Während die Auswirkungen der Datenschutz-Grundverordnung deutlich werden, untersucht Paul Brennecker ihre Auswirkungen auf die Glücksspielbranche und erklärt, dass nicht nur eine Compliance-Übung, sondern eine branchenweite veränderte Denkweise der Schlüssel ist auf wirksame Datensicherheit.
Die Glücksspielbranche war schon immer ein Ziel für Kriminelle, sowohl in der Realität als auch in der Fiktion. Von The Sting bis Ocean's Eleven und Lock, Stock und Two Smoking Barrels hat die Welt des Kinos schon lange die Vorstellung genossen, dass listige Kriminelle es mit dem Casino aufnehmen und gewinnen. Es ist von Natur aus befriedigend, wenn attraktive und engagierte Schurken scheinbar anonyme Glücksspielunternehmen in einem Verbrechen schlagen, das als fast opferloses Verbrechen wahrgenommen wird. In der fiktiven Welt Hollywoods erscheinen die unvermeidlichen Fortsetzungen, die, wahrscheinlich unbeabsichtigt, die Realität der Situation widerspiegeln: dass Kasinos und Glücksspielunternehmen zunehmend wiederholt Verstöße erleben. Was sie jedoch nicht unbedingt zeigen, ist die andere Realität: dass in der neuen Ära des Online-Glücksspiels die Opfer sehr real sind. Sie sind die Personen, deren personenbezogene Daten gestohlen werden.
Cyber-Angriffe gibt es in vielen Formen, aber sie können allgemein in solche kategorisiert werden, die den Betrieb stören, wie z. B. DDOS-Angriffe (Distributed Denial of Service), bei denen infizierte Computer das Netzwerk mit Datenverkehr überfluten. Es gibt auch solche, die auf Datendiebstahl abzielen, auf Kundendaten abzielen, insbesondere auf Finanzinformationen wie Kreditkartendaten, die im Dark Web verkauft oder für Identitätsbetrug und Ransomware-Angriffe verwendet werden können. Diese Art des Missbrauchs von Anmeldeinformationen ist in der Glücksspielbranche besonders besorgniserregend, da sie zu einem Reputationsverlust führt und Kunden ihr Onlinegeschäft an andere Anbieter übertragen.
Obwohl die gegnerische Bedrohung erheblich ist, ist die Bedrohung
durch Insider, oft vertrauenswürdige Mitarbeiter, kann ein noch größeres Risiko für ein Unternehmen darstellen. Mit privilegiertem Zugriff können Mitarbeiter absichtlich oder unabsichtlich in eine gezielte Datenpanne verwickelt werden. Mitarbeiter in der Glücksspielbranche neigen dazu, die Rollen zwischen Konkurrenten zu wechseln, was einen robusten „Joiners, Movers, Leavers“-Prozess erfordert. Es erfordert auch ein erhöhtes Bewusstsein für Datenlecks innerhalb jeder Organisation.
DSGVO und PCI-DSS
Im Rahmen der neuen DSGVO, die im Mai dieses Jahres EU-Recht wurde, können Unternehmen im Falle einer Datenschutzverletzung mit einer Geldstrafe von bis zu 4 % des Umsatzes (oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist) belegt werden. Seit die Bestimmungen der DSGVO erstmals bekannt wurden, wurde viel darüber geschrieben und welche Auswirkungen sie auf die Art und Weise hat, wie Unternehmen ihre Daten verwalten. Es gibt jedoch ein wichtiges Missverständnis, das angegangen werden muss.
Entgegen der derzeitigen öffentlichen Wahrnehmung gibt es eigentlich keine DSGVO-Konformität. Es handelt sich um eine Verordnung, die die Sicherheit von Datensystemen vorschreibt, aber offen für Interpretationen ist und keine detaillierte Anleitung enthält. Es gibt auch keine jährliche Überprüfung zur Validierung der Einhaltung.
Andererseits der Payment Card Industry (PCI) Data Security Standard (DSS), der die Glücksspielbranche regelt, um sicherzustellen, dass Zahlungskartendaten mit Best Practice verwendet und sicher aufbewahrt werden , bietet einen detaillierten Rahmen, der festlegt, was getan werden muss und wie. PCI DSS bietet sogar regelmäßige Updates und Anleitungen zu Überprüfungen. Wer PCI-DSS-konform ist, ist also auf einem guten Weg, die Anforderungen der DSGVO zu erfüllen. Es ist die Aufgabe von Chief Information Security Officers (CISOs), Data Protection Officers (DPOs) und ihren Beratern, herauszufinden, wo Lücken bestehen, um sicherzustellen, dass eine Organisation die DSGVO in der Praxis einhält.
