Баланс между безопасностью, конфиденциальностью и устойчивостью к киберугрозам

David Gravel November 12, 2024
Баланс между безопасностью, конфиденциальностью и устойчивостью к киберугрозам

В эпоху, когда киберугрозы стали повседневной реальностью, индустрия iGaming должна адаптировать свои подходы к безопасности. Первый день конференции SiGMA Европа собрал экспертов, чтобы обсудить эти вызовы и поделиться практическими методами защиты бизнеса в цифровой среде. Панельная дискуссия на сцене SiGMA объединила лидеров в области кибербезопасности и юридического регулирования, которые дали ценные рекомендации по защите от современных угроз.

Хармен Бреннинкмейер, управляющий партнер NYCE International, начавший дискуссию, заявил:
?У нас интересная панель. Мы сосредоточимся на событиях в области кибербезопасности, особенно на фишинговых атаках и других угрозах. Это важно не только для IT-отдела, но и для всех, кто управляет операциями, чтобы понять серьезность ситуации?.

В дискуссии приняли участие Питер Уилсон, генеральный директор PWL Legal; Франческа Заммит, юрист и консультант NOUV; Крис Галлоуэй, руководитель отдела iGaming Product в Sumsub, и Иван Спитери, директор по технологиям и услугам подтверждения в BDO Malta. Спикеры затронули широкий круг вопросов — от фишинговых атак до угроз, спонсируемых государствами. Каждый участник поделился своим мнением о том, что должно стать приоритетом для руководителей в условиях постоянно меняющегося ландшафта киберугроз.

Киберугрозы в реальном мире

Питер Уилсон, юрист с более чем 30-летним опытом работы в области регулирования и защиты, рассказал историю, ярко иллюстрирующую риски недостаточной бдительности.

?Представьте себе, — начал он. — Вы — довольно одинокий сотрудник, работающий в одном из 70 филиалов крупной организации с 20 000 сотрудников. Пятница. Вы получаете очередное резюме по электронной почте в ответ на вакансию. Не задумываясь, открываете файл и уходите на выходные?.

Уилсон описал развитие событий после этого наглядного примера: ?В течение выходных сотрудники IT-отдела заметили подозрительную активность в сети, но не придали этому особого значения. В понедельник вложенный файл оказался троянской программой, которая активировала вредоносное ПО. Это заблокировало доступ ко всей системе, зашифровало данные о зарплате и сделало недоступными персональные данные всех 20 000 сотрудников?.

Злоумышленники потребовали выкуп в размере 10 миллионов фунтов стерлингов, парализовав деятельность компании. ?К счастью, — продолжил Уилсон, — один из сотрудников IT-отдела успел создать частичную резервную копию системы в начале той недели. Благодаря этому организации удалось восстановить систему, но лишь по счастливой случайности?.

Эта история Уилсона подчеркивает критическую важность регулярного мониторинга сети, проведения проверок уязвимостей, а также обучения сотрудников. Эти меры способны предотвратить такие разрушительные инциденты и защитить бизнес от серьезных последствий.

Человеческий фактор в кибербезопасности

Хармен обратился к Крису Галлоуэю с вопросом о том, как компании могут обеспечить бдительность тысяч сотрудников в отношении киберугроз.

?Обучение — это только одна из составляющих?, — отметил Галлоуэй. — ?История, которую рассказал Питер, напоминает мне случай с атаками вредоносного ПО на MGM и Caesars. Caesars пришлось заплатить миллионы, чтобы избежать длительного простоя. Это произошло в сентябре 2023 года. С тех пор искусственный интеллект значительно продвинулся, делая атаки еще более сложными и трудно выявляемыми?.

Галлоуэй подчеркнул, что уверенность генерального директора в полной защищенности компании часто может быть признаком чрезмерной самоуверенности или недостаточной информированности. ?Можно ли прийти к генеральному директору и уверенно заявить, что все под контролем? В идеальном мире — да. Но с учетом того, как стремительно развиваются угрозы, связанные с искусственным интеллектом, это крайне сложно. На самом деле, если кто-то утверждает, что все под полным контролем, это скорее повод для тревоги — он, возможно, не до конца осознает масштабы угрозы?.

Когда речь зашла о том, кто должен нести ответственность за защиту компании, Галлоуэй выразил уверенность: ?Ответственность лежит на руководстве высшего звена. IT-специалисты отлично знают свое дело, но если руководство не уделяет должного внимания подготовке к новым угрозам, это серьезный просчет?.

Нулевое доверие и стратегия безопасности с учетом культурных особенностей

Франческа Заммит поделилась своим взглядом на внедрение безопасности на каждом организационном уровне с помощью модели нулевого доверия. ?На высшем уровне нам необходимо формировать культуру кибербезопасности?, – заявила она. ?Речь идет не только об IT-команде. Мы должны внедрять подход “никогда не доверяй, всегда проверяй”?.

