Баланс между безопасностью, конфиденциальностью и устойчивостью к киберугрозам

David Gravel November 12, 2024
Баланс между безопасностью, конфиденциальностью и устойчивостью к киберугрозам

В эпоху, когда киберугрозы стали повседневной реальностью, индустрия iGaming должна адаптировать свои подходы к безопасности. Первый день конференции SiGMA Европа собрал экспертов, чтобы обсудить эти вызовы и поделиться практическими методами защиты бизнеса в цифровой среде. Панельная дискуссия на сцене SiGMA объединила лидеров в области кибербезопасности и юридического регулирования, которые дали ценные рекомендации по защите от современных угроз.

Хармен Бреннинкмейер, управляющий партнер NYCE International, начавший дискуссию, заявил:
«У нас интересная панель. Мы сосредоточимся на событиях в области кибербезопасности, особенно на фишинговых атаках и других угрозах. Это важно не только для IT-отдела, но и для всех, кто управляет операциями, чтобы понять серьезность ситуации».

В дискуссии приняли участие Питер Уилсон, генеральный директор PWL Legal; Франческа Заммит, юрист и консультант NOUV; Крис Галлоуэй, руководитель отдела iGaming Product в Sumsub, и Иван Спитери, директор по технологиям и услугам подтверждения в BDO Malta. Спикеры затронули широкий круг вопросов — от фишинговых атак до угроз, спонсируемых государствами. Каждый участник поделился своим мнением о том, что должно стать приоритетом для руководителей в условиях постоянно меняющегося ландшафта киберугроз.

Киберугрозы в реальном мире

Питер Уилсон, юрист с более чем 30-летним опытом работы в области регулирования и защиты, рассказал историю, ярко иллюстрирующую риски недостаточной бдительности.

«Представьте себе, — начал он. — Вы — довольно одинокий сотрудник, работающий в одном из 70 филиалов крупной организации с 20 000 сотрудников. Пятница. Вы получаете очередное резюме по электронной почте в ответ на вакансию. Не задумываясь, открываете файл и уходите на выходные».

Уилсон описал развитие событий после этого наглядного примера: «В течение выходных сотрудники IT-отдела заметили подозрительную активность в сети, но не придали этому особого значения. В понедельник вложенный файл оказался троянской программой, которая активировала вредоносное ПО. Это заблокировало доступ ко всей системе, зашифровало данные о зарплате и сделало недоступными персональные данные всех 20 000 сотрудников».

Злоумышленники потребовали выкуп в размере 10 миллионов фунтов стерлингов, парализовав деятельность компании. «К счастью, — продолжил Уилсон, — один из сотрудников IT-отдела успел создать частичную резервную копию системы в начале той недели. Благодаря этому организации удалось восстановить систему, но лишь по счастливой случайности».

Эта история Уилсона подчеркивает критическую важность регулярного мониторинга сети, проведения проверок уязвимостей, а также обучения сотрудников. Эти меры способны предотвратить такие разрушительные инциденты и защитить бизнес от серьезных последствий.

Человеческий фактор в кибербезопасности

Хармен обратился к Крису Галлоуэю с вопросом о том, как компании могут обеспечить бдительность тысяч сотрудников в отношении киберугроз.

«Обучение — это только одна из составляющих», — отметил Галлоуэй. — «История, которую рассказал Питер, напоминает мне случай с атаками вредоносного ПО на MGM и Caesars. Caesars пришлось заплатить миллионы, чтобы избежать длительного простоя. Это произошло в сентябре 2023 года. С тех пор искусственный интеллект значительно продвинулся, делая атаки еще более сложными и трудно выявляемыми».

Галлоуэй подчеркнул, что уверенность генерального директора в полной защищенности компании часто может быть признаком чрезмерной самоуверенности или недостаточной информированности. «Можно ли прийти к генеральному директору и уверенно заявить, что все под контролем? В идеальном мире — да. Но с учетом того, как стремительно развиваются угрозы, связанные с искусственным интеллектом, это крайне сложно. На самом деле, если кто-то утверждает, что все под полным контролем, это скорее повод для тревоги — он, возможно, не до конца осознает масштабы угрозы».

Когда речь зашла о том, кто должен нести ответственность за защиту компании, Галлоуэй выразил уверенность: «Ответственность лежит на руководстве высшего звена. IT-специалисты отлично знают свое дело, но если руководство не уделяет должного внимания подготовке к новым угрозам, это серьезный просчет».

Нулевое доверие и стратегия безопасности с учетом культурных особенностей

Франческа Заммит поделилась своим взглядом на внедрение безопасности на каждом организационном уровне с помощью модели нулевого доверия. «На высшем уровне нам необходимо формировать культуру кибербезопасности», – заявила она. «Речь идет не только об IT-команде. Мы должны внедрять подход “никогда не доверяй, всегда проверяй”».

