålig kultur. Det bör finnas tydliga riktlinjer och godkännande från ledarskapet att det inte kommer att få några konsekvenser för att följa proceduren och anställda ska känna sig bekväma med att säga nej. Detta inkluderar C-Level som vill vara undantagna från företagspolicy såsom multi-factor-autentisering, lösenord, etc. 
  • Nätfiske- och Vishing-utbildning för alla anställda bör vara en normal praxis. Slutligen, finansiera din IT-avdelning och håll dem nöjda, belönade och ge dem den utbildning och de verktyg de behöver för att enkelt skydda verksamheten. Säkerheten måste vara lager i dessa tider. Du kan inte bara lita på brandväggar och din perimetersäkerhet. Du måste lägga till fler säkerhetsfunktioner som multifaktorautentisering, slutpunktsskydd, e-postskydd, datakryptering och ett säkerhetsoperationscenter.

Vilka är de bästa metoderna när det oundvikliga inträffar – hur ska nedfallet hanteras?

Det är en bra fråga. Katastrofplanering och budget är viktiga såväl som ditt försvar. Hur du hanterar ett intrång kan påverka kostnaden från tusentals till miljoner dollar. 

Ha en plan för hur du ska reagera på en incident, tilldela roller och följ den så noga som möjligt. Få inte panik. Det kommer bara att förvärra situationen. Jag brukade ha kontaktnummer i min plånbok ifall jag inte kunde komma åt dem från min telefon på grund av avbrott. Det är gammaldags.  

  • Innehåll brottet. Det finns olika sätt att göra detta beroende på hur casinot drivs, men generellt rekommenderar jag alltid att koppla bort nätverket och ha kvar maskinerna på om du kan. Detta kommer att hjälpa utredningen. Men om du inte är säker kan du alltid stänga av allt tills du kan få mer hjälp. 
  • Kontakta myndigheterna. Beroende på typen av intrång, finns det vissa organisationer som du bör ha deras kontaktinformation i dokumentet för hur du ska svara på en incident, till exempel ditt lokala FBI-kontor. 
  • Ha några cybersäkerhetsföretag redo att ringa som kan komma in för att hjälpa till när som helst för att hjälpa till med återställning och ytterligare övervakning av ytterligare hot.
  • Kommunicera öppet och ärligt med din juridiska personal, C-nivå och intressenter och så småningom dina kunder.
  • Uppdatera och granska dina processer internt regelbundet och anlita en extern revisor för att granska, föreslå ändringar och testa dina återställningsmetoder.
  • Undersök cybersäkerhetsförsäkring, hur den kan hjälpa dig och vad som passar dig.
  • Anlita ett PR-företag om nedfallet kommer att bli stort på grund av dess natur.

Kan teknik användas för att mildra den potentiella skadan på rykte, rättsliga konsekvenser och förlust av rykte?

Verkligen. Många av dessa tjänster är designade för dina kunder, som kan använda dem för att kontrollera och skydda deras personliga och finansiella information. Det finns också programvara för Online Reputation Management som kan spåra, kontrollera och förbättra online-rykte och offentliga image på internet. 

Hur bidrar de nya SEC Cybersecurity Governance-reglerna till det tryck och de åtgärder som kasinon måste införliva?

De nya SEC Cybersecurity-reglerna gäller för publika företag. Den fokuserar på att skydda offentliga investerare och tillhandahåller garantier för ett cybersäkerhetsprogram och rapportering av väsentliga intrång. Men ett cybersäkerhetsprogram och efterlevnad är inte lika med säkerhet. 

Det kan dock vara ett tveeggat svärd. När ett publikt företag drabbas av ett brott som är "väsentligt" har de fyra dagar på sig att offentliggöra det. Ransomware-gäng vet detta, och material i detta sammanhang betyder information som en rimlig investerare skulle anse vara viktig för att fatta ett investeringsbeslut. 

Det handlar inte enbart om kunddata eller data som inte har blivit offentliga. Detta skapar två nya möjligheter för angripare. Utpressning. 

1. "Om du inte betalar kommer vi att lämna in ett klagomål till SEC om du har glömt." 

År 2023 lämnade ransomware-gruppen känd som AlphaV och Blackcat in ett klagomål till SEC mot sitt offer MeridanLink för att ha underlåtit att offentligt avslöja intrånget inom de fyra dagar som krävs. 

2. "Betala oss strax under radarn för vad som kan anses vara ett väsentligt intrång, så går vi bara bort och ingen kommer någonsin behöva veta."

Den andra metoden bryter fortfarande mot SEC-reglerna om någon personlig information stulits men erbjuder frestelsen för offret att rädda pinan genom att olagligt dölja den eller inte publicera det betalade beloppet. RaaS är ett företag och vanligtvis kommer ingen att betala dem i framtiden om de inte håller sitt ord. Det är ett förstått kollektiv bland tjuvar.   

Vi såg flera uppmärksammade kasinointrång under 2023 – kommer vi att se mer eller mindre under 2024? 

Trenden med attacker från spelindustrin är svår att förutse, men cyberattacker kommer att växa över hela linjen 2024. Vi genomgår fortfarande en digital övergång av att göra affärer och då kommer ny teknik som AI att hjälpa angriparna.

Vissa grupper kommer att rikta sig mot underhållningsindustrin på grund av sina senaste vinster, och vissa kommer att förändras. Mål är vanligtvis de enkla. Ju svårare det är att bryta desto mer sannolikt kommer de att leta efter ett enklare mål.

Dela via
Kopiera länk