Заммит отметила, что такой подход меняет отношение к привычным задачам, включая управление правами доступа. ?Этот образ мышления требует постоянного скепсиса и тщательной проверки. Для IT-команд это означает регулярный пересмотр прав доступа и непрерывный мониторинг системы?.

Крис Галлоуэй поддержал её мнение, проведя метафору с миром автогонок: ?Представьте себе команду Формулы-1. Нельзя ожидать, что опытный механик с десятилетним стажем сможет справиться с новейшими технологиями. Руководители должны осознавать важность привлечения новых специалистов?.

Риски социальной инженерии

Питер Уилсон выделил уязвимость IT-отделов перед методами социальной инженерии, поделившись реальным примером:

?В одном случае два директора игорной компании убедили сотрудника IT-отдела предоставить им доступ к системе. Впоследствии они заблокировали доступ другим директорам, получив полный контроль над системами компании. Этот случай подчеркивает необходимость независимости IT-отдела, чтобы предотвратить подобные манипуляции?.

Крис Галлоуэй задал важный вопрос: ?Может ли обучение сотрудников создавать ложное чувство безопасности? Например, если кто-то получает инструкции от дипфейка, имитирующего голос руководителя, вероятность доверия к таким инструкциям высока. В таких ситуациях обучение может ли оно, наоборот, сыграть злую шутку??

Уилсон ответил, акцентируя внимание на важности комплексного подхода: ?Идеальных решений не существует?, — отметил он. — ?Но если в компании действуют продуманные процедуры, есть документированный след операций и четкая демонстрация серьезного отношения к безопасности, это значительно снижает риски серьезных санкций со стороны регуляторов?.

Иван Спитери предложил отраслевой подход к обеспечению киберустойчивости: ?Игровая индустрия могла бы взять на вооружение опыт энергетического сектора Европы?, — сказал он. — ?Центры обмена информацией и анализа (ISAC) в энергетике эффективно делятся данными об угрозах. Аналогичное сотрудничество в игорной сфере поможет компаниям предугадывать риски и работать на упреждение?.

Спитери также рекомендовал внедрение протоколов защиты данных, использующихся в платежной индустрии. Он пояснил: ?Эта стратегия предполагает шифрование конфиденциальных данных отдельно от основной системы. В случае взлома критическая информация остается защищенной?.

ИИ и будущее кибербезопасности

Крис Галлоуэй выразил серьезные опасения по поводу роли искусственного интеллекта в киберустойчивости:

?Мы можем бесконечно обсуждать меры борьбы с мошенничеством, но в сравнении с возможностями ИИ наши усилия выглядят как бросание камней против ракет?, — предостерег он. Галлоуэй подчеркнул необходимость прозрачности в работе ИИ-систем, чтобы отслеживать и понимать принимаемые ими решения. ?Чем более прозрачными будут ИИ-решения, тем проще выявить ложные срабатывания и понять, почему ИИ поступил так, а не иначе?.

На вопрос о том, осознают ли поставщики платформ и регуляторы весь масштаб рисков, связанных с ИИ, Галлоуэй ответил без колебаний:

?Абсолютно нет. Даже регуляторы пока не до конца понимают масштаб этой технологии. ИИ развивается быстро, и важно сохранять контроль. Но мы должны программировать прозрачность на этапе разработки, чтобы гарантировать понимание каждого принятого решения?.

Когда дискуссия подошла к концу, Хармен Бреннинкмейер предложил участникам поделиться заключительными мыслями.

Питер Уилсон высказал тревожное предсказание: ?Мы будем свидетелями увеличения числа атак, спонсируемых государством, и автоматизации этих атак с использованием ИИ в масштабах, которые мы еще не видели?.

Галлоуэй задумчиво заметил: ?То, что вы только что сказали, заставляет меня смотреть на это с еще большим страхом?.

Уилсон добавил цитату из Джорджа Оруэлла: ?В его представлении будущее — это ботинок, топчущий человеческое лицо. Это может стать нашей реальностью, если мы не будем бдительными?.

Франческа Заммит напомнила ключевой принцип: ?Никогда не доверяйте. Всегда проверяйте. Этот подход должен стать основой работы с киберугрозами?.

Иван Спитери поддержал её: ?Это не просто стратегия, это постоянное обязательство. Кибербезопасность должна оставаться на повестке дня всегда?.

Бреннинкмейер завершил дискуссию, обратившись к аудитории: ?Пожалуйста, воспринимайте это всерьез. Бдительность — ключ к устойчивости?.

Дискуссия убедила участников в том, что обеспечение киберустойчивости требует не только технических решений, но и формирования культуры осознанной бдительности. Для индустрии iGaming вывод ясен: чтобы опережать киберугрозы, необходимо внимание и действия на всех уровнях.

Подпишитесь?на топ-10 новостей и еженедельную рассылку от SiGMA, чтобы всегда быть в курсе событий в мире iGaming и получать эксклюзивные предложения для подписчиков.?

Рекомендуем к прочтению
Kateryna Skrypnyk
2024-11-20 16:14:26