Заммит отметила, что такой подход меняет отношение к привычным задачам, включая управление правами доступа. «Этот образ мышления требует постоянного скепсиса и тщательной проверки. Для IT-команд это означает регулярный пересмотр прав доступа и непрерывный мониторинг системы».

Крис Галлоуэй поддержал её мнение, проведя метафору с миром автогонок: «Представьте себе команду Формулы-1. Нельзя ожидать, что опытный механик с десятилетним стажем сможет справиться с новейшими технологиями. Руководители должны осознавать важность привлечения новых специалистов».

Риски социальной инженерии

Питер Уилсон выделил уязвимость IT-отделов перед методами социальной инженерии, поделившись реальным примером:

«В одном случае два директора игорной компании убедили сотрудника IT-отдела предоставить им доступ к системе. Впоследствии они заблокировали доступ другим директорам, получив полный контроль над системами компании. Этот случай подчеркивает необходимость независимости IT-отдела, чтобы предотвратить подобные манипуляции».

Крис Галлоуэй задал важный вопрос: «Может ли обучение сотрудников создавать ложное чувство безопасности? Например, если кто-то получает инструкции от дипфейка, имитирующего голос руководителя, вероятность доверия к таким инструкциям высока. В таких ситуациях обучение может ли оно, наоборот, сыграть злую шутку?»

Уилсон ответил, акцентируя внимание на важности комплексного подхода: «Идеальных решений не существует», — отметил он. — «Но если в компании действуют продуманные процедуры, есть документированный след операций и четкая демонстрация серьезного отношения к безопасности, это значительно снижает риски серьезных санкций со стороны регуляторов».

Иван Спитери предложил отраслевой подход к обеспечению киберустойчивости: «Игровая индустрия могла бы взять на вооружение опыт энергетического сектора Европы», — сказал он. — «Центры обмена информацией и анализа (ISAC) в энергетике эффективно делятся данными об угрозах. Аналогичное сотрудничество в игорной сфере поможет компаниям предугадывать риски и работать на упреждение».

Спитери также рекомендовал внедрение протоколов защиты данных, использующихся в платежной индустрии. Он пояснил: «Эта стратегия предполагает шифрование конфиденциальных данных отдельно от основной системы. В случае взлома критическая информация остается защищенной».

ИИ и будущее кибербезопасности

Крис Галлоуэй выразил серьезные опасения по поводу роли искусственного интеллекта в киберустойчивости:

«Мы можем бесконечно обсуждать меры борьбы с мошенничеством, но в сравнении с возможностями ИИ наши усилия выглядят как бросание камней против ракет», — предостерег он. Галлоуэй подчеркнул необходимость прозрачности в работе ИИ-систем, чтобы отслеживать и понимать принимаемые ими решения. «Чем более прозрачными будут ИИ-решения, тем проще выявить ложные срабатывания и понять, почему ИИ поступил так, а не иначе».

На вопрос о том, осознают ли поставщики платформ и регуляторы весь масштаб рисков, связанных с ИИ, Галлоуэй ответил без колебаний:

«Абсолютно нет. Даже регуляторы пока не до конца понимают масштаб этой технологии. ИИ развивается быстро, и важно сохранять контроль. Но мы должны программировать прозрачность на этапе разработки, чтобы гарантировать понимание каждого принятого решения».

Когда дискуссия подошла к концу, Хармен Бреннинкмейер предложил участникам поделиться заключительными мыслями.

Питер Уилсон высказал тревожное предсказание: «Мы будем свидетелями увеличения числа атак, спонсируемых государством, и автоматизации этих атак с использованием ИИ в масштабах, которые мы еще не видели».

Галлоуэй задумчиво заметил: «То, что вы только что сказали, заставляет меня смотреть на это с еще большим страхом».

Уилсон добавил цитату из Джорджа Оруэлла: «В его представлении будущее — это ботинок, топчущий человеческое лицо. Это может стать нашей реальностью, если мы не будем бдительными».

Франческа Заммит напомнила ключевой принцип: «Никогда не доверяйте. Всегда проверяйте. Этот подход должен стать основой работы с киберугрозами».

Иван Спитери поддержал её: «Это не просто стратегия, это постоянное обязательство. Кибербезопасность должна оставаться на повестке дня всегда».

Бреннинкмейер завершил дискуссию, обратившись к аудитории: «Пожалуйста, воспринимайте это всерьез. Бдительность — ключ к устойчивости».

Дискуссия убедила участников в том, что обеспечение киберустойчивости требует не только технических решений, но и формирования культуры осознанной бдительности. Для индустрии iGaming вывод ясен: чтобы опережать киберугрозы, необходимо внимание и действия на всех уровнях.

Подпишитесь на топ-10 новостей и еженедельную рассылку от SiGMA, чтобы всегда быть в курсе событий в мире iGaming и получать эксклюзивные предложения для подписчиков

Рекомендуем к прочтению
Jade Denosta
2024-11-29 07:54:05
Aman Sharma
2024-11-29 06:27:16