Când oamenii vor să parieze, pariază. Trebuie doar să ne asigurăm că este sigur pentru ei!
În ultimele săptămâni, comunitatea globală de securitate cibernetică a fost „lovită” de vestea că RSA, unul dintre cei mai cunoscuți algoritmi criptografici, denumit după inventatorii săi (Rivest-Shamir-Adleman), utilizat la nivel mondial pentru verificarea identității, semnăturii digitale sau generarea de chei în criptarea datelor și comunicațiilor, a fost compromis parțial de cercetători chinezi, folosind metode avansate de calcul.
de Sergiu ZAHARIA, Fondator Expand Cyber
După câteva zile de știri furtunoase, inclusiv îngrijorarea că cercetătorii au reușit să spargă așa-numitul criptosistem „de grad militar”, experții în securitate au înțeles că acesta este doar un pas important, dar mic, aflat totuși la o distanță astronomică de compromiterea unui algoritm atât de răspândit. Probabil că, în următorii 5 ani, acest lucru nu se va întâmpla încă și, în acest caz, industria este pregătită cu așa-numiții algoritmi rezistenți la calcul cuantic, care sunt foarte puternici și practic de neînvins în următorii 50 de ani. Dar doar ideea de a avea compromis în viitorul apropiat un algoritm criptografic public, răspândit la nivel global, care este utilizat pentru a vă dovedi identitatea sau a valida identitatea clienților dumneavoastră, m-a făcut să mă gândesc serios la domeniile care ar putea fi cele mai afectate, cel puțin din perspectiva percepției clienților.
Armata nu se numără printre ele. Folosește algoritmi de criptare diferiți pentru lucruri importante. Sectoarele infrastructurilor critice, precum cel bancar, telco, energetic sau al transporturilor, respectă reglementări stricte în UE și internaționale, astfel încât sunt mai pregătite pentru acest tip de progrese tehnologice în domeniul criptologiei. Nu aș paria totul pe asta. Jucătorii din domeniul sănătății încearcă să țină pasul. Dar industria jocurilor de noroc? Este industria jocurilor de noroc pregătită pentru un astfel de „lucru important” în lumea tehnologiei? Știți cât de multă tehnologie și matematică implică jocurile de noroc și ce este important pentru actorii din acest domeniu, iar când spun „actori” mă refer la companiile care oferă o platformă pentru jucătorii reali, clienții, care trebuie să aibă încredere în „sistem”?
În primul rând, este vorba despre aleatorism. Dacă cineva poate prezice fiecare dintre numerele următoare cu mai mult de 50%, asta nu înseamnă aleatoriu. Ar trebui să fie la fel pentru mine dacă dau cu banul sau joc jocuri de noroc online. Practic, după sistemele militare care utilizează generatoare de numere pur aleatorii bazate pe hardware pentru a proteja secrete importante, infrastructurile de jocuri de noroc sunt unele dintre cele mai preocupate de acest proces. În prezent, algoritmii generatoarelor de numere pseudoaleatorii utilizate de dezvoltatorii de jocuri de noroc sunt examinați de laboratoare de testare independente și trebuie să treacă prin analize statistice și teste de simulare înainte de a fi puse în funcțiune, ceea ce transferă un nivel bun de încredere în sistemul de jocuri de noroc. În al doilea rând, același nivel de încredere provine din utilizarea algoritmilor criptografici recunoscuți la nivel mondial pentru a proteja tranzacțiile, datele personale și pentru a asigura validarea puternică a identităților, în ciuda preocupărilor recente din cadrul comunității cibernetice de experți. Așadar, în ceea ce privește criptarea, să zicem că stăm foarte bine, atâta timp cât nu suntem vizați în mod constant de actori statali și de cercetători în criptografie, cu bugete uriașe.
Cu toate acestea, pentru jocurile de noroc online, vedeta în ascensiune a momentului, implementarea acestor generatoare de numere aleatorii, a algoritmilor criptografici și a infrastructurii IT, a aplicațiilor, a identității și a accesului, inclusiv a verificării vârstei, devine una dintre cele mai critice părți ale menținerii unui nivel ridicat de încredere, cea a jucătorilor. Și, cel puțin în acest domeniu, aș sugera trei acțiuni pentru companiile care activează în industria jocurilor de noroc, pentru a-și asigura reziliența afacerii și a menține încrederea clienților.
