在网络威胁已成日常现实的时代,iGaming行业必须在安全性方面不断改进。在SiGMA 欧洲活动的首日,行业专家齐聚一堂,共同探讨这些挑战,为在数字化世界中如何保护运营提供了最新见解。该讨论会在SiGMA舞台上举行,汇聚了网络安全和法律监管领域的领先声音。每位专家都分享了如何应对当今运营商所面临网络威胁的宝贵建议。
“我们有一个有趣的讨论小组,”主持人NYCE International的管理合伙人Harmen Brenninkmeijer开场说道。“我们将重点关注网络安全领域的一些事件,尤其是网络钓鱼攻击和其他威胁。这不仅是IT部门的责任,而是所有管理运营的人都要了解事态的严峻性。”
讨论小组成员包括PWL Legal的首席执行官 Peter Wilson、NOUV的顾问Francesca Zammit、Sumsub的iGaming产品负责人Kris Galloway以及BDO Malta的技术和保证服务总监Ivan Spiteri。讨论内容从网络钓鱼攻击到国家资助的威胁,各位专家重点介绍了领导者应当优先考虑的事项。
拥有30多年监管和辩护律师经验的Peter Wilson分享了一个真实案例,揭示了网络警惕性不足带来的风险。“想象一下,”他开始说道,“你是一个相对孤立的员工,坐在一家拥有2万名员工的机构的70个分支办公室之一。周五下午,你收到了招聘广告的应聘简历邮件。你随手点开,然后下班回家度周末。”
Wilson解释了随之而来的攻击。“在周末期间,IT部门注意到一些网络活动,但没有深入调查。到了周一,那份简历释放了恶意软件的有效载荷,锁定了整个系统,工资数据被加密,2万名员工的信息变得无法访问。”
攻击者要求1千万英镑的赎金,令该机构陷入困境。“幸运的是,”Wilson继续说道,“IT部门的一位员工在前一周做了部分系统备份,公司得以重新构建系统,但这纯属侥幸。”Wilson的案例强调了黑暗网络监控、定期系统检查和员工培训的重要性,以防止类似事件的发生。
Harmen转向Kris Galloway,询问公司如何确保数千名员工都对网络威胁保持警惕。
“培训是一方面,”Galloway指出。“Peter描述的情况让我想起了对美高梅和Caesars的恶意软件攻击,Caesars为避免长期停机支付了数百万美元。这发生在2023年9月。从那时起,AI技术进步飞快,攻击手段也更加复杂。”
Galloway警告说,首席执行官对安全的自信可能暗示着过度自信或无意识的风险。“你能向首席执行官保证一切都在掌控之中吗?在理想世界中可以。但面对AI的威胁,很难完全有把握地说‘一切都在掌控中’。事实上,如果有人这样说,那可能是个红旗,表明他们不了解威胁。”
当被问到谁应承担责任时,Galloway回答:“我认为应该由C级高管自我负责。IT人员了解自己的工作,但如果你不为这些新威胁做准备,那就是你的失职。”
Francesca Zammit分享了通过零信任模型在每个组织层级嵌入安全的见解。“在高层,我们需要培养网络安全文化,”她说。“这不仅是IT团队的事。我们需要嵌入零信任原则,即永不信任,始终验证。”
Zammit认为,这种方式确保即便是简单的任务,如授予访问权限,也要小心谨慎。“你要有永不信任、始终验证的心态。对IT团队而言,这意味着总是质疑访问权限,并持续监控。”
Galloway支持她的立场,并做了一个类比。“想象一下一级方程式车队,”他说。“你不能指望跟你合作了10年的同一位技师用最新技术来改造你的车。引入新的专业知识是高管的责任。”
Peter Wilson指出了IT部门容易受社会工程攻击的风险。“我曾处理过一个案例,在一家博彩公司中,两位董事说服了一位IT员工让他们访问系统。然后他们排挤了其他董事,掌控了公司系统。IT部门必须保持一定的独立性,以防被操纵。”
Galloway提出了一个发人深省的问题:“培训是否会带来错误正面的风险?如果有人收到自己上司的深度伪造指令,他们更有可能信任它。培训在这种情况下是否会适得其反?”
Wilson回应,强调了全面的政策。“没有完美的答案,”他说。“但是,如果你已经实施了合理的程序,留有文档记录,并能证明你重视安全性,就更有可能避免严重的监管后果。”
Ivan Spiteri建议采取行业范围内的网络恢复力措施。“博彩行业可以参考欧洲能源部门的模式,”他说。“他们有信息共享和分析中心(ISAC),在威胁情报共享方面非常有效。”通过共享威胁信息,iGaming公司可以预防性地应对网络风险,借鉴其他行业的成功经验。
Spiteri还推荐了数据协议化的策略,这是支付领域采用的一种将敏感数据与主系统分离加密的策略。“如果发生数据泄露,数据依然受到保护,”他解释道。
回到AI在网络恢复力中的作用,Galloway表达了他的担忧。“我们可以整天讨论反欺诈措施,但最终,我们只是用石头对抗AI的导弹,”他警告道。他呼吁在AI解决方案中实现透明,以确保其做出可追溯的决策。“AI系统越透明,人类就越容易发现错误正面并理解AI做出某些决策的原因。”
当被问到平台提供商是否理解AI影响的深远性时,Galloway直言不讳地回答:“绝对不了解。监管者也并不完全理解。这项技术庞大、新颖且动态。即便在AI进步的同时保持控制也至关重要。但我们需要编程透明性,才能理解决策的原因。”
随着讨论接近尾声,Harmen鼓励小组成员分享最后的想法。
“我们将看到国家资助攻击的增加,”Wilson预测道。“并且很可能会看到AI在更大范围内自动化这些攻击。”
Galloway深思熟虑地回应道:“我还没想到你刚才提到的事情。这使得情况变得更加可怕。”
Wilson补充说:“如果你读过《1984》,奥威尔对未来的设想是一只永远踩在人脸上的靴子。”Zammit则提出了一个告诫:“永不信任,始终验证。这应当成为我们的准则。”Ivan Spiteri补充道:“这需要持续的承诺。网络安全必须始终在未来的议程上。”
至此,Brenninkmeijer结束了讨论。“请大家认真对待这个问题。这一点无法过分强调。保持警惕。”
这一小组讨论使观众信服,要实现网络恢复力不仅需要技术防御,更需要警惕和主动适应的文化。对iGaming行业而言,信息简单明了:应对网络威胁需要各级别的关注。