[bsa_pro_ad_space id=1 veza=isto] [bsa_pro_ad_space id=2]

Skip to content

Puls

Kibernetička sigurnost: ne pripremiti se...

By - 14. svibnja 2024. godine

Industrija igara na sreću, kao i mnoge druge industrije, suočava se s povećanim pritiskom na pravne savjetnike da daju smjernice u ovom sve složenijem regulatornom i rizičnom okruženju. Scott Melnick, voditelj sigurnosnog istraživanja i razvoja u tvrtki Bulletproof, GLI, dijeli svoje stručno znanje o IT mjerama koje bi kockarnice trebale provoditi kako bi pokušale spriječiti kibernetičke napade i kako se nositi s posljedicama ako do njih dođe.

Jesu li cyber upadi sada neizbježni? I zašto je ovo sadašnja situacija?

Da. Resursni centar za krađu identiteta (ITRC) izvješćuje da su incidenti krađe identiteta porasli za 78 posto od 2022. do 2023. i ne pokazuju znakove prestanka. To je djelomično zbog promjene u poslovnim praksama i pojave velikih novih tržišta tijekom pandemije, kao što su rad od kuće, online igre, usluge dostave i još mnogo toga. 

Tko su entiteti koji pokušavaju probiti digitalnu obranu kockarnica? Koje su njihove motivacije?

U ovom trenutku uglavnom Ransomware kao usluga (RaaS) koji rade neovisno i prodaju/posreduju svoje usluge napadačima koji su već dobili pristup ili čak insajderskim prijetnjama kojima zaposlenik unutar organizacije može omogućiti pristup RaaS-u. 

Njihova motivacija je uglavnom financijska, ali može biti povezana i s nezadovoljnim zaposlenicima. U 2020. zaposleniku Telse ponuđeno je milijun dolara za ugradnju ransomwarea. 

Koje su metode pomoću kojih loši akteri pokušavaju/i uspijevaju prodrijeti u kasina?

Danas postoji nekoliko metoda pomoću kojih sam vidio da su klijenti probijeni. Jedan je nedostatak sigurnosnih zakrpa i pogrešne konfiguracije koje dopuštaju napadačima pristup mrežama kasina putem vpn-a/vatrozida, lokalnih poslužitelja ili sustava zaposlenika. 

Međutim, trenutni trend je društveni inženjering koji dolazi kao Phishing gdje napadač šalje ranjivost/vezu putem e-pošte koja može biti usmjerena na određenog pojedinca (spear phishing) ili poslana što većem broju ljudi unutar organizacije. 

Tehnike društvenog inženjeringa putem telefona za dobivanje pristupa od korisnika ili zaposlenika službe za pomoć također su u porastu kao što smo vidjeli s kršenjem MGM-a. To je učinkovitije jer organizacije mogu potrošiti milijune na kibernetičku sigurnost, ali je može srušiti jedan zaposlenik.

Kakvu štetu mogu uzrokovati takva kršenja?

Kršenje će uzrokovati poslovnu štetu na više razina. Ne samo plaćanje stotina tisuća do milijuna u ransomwareu, već i financijski gubitak može nastati zbog toga što su Casino Floor, Hotel i Online igranje tjednima izvan mreže. Ovisno o vrsti kršenja i ako su korisnički podaci eventualno ukradeni, to ne može samo naštetiti vašoj robnoj marki i lojalnosti kupaca, već dovodi do višegodišnjih tužbi protiv imovine. 

Zašto je obrana kasina nedovoljna za obranu takvih napada?

Obrane i problemi ne razlikuju se od bilo koje druge velike korporacije ili vladine agencije. Većina korporacija, kao i kockarnica, vole učiniti minimum koji je potreban da bi prošli i iako je to još uvijek dobar standard, ne pokriva dovoljno. To je zato što se krajolik napada kreće brže od lokalnih propisa. Tvrtke žele biti prve na tržištu, brzo optimizirati profit uz rizik sigurnosti i stabilnosti svojih aplikacija. Oni se kockaju. 

Drugi izazov je financijski pritisak i pokušaj poslovanja s minimalnim resursima koji kibersigurnost mogu učiniti manje prioritetom i kasnije dovesti do većih financijskih problema. 

Koje bi IT mjere kockarnice trebale poduzeti kako bi pokušale spriječiti takve napade?

Ima mnogo toga za spomenuti, ali kockarnice moraju slijediti sigurnosni pristup na više razina. 

  • Sigurnost treba biti slojevita u ovim vremenima. Više se ne možete osloniti samo na vatrozidove i sigurnost perimetra. Morate dodati više sigurnosnih značajki kao što su provjera autentičnosti s više faktora, zaštita krajnje točke, zaštita e-pošte, šifriranje podataka i angažirati sigurnosni operativni centar treće strane.
  • Česti testovi kibernetičke sigurnosti od strane trećih strana. IT odjeli bi to sami trebali raditi uvijek i stalno, ali zbog pristranosti provjere treće strane su obavezne i standardna najbolja praksa. U nekim slučajevima, to je potrebno. Također, testiranje socijalnog inženjeringa treba provoditi ista tvrtka za testiranje ili interni sigurnosni tim koji će stalno držati zaposlenike na oprezu i mjeriti vašu stopu uspješnosti u obrazovanju. 
  • Kultura tvrtke, obuka i financiranje. Zaposlenici su osjetljivi na društveni inženjering ako C-razina i viši menadžment imaju lošu kulturu. Trebaju postojati jasne politike i odobrenje vodstva da neće biti posljedica za poštivanje procedure, a zaposlenici bi se trebali osjećati ugodno reći ne. To uključuje C-Level koji želi biti izuzet od korporativne politike kao što je autentifikacija s više faktora, lozinke itd. 
  • Phishing i Vishing obuka za sve zaposlenike trebala bi biti normalna praksa. Na kraju, financirajte svoj IT odjel i neka budu zadovoljni, nagrađeni i dajte im obuku i alate koji su im potrebni za jednostavnu zaštitu poslovanja. Sigurnost treba biti slojevita u ovim vremenima. Ne možete se osloniti samo na vatrozid i svoju perimetarsku sigurnost. Morate dodati više sigurnosnih značajki kao što su višestruka provjera autentičnosti, zaštita krajnje točke, zaštita e-pošte, enkripcija podataka i sigurnosni operativni centar.