Obwohl der PCI-DSS-Compliance-Prozess unbestreitbar nützlich ist, muss er mit einem TÜV verglichen werden; es gilt nur für einen bestimmten Zeitpunkt. Eine schlecht durchdachte Anfrage zur Änderung der Kontrolle oder Änderung des Prozesses kann diese Konformität ungültig machen. Kontinuierliche Tests und Wartung sind unerlässlich und lassen sich am besten durch eine veränderte Unternehmenseinstellung bewältigen, die Datensicherheit auf allen Ebenen der Organisation verankert.
Ein Ansatz auf Vorstandsebene für effektive Datensicherheit
DSGVO und PCI DSS ergänzen sich gegenseitig und können bei ganzheitlicher Verwaltung enorme Vorteile für Effizienz und Reputation bieten und gleichzeitig den potenziellen Schaden eines Verstoßes mindern. Aber angesichts der Tatsache, dass die PCI-DSS-Compliance lediglich eine Validierung der Compliance zu einem bestimmten Zeitpunkt darstellt, liegt der Schlüssel zur Datensicherheit darin, sich nicht auf bestimmte Compliance-Ziele zu konzentrieren, nachdem man einmal pro Woche ein Häkchen gesetzt hat Jahr, sondern ein unternehmerisches Mindset zu entwickeln, das einen „Compliance out of the box“-Ansatz beinhaltet und eine laufende Aktualisierung und Pflege eingebaut hat. Dieses veränderte Mindset erfordert eine unternehmensweite Strategie, die auf Vorstandsebene entwickelt und dann verbreitet wird in praktischer und einfacher Form an jeden Mitarbeiter oder Partner des Unternehmens. Damit dies ein realistisches Ziel ist, darf die Verantwortung für die Datensicherheit nicht einfach auf den CISO oder DPO übertragen werden; Es sollte auch nicht als etwas angesehen werden, das nur in den Geltungsbereich der
IT Abteilung. Um wirklich effektiv zu sein, liegt es in der Verantwortung jedes einzelnen Vorstandsmitglieds, die Verantwortung für die Datensicherheit der Organisation voranzutreiben und zu überwachen. Datensicherheit sollte bei jeder Vorstandssitzung auf der Tagesordnung stehen.
Angesichts der Komplexität von Datensicherheits- und Compliance-Prozessen wird das spezifische Eigentum jedoch realistischerweise in den Händen dieser technisch qualifizierten Personen liegen. Ohne fachliche Unterstützung und Ressourcen werden sie jedoch keinen effektiven Einfluss auf Vorstandsebene ausüben können. Ähnlich wie die Unterstützung der Finanzabteilung durch Unternehmensbuchhalter oder die Unterstützung der Rechtsabteilung durch spezialisierte Rechtsteams muss der CISO Zugang zu spezialisierter Datensicherheitsunterstützung haben, um strategische Anleitung und technische Fähigkeiten bereitzustellen, um den Umfang des Betriebs zu erweitern .
Die Rolle von Penetrationstests, Red Teaming und Retained Forensics bei der Entwicklung einer Datensicherheitsstrategie
Eines der Schlüsselelemente der Datensicherheit ist die Entwicklung einer robusten Verteidigungsstrategie. Es reicht jedoch nicht aus, eine Strategie zu entwickeln und eine Verteidigung aufzubauen, die auf bereits Bekanntem basiert. Cyberkriminelle sind erfinderisch und nutzen nicht nur bekannte Bedrohungen und Schwachstellen aus, sondern sie haben auch Möglichkeiten, solche zu entdecken, die noch nicht bekannt oder verstanden sind. Wer nur sein eigenes Verständnis nutzt, um eine Verteidigung zu entwickeln, wird daher durch den Umfang seines eigenen Wissens eingeschränkt. Das kontinuierliche Testen und Hinterfragen dieses Wissens ist ein wesentliches Element. Hier kommt ein kontinuierliches Programm aus Bedrohungsüberwachung, Penetrationstests und der Verwendung von Retained Forensics ins Spiel.
Bedrohungsüberwachung ist der Prozess der Beobachtung der sich ändernden Natur von Cyberangriffen. Alle kommerziellen Websites werden zunächst von automatisierten Tools auf Schwachstellen untersucht, und sobald etwas Bedeutendes gefunden wird, kann ein gezielterer manueller Angriff gestartet werden. Warnungen zu haben und so eingerichtet zu sein, dass sie die Art dieser Angriffe überwachen und ihnen entgegenwirken können, ist für Spieler im Online-Gaming-Bereich von entscheidender Bedeutung.
