W miarę jak coraz bardziej docierają do nas konsekwencje ogólnego rozporządzenia o ochronie danych, Paul Brennecker analizuje jego wpływ na branżę gier hazardowych i wyjaśnia, że kluczem jest nie tylko zapewnienie zgodności, ale zmiana sposobu myślenia w całej branży do skutecznego bezpieczeństwa danych.
Branża hazardowa zawsze była celem przestępców, zarówno w rzeczywistości, jak i w fikcji. Od The Sting po Ocean's Eleven i Lock, Stock i Two Smoking Barrels świat kina od dawna zachwyca się ideą przebiegłych przestępców, którzy atakują kasyno i wygrywają. Jest coś z natury satysfakcjonującego w atrakcyjnych i angażujących oszustach, którzy pokonują pozornie anonimowe firmy hazardowe, co jest postrzegane jako przestępstwo niemal bez ofiar. W fikcyjnym świecie Hollywood nieuniknione sequele odzwierciedlają, prawdopodobnie w sposób niezamierzony, rzeczywistość sytuacji: w kasynach i firmach zajmujących się grami coraz częściej spotykają się z powtarzającymi się naruszeniami. Niekoniecznie pokazują jednak inną rzeczywistość: w nowej erze hazardu online ofiary są bardzo realne. Są to osoby, których dane osobowe zostały skradzione.
Cyberataki występują w wielu formach, ale można je ogólnie podzielić na te, które zakłócają działanie, takie jak ataki rozproszonej odmowy usługi (DDOS), podczas których zainfekowane komputery zaleją sieć ruchem. Istnieją również te, których celem jest kradzież danych, których celem są dane klientów, zwłaszcza informacje finansowe, takie jak dane karty kredytowej, które mogą być sprzedawane w ciemnej sieci lub wykorzystywane do oszustw związanych z tożsamością, a także ataki oprogramowania typu ransomware. Ten rodzaj nadużycia danych uwierzytelniających jest szczególnie niepokojący w branży gier, ponieważ prowadzi do utraty reputacji i przenoszenia przez klientów swojej działalności internetowej do innych dostawców.
Chociaż zagrożenie ze strony przeciwnika jest znaczące, stwarzane zagrożenie
przez osoby mające dostęp do poufnych informacji, często zaufanych pracowników, może stanowić jeszcze większe ryzyko dla firmy. Dzięki uprzywilejowanemu dostępowi pracownicy mogą celowo lub nieumyślnie uczestniczyć w ukierunkowanym naruszeniu danych. Pracownicy branży hazardowej mają tendencję do przełączania się rolami między konkurentami, co wymaga solidnego procesu „Dołączają, przenoszą się, odchodzą”. Wymaga to również większej świadomości wycieku danych w każdej organizacji.
RODO i PCI DSS
Zgodnie z nowymi przepisami RODO, które weszły w życie w maju tego roku, w przypadku naruszenia danych na firmy może zostać nałożona kara w wysokości do 4% przychodów (lub 20 mln euro, w zależności od tego, która wartość jest wyższa). Odkąd poznano warunki RODO, napisano o nim i jego wpływie na sposób, w jaki firmy zarządzają swoimi danymi, wiele napisano. Istnieje jednak ważne błędne przekonanie, którym należy się zająć.
Wbrew obecnemu przekonaniu opinii publicznej, w rzeczywistości nie ma czegoś takiego jak zgodność z RODO. Jest to Rozporządzenie, które wymaga, aby systemy danych były bezpieczne, ale jest otwarte na interpretację i nie zawiera żadnych szczegółowych wskazówek. Nie ma też corocznego przeglądu sprawdzającego zgodność.
Z drugiej strony standard Data Security (DSS) branży kart płatniczych (PCI) reguluje branżę gier, aby zapewnić, że dane kart płatniczych są wykorzystywane zgodnie z najlepszymi praktykami i są bezpieczne zapewnia szczegółowe ramy określające, co należy zrobić i w jaki sposób. PCI DSS zapewnia nawet regularne aktualizacje i wskazówki dotyczące recenzji. Ci, którzy spełniają wymagania PCI DSS, są zatem na dobrej drodze do spełnienia wymogów RODO. Rolą dyrektorów ds. bezpieczeństwa informacji (CISO), inspektorów ochrony danych (DPO) i ich doradców jest ustalenie, gdzie istnieją luki, aby zapewnić przestrzeganie przez organizację przepisów RODO w praktyce.