Koje su najbolje prakse nakon što se neizbježno dogodi – kako se nositi s posljedicama?

To je super pitanje. Planiranje katastrofe i proračun bitni su kao i vaša obrana. Način na koji se nosite s kršenjem može utjecati na troškove od tisuća do milijuna dolara. 

Imajte plan kako reagirati na incident, dodijelite uloge i slijedite ga što je moguće bliže. Nemojte paničariti. To će samo pogoršati situaciju. Prije sam u novčaniku imao brojeve za kontakt u slučaju da im ne mogu pristupiti s telefona zbog kvarova. To je staromodno.  

  • Zaustavite kršenje. Postoje različiti načini da to učinite ovisno o tome kako se kockarnica vodi, ali općenito uvijek preporučujem da odspojite mrežu i ostavite strojeve uključenima ako možete. Ovo će pomoći istrazi. Ali ako niste sigurni, uvijek možete sve to isključiti dok ne dobijete dodatnu pomoć. 
  • Kontaktirajte vlasti. Ovisno o vrsti kršenja, postoje neke organizacije čiji biste kontakt podatke trebali imati u dokumentu kako biste odgovorili na incident, kao što je vaš lokalni FBI ured. 
  • Imajte spremne nazvati neke tvrtke za kibernetičku sigurnost koje mogu priskočiti u pomoć u bilo kojem trenutku i pomoći u oporavku i daljnjem praćenju dodatnih prijetnji.
  • Otvoreno i pošteno komunicirajte sa svojim pravnim osobljem, C-razinom i dionicima, a na kraju i svojim klijentima.
  • Redovito interno ažurirajte i pregledajte svoje procese i angažirajte revizora za upravljanje treće strane da pregleda, predloži promjene i testira vaše metode oporavka.
  • Istražite osiguranje kibernetičke sigurnosti, kako vam može pomoći i što vam odgovara.
  • Angažirajte tvrtku za upravljanje odnosima s javnošću ako će posljedica biti velika zbog svoje prirode.

Može li se tehnologija koristiti za ublažavanje potencijalnih šteta za ugled, pravnih posljedica i gubitka ugleda?

Doista. Mnoge od ovih usluga osmišljene su za vaše klijente, koji ih mogu koristiti za provjeru i zaštitu svojih osobnih i financijskih podataka. Postoji i softver za upravljanje internetskom reputacijom koji može pratiti, kontrolirati i poboljšati mrežnu reputaciju i javnu sliku na internetu. 

Kako nova SEC-ova pravila o upravljanju kibersigurnošću povećavaju pritiske i mjere koje kockarnice moraju uključiti?

Nova pravila SEC-a o kibersigurnosti primjenjuju se na javna poduzeća. Usredotočen je na zaštitu javnih ulagača i pruža jamstvo programa kibernetičke sigurnosti i izvješćivanje o materijalnim povredama. Ali program kibernetičke sigurnosti i usklađenost ne znače sigurnost. 

Međutim, to može biti dvosjekli mač. Kada javna tvrtka pretrpi povredu koja je 'materijalna', imaju četiri dana da to javno prijave. Ransomware bande to znaju, a materijal u ovom kontekstu znači informacije koje bi razuman investitor smatrao važnima pri donošenju odluke o ulaganju. 

Ne radi se samo o podacima o kupcima ili podacima koji nisu javno objavljeni. To stvara dvije nove prilike za napadače. Iznuđivanje. 

1. “Ako ne platite, podnijet ćemo žalbu SEC-u u slučaju da ste zaboravili.” 

Godine 2023. grupa ransomwarea poznata kao AlphaV i Blackcat podnijela je žalbu SEC-u protiv svoje žrtve MeridanLink jer nije javno otkrila kršenje u roku od četiri potrebna dana. 

2. "Platite nam samo ispod radara onoga što bi se moglo smatrati materijalnim kršenjem, a mi ćemo jednostavno otići i nitko neće morati znati."

Druga metoda i dalje krši pravila SEC-a ako su neki osobni podaci ukradeni, ali nudi žrtvi iskušenje da spasi neugodnosti nezakonitim skrivanjem ili neobjavljivanjem plaćenog iznosa. RaaS je posao i obično ako ne drže do svoje riječi, nitko im nikada neće platiti u budućnosti. To je shvaćen kolektiv među lopovima.   

Vidjeli smo nekoliko visokoprofilnih provala u kockarnice u 2023. – hoćemo li vidjeti više ili manje u 2024.? 

Teško je predvidjeti trend napada u industriji igara, ali kibernetički napadi će 2024. rasti posvuda. Još uvijek prolazimo kroz digitalnu tranziciju poslovanja i tada će nove tehnologije poput umjetne inteligencije pomoći napadačima.

Neke će skupine ciljati na industriju zabave zbog svojih nedavnih pobjeda, a neke će se promijeniti. Mete su obično one lake. Što je teže probiti to je vjerojatnije da će tražiti jednostavniju metu.

Podijelite putem
Kopiraj link