Der nächste Schritt sind regelmäßige Penetrationstests, die sowohl automatisierte als auch manuelle Elemente umfassen müssen. Schließlich nutzt die kriminelle Gemeinschaft sowohl fortschrittliche Scan-Tools, um potenzielle Schwachstellen zu identifizieren, als auch die zusätzliche Raffinesse des menschlichen Geistes, um diese Schwachstellen zu entwickeln und zu untersuchen.
Stellen Sie sich einen Raum mit einer fast unbegrenzten Anzahl von Türen vor. Der automatisierte Penetrationstest identifiziert, welche Türen potenzielle Schwachstellen verbergen. Der manuelle Tester öffnet dann diese Türen und sieht sich an, was sich dahinter verbirgt.
Um die Analogie noch einen Schritt weiter zu führen, wird Red Teaming die Türen weit öffnen und in das eintauchen und erforschen, was sich dahinter verbirgt. Red-Team-Tester verfügen über ethische Hacking-Qualifikationen von branchenweit anerkannten Gremien wie CREST und OSCP und nutzen ihre ausgefeilten Fähigkeiten, um bisher unvorhergesehene Schwachstellen zu durchwühlen und aufzudecken.
Ausgestattet mit diesen Informationen kann der Prozess beginnen, potenzielle Gelegenheiten für Cyberkriminelle zu schließen, bevor sie überhaupt aufgedeckt werden. Auf diese Weise kann eine Datensicherheitsstrategie entwickelt werden, die Schwachstellen antizipiert, bevor sie entdeckt werden, anstatt nur auf bereits bekannte zu reagieren.
Diese Experten arbeiten partnerschaftlich mit einem Spezialisten zusammen.
Team zur Verwaltung des Verteidigungsprozesses. In einigen spezialisierten Beratungsunternehmen ist das Red Team auch Teil der Retained Forensic-Fähigkeit, um sicherzustellen, dass der Prozess fortlaufend ist und regelmäßige Tests durchgeführt werden. Die Beauftragung eines Retained Forensics-Teams hilft nicht nur bei der Verwaltung eines sich ständig weiterentwickelnden strategische Verteidigung, sondern baut Widerstandsfähigkeit gegenüber potenziellen Angriffen auf.
Angesichts des unerbittlichen Einfallsreichtums von Angreifern ist es unmöglich, eine Organisation jemals als immun gegen Angriffe zu betrachten. Die Strategie sollte daher detaillierte Pläne für diesen Fall enthalten, insbesondere für die zeitnahe Meldung im Falle eines Verstoßes. Gemäß der DSGVO muss jeder Verstoß der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden. Andernfalls werden Strafmaßnahmen ergriffen.
Wenn es um Probleme der Geschäftskontinuität, Notfallwiederherstellung und Eindämmung geht, bedeutet die Verfügbarkeit eines Retained Forensics-Teams mit gründlichen Kenntnissen der Systeme des Unternehmens, dass es diesen Prozess schnell verwalten und so potenzielle Schäden begrenzen kann .
Es ist auch erwähnenswert, dass der Einsatz eines Retained Forensics-Teams nicht nur die laufenden Tests der Systemsicherheit erleichtert und strategische Informationen für eine effektive Wartung und Entwicklung liefert, sondern den zuständigen Behörden auch zeigt, dass es sich um einen robusten, kontinuierlichen Prozess handelt eingeführt, wodurch die Höhe potenzieller Bußgelder verringert wird.
Zusammenfassung
DSGVO sollte nicht als Belastung oder lästige Pflicht betrachtet werden. Es wurde entwickelt, um Schutzmaßnahmen in Datensicherheitssysteme einzubauen, die sowohl die Organisationen als auch ihre Kunden vor Cyberkriminalität schützen. Diejenigen, die es mit Enthusiasmus annehmen und ein kontinuierliches Test- und Übungsprogramm in ihre Systeme einbauen, werden von einem verbesserten Ruf und einer verbesserten Kundenbindung profitieren. Wer Datensicherheit zur Verantwortung aller Vorstände macht und eine sich ständig weiterentwickelnde Abwehrstrategie entwickelt, kann sowohl gegenüber Kunden als auch gegenüber den Regulierungsbehörden zeigen, dass er Sicherheit ernst nimmt. Sie sind auch in der bestmöglichen Verfassung, um potenziellen Angriffen zu widerstehen oder deren Auswirkungen abzuwehren oder zu verringern, was eine Investition in die DSGVO und Cyber-Resilienz zu einer soliden Geschäftsentscheidung macht.
Hinterlassen Sie Ihre Bewertung! Ihre Bewertung wird die erste sein.