Chociaż proces zapewniania zgodności ze standardem PCI DSS jest niezaprzeczalnie przydatny, należy go porównać do przeglądu technicznego; dotyczy to tylko danego momentu w czasie. Jedna źle przemyślana zmiana żądania kontroli lub modyfikacja procesu może unieważnić tę zgodność. Ciągłe testowanie i konserwacja są niezbędne, a najlepiej zarządzać nimi poprzez zmianę sposobu myślenia firmy, który uwzględnia bezpieczeństwo danych na każdym poziomie organizacji.
Podejście na poziomie zarządu do skutecznego bezpieczeństwa danych
RODO i PCI DSS uzupełniają się, a zarządzane całościowo może zapewnić ogromne korzyści w zakresie wydajności i reputacji, a jednocześnie łagodzić potencjalne szkody wynikające z naruszenia. Biorąc jednak pod uwagę fakt, że zgodność ze standardem PCI DSS zapewnia jedynie weryfikację zgodności w danym momencie, kluczem do bezpieczeństwa danych nie jest skupianie się na konkretnych celach związanych ze zgodnością, po zaznaczeniu pola wyboru raz na roku, ale należy opracować korporacyjne nastawienie, które charakteryzuje się nieszablonowym podejściem do zgodności i ma wbudowaną ciągłą aktualizację i konserwację. To zmienione nastawienie wymaga strategii obejmującej całą firmę, opracowanej na poziomie zarządu, a następnie rozpowszechnionej w praktycznej, prostej formie każdemu pracownikowi lub partnerowi firmy. Aby był to realistyczny cel, nie można po prostu przekazać odpowiedzialności za bezpieczeństwo danych CISO lub DPO; nie należy go też postrzegać jako czegoś, co mieści się wyłącznie w zakresie
Dział IT. Aby zapewnić prawdziwą skuteczność, obowiązkiem każdego członka zarządu jest kierowanie i nadzorowanie obowiązków związanych z bezpieczeństwem danych w organizacji. Bezpieczeństwo danych powinno znajdować się w porządku obrad każdego posiedzenia zarządu.
Jednak realistycznie rzecz biorąc, biorąc pod uwagę złożoność procesów związanych z bezpieczeństwem danych i zgodnością, konkretna własność będzie w rękach tych osób z kwalifikacjami technicznymi. Nie będą jednak w stanie skutecznie wywierać wpływu na poziomie zarządu, jeśli nie otrzymają specjalistycznego wsparcia i zasobów. Podobnie jak wsparcie zapewniane działowi finansowemu przez księgowych korporacyjnych lub wsparcie udzielane działowi prawnemu przez specjalistyczne zespoły prawne, CISO musi mieć dostęp do specjalistycznego wsparcia w zakresie bezpieczeństwa danych, aby zapewnić strategiczne wytyczne i umiejętności techniczne w celu zwiększenia zakresu operacji .
Rola testów penetracyjnych, tworzenia zespołów czerwonych i kryminalistyki w opracowywaniu strategii bezpieczeństwa danych
Jednym z kluczowych elementów bezpieczeństwa danych jest opracowanie solidnej strategii obrony. Nie wystarczy jednak opracować strategii i zbudować obronę w oparciu o to, co już wiadomo. Cyberprzestępcy są pomysłowi i wykorzystują nie tylko znane zagrożenia i luki w zabezpieczeniach, ale mają też sposoby na wykrywanie tych, które nie są jeszcze znane i zrozumiałe. Dlatego też ci, którzy wykorzystują jedynie własne zrozumienie do opracowania obrony, będą ograniczeni zakresem własnej wiedzy. Niezbędnym elementem jest ciągłe sprawdzanie i podważanie zdobytej wiedzy. W tym miejscu z pomocą przychodzi ciągły program monitorowania zagrożeń, testów penetracyjnych i korzystania z zatrzymanych rozwiązań kryminalistycznych.
Monitorowanie zagrożeń to proces obserwacji zmieniającego się charakteru cyberataków. Wszystkie komercyjne witryny internetowe będą sprawdzane pod kątem luk w zabezpieczeniach, początkowo za pomocą zautomatyzowanych narzędzi, a po znalezieniu czegoś istotnego może zostać przeprowadzony bardziej skoordynowany atak ręczny. Posiadanie alertów i konfiguracja umożliwiająca monitorowanie charakteru tych ataków oraz przeciwdziałanie im są niezbędne dla graczy w przestrzeni gier online.