-
Evaluați-vă holistic postura de securitate cibernetică, cel puțin anual
Securitatea cibernetică este un domeniu holistic care include mai mult de 30 de domenii majore de luat în considerare, de la guvernanță și management la controlul accesului digital, managementul identității, detectarea și răspunsul la incidente, prevenirea malware-ului, securitatea software sau protecția datelor sensibile. În domeniul criptării, de exemplu, evaluați cât de moderne sunt criptosistemele dvs. și dacă acestea sunt considerate rezistente la atacuri viitoare, precum cele discutate de comunitatea cibernetică în aceste zile, și faceți din aceasta avantajul dvs. competitiv. Testați-vă sistemele și aplicațiile critice prin metode multiple, de la scanarea vulnerabilităților din codul sursă până la testele de penetrare aplicate asupra produsului final, și asigurați-vă că sunt lansate în funcțiune numai aplicații securizate și examinate în detaliu. Orice canal deschis către infractorii cibernetici sau personal intern malițios trebuie identificat, observat și controlat. Atunci când costurile măsurilor de securitate sunt dezechilibrate, riscul rezultat trebuie gestionat diferit, prin transferarea acestuia către companiile de asigurări sau prin monitorizarea posibilelor exploatări ale canalelor de acces slab protejate. Fără vizibilitate cu privire la cât de puternice sunt persoanele, procesele și tehnologiile care securizează jocul, nu faceți decât să cheltuiți bani ineficient, cu beneficii nepercepute.
-
Exersați eșecul prin simulări de criză cibernetică
Orice buget pe care îl alocați pentru reziliența cibernetică, orice profesionist calificat pe care îl angajați în cadrul departamentului de securitate, orice consultant pe care îl folosiți pentru a vă concepe programul de transformare cibernetică, orice ați face nu vă va ține departe de o viitoare criză cibernetică! S-a întâmplat cu MGM și Caesars Entertainment și, cu siguranță, acestea au avut bugete importante și profesioniști cibernetici calificați. Este vorba doar de tipul asimetric de luptă cu care vă confruntați: hackerul trebuie să găsească o singură cale de a intra în infrastructura dumneavoastră, dumneavoastră trebuie să le acoperiți pe toate. Pentru cele mai pesimiste scenarii, echipele de conducere, începând cu directorul general, trebuie să fie pregătite, iar cel mai bun mod de a face acest lucru este prin simulări practice de criză cibernetică. Membrii celulei de criză desemnați fac brainstorming prin diferite scenarii, de la criptarea sistemelor de către hackeri la exfiltrarea de date sensibile, și testează diferite tipuri de decizii de răspuns, cum ar fi strategia de comunicare sau negocierea taxei de răscumpărare, o practică nerecomandată dar luată întotdeauna în calcul. Deoarece companiile din industria jocurilor de noroc nu vor beneficia de aceeași empatie atunci când sunt atacate cibernetic de hackeri, precum organizațiile din domeniul sănătății, ar trebui testată și validată în prealabil comunicarea cu mass-media sau cu clienții, în timpul simulărilor, pentru a fi pregătite în cazul unor situații reale. Încrederea este o chestiune de percepție și ar trebui să fie bine gestionată. De ce să nu testați un scenariu în care românii încep brusc să vorbească despre faptul că systemele cryptografice au fost piratate, iar identitățile lor de jucători online, cu banii asociați, sunt în pericol?
-
Instruiți-vă personalul de conducere în ceea ce privește riscurile cibernetice
Conștientizarea top managementului cu privire la tendințele cibernetice (cum ar fi compromiterea systemelor criptografice fundamentale) și riscurile inerente, generate de infractorii cibernetici, cercetători sau persoane nemulțumite din interior, este una dintre cele mai bune apărări, deoarece directorii executivi vor sponsoriza cu autoritatea lor și vor acționa ca un model în asigurarea igienei cibernetice la fiecare acțiune pe care o fac. Explicarea tendințelor cibernetice, într-un mod care este relevant și adaptat rolului și domeniului lor, îi ajută pe lideri să aloce atenția potrivită și să optimizeze costurile pentru o reziliență cibernetică optimă a afacerii lor. Nu ratați această parte, deoarece angajamentul conducerii este unul dintre cele mai importante subiecte în guvernanța securității cibernetice. Oferiți-le liderilor șansele potrivite atât pentru a pune întrebările potrivite, cât și pentru a câștiga bătăliile pe care trebuie să le ducă în materie de securitate cibernetică și reputație. Este o situație de câștig pentru jucătorii din ambele părți ale jocului.
Când oamenii vor să parieze, pariază. Trebuie doar să ne asigurăm că este sigur pentru ei, cel puțin la fel de sigur precum este astăzi sistemul cryptografic RSA!