Następnym krokiem są regularne testy penetracyjne, które muszą obejmować zarówno elementy automatyczne, jak i ręczne. W końcu społeczność przestępcza wykorzystuje zarówno zaawansowane narzędzia skanujące do identyfikowania potencjalnych obszarów słabych punktów, jak i dodatkowe wyrafinowanie ludzkiego umysłu, aby rozwijać i badać te luki.
Wyobraź sobie pokój z niemal nieograniczoną liczbą drzwi. Automatyczny test penetracyjny zidentyfikuje, które drzwi kryją potencjalne luki. Następnie tester ręczny otwiera te drzwi i sprawdza, co się za nimi kryje.
Idąc o krok dalej, Red Teaming otworzy szeroko drzwi i zagłębi się w to, co się za nimi kryje. Testerzy Red Team posiadają kwalifikacje etyczne w zakresie hakowania uzyskane od uznanych w branży organizacji, takich jak CREST i OSCP, i wykorzystują swoje wyrafinowane umiejętności do wyszukiwania i odkrywania nieprzewidzianych dotychczas luk w zabezpieczeniach.
Dzięki tym informacjom można rozpocząć proces zamykania potencjalnych możliwości cyberprzestępcom, zanim jeszcze zostaną zdemaskowani. W ten sposób można opracować strategię bezpieczeństwa danych, która przewiduje luki w zabezpieczeniach przed ich wykryciem, zamiast po prostu reagować na te, które są już znane.
Ci eksperci będą współpracować ze specjalistą Retained
Zespół zarządzający procesem obrony. W niektórych specjalistycznych firmach konsultingowych Czerwony Zespół będzie także częścią zespołu Retained Forensic, aby pomóc zapewnić, że proces ten będzie miał charakter ciągły, z wbudowanym regularnym narażeniem na testy. Zaangażowanie zespołu Retained Forensics nie tylko pomaga w zarządzaniu stale rozwijającym się zespołem obrona strategiczna, ale buduje odporność na potencjalny atak.
Biorąc pod uwagę niesłabnącą pomysłowość atakujących, nie można nigdy uznać organizacji za odporną na atak. Strategia powinna zatem obejmować szczegółowe plany na wypadek wystąpienia takiej ewentualności, szczególnie dotyczące szybkiego raportowania w przypadku naruszenia. RODO wymaga zgłoszenia wszelkich naruszeń odpowiedniemu organowi regulacyjnemu w ciągu 72 godzin, a niezastosowanie się do tego spowoduje podjęcie działań karnych.
Jeśli chodzi o kwestie ciągłości działania, odzyskiwania po awarii i powstrzymywania, posiadanie zespołu Retained Forensics z dogłębną znajomością systemów organizacji oznacza, że będzie on w stanie szybko zarządzać tym procesem, ograniczając w ten sposób wszelkie potencjalne szkody .
Warto również zauważyć, że zaangażowanie zespołu Retained Forensics nie tylko ułatwi bieżące testowanie bezpieczeństwa systemu i zapewni informacje strategiczne na potrzeby skutecznej konserwacji i rozwoju, ale także pokaże właściwym organom, że niezbędny jest solidny, ciągły proces wprowadzone, zmniejszając w ten sposób poziom potencjalnych kar.
Podsumowanie
RODO nie powinno być traktowane jako obciążenie ani uciążliwy obowiązek. Został opracowany w celu wbudowania zabezpieczeń w systemy bezpieczeństwa danych chroniących zarówno organizacje, jak i ich klientów przed cyberprzestępczością. Ci, którzy podejmą to z entuzjazmem, wbudowując w swoje systemy system ciągłych testów i ćwiczeń, skorzystają na lepszej reputacji i lojalności klientów. Ci, którzy sprawiają, że bezpieczeństwo danych jest obowiązkiem wszystkich członków zarządu i którzy opracowują stale rozwijającą się strategię obrony, mogą pokazać zarówno klientom, jak i organom regulacyjnym, że poważnie traktują bezpieczeństwo. Są też w najlepszej możliwej formie, aby przeciwstawić się potencjalnym atakom lub odeprzeć ich skutki lub je ograniczyć, co sprawia, że inwestycja w RODO i cyberodporność jest rozsądną decyzją biznesową.
Zostaw swoją opinię! Twoja recenzja będzie pierwszą.