Aralık 20, 2022

Düzenleyiciler Siber Saldırılara Proaktif Yanıt Arıyor

ile america


Josh Chin, 12 yıllık profesyonel kariyeri boyunca bankalara ve yüksek bahisli piyangolara girerek sıradan çalışanlar için oldukça güvenli görünen karmaşık ağlara sızdı.

“Bir milyarderi defalarca terk ettim. Ne yazık ki parayı geri vermek zorunda kaldım,” diyen Chin geçen hafta Las Vegas’ta toplanan oyun uzmanlarından oluşan bir kalabalığa seyircilerden kahkahalar aldı.

Chin bir siber suçlu değil, “etik bir bilgisayar korsanı”, Fortune 500 şirketleri ve benzer şekilde anne ve baba mağazaları tarafından siber ağlardaki güvenlik açıklarını ortaya çıkarmak için tutulan bir siber güvenlik danışmanı. Cyber ​​Task Force Security’nin bir üyesi olan Net Force’un yönetici ortağı Chin, bir dijital dolandırıcılık panelinde ortaya çıktı. Oyun Devletlerinden Ulusal Yasa Koyucular Konseyi (NCLGS) Resorts World Las Vegas’ta 2022 Kış Toplantısı. Geniş ölçekli bir değerlendirme yürütürken, Net Force gibi bir siber uygulamacı bir sistemi çökertecek ve ardından bir operatörün sistemi düzenli olarak yeniden kurması için önerilerde bulunacaktır.

Panel, DraftKings’te 1.000’den fazla müşteriyi etkileyen ve müşteri hesaplarında altı haneli kayıplara yol açan bir siber ihlalin ardından toplandı. Sosyal medyada bildirilen yetkisiz izinsiz girişlerin genişliği, sektör uzmanlarının rakamın katlanarak daha yüksek olup olmadığını merak etmesine neden oldu. Geçen ay DraftKings, çok sayıda bahisçinin NFL normal sezonundaki 12. Hafta eylemi sırasında müşteri hesaplarının bazı özelliklerinin ihlal edildiğini doğruladı.

Şimdi, üst düzey yasa koyucular ve düzenleyiciler, başka bir büyük spor kitabının büyük bir siber kesinti yaşama olasılığını azaltmaya yardımcı olacak önlemleri yürürlüğe koymak için proaktif olarak çalışıyorlar.

Önde gelen bir oyun eyaletinde, Nevada Oyun Komisyonu, oyun operatörlerinin siber saldırı riskini azaltmak için gereken en iyi uygulamaları belirlemesini gerektirecek önerilen düzenlemeleri önümüzdeki hafta değerlendirecek. Diğer bazı eyaletler siber güvenlik konusunda benzer politikalar benimseyebilirken, bazıları bilgisayar korsanlarının uygulama boşluklarından yararlanmaya devam edip edemeyeceklerini sorguluyor. Bu boşluklar, politikaların yalnızca lisans yaptırımları devreye girdiğinde dişleri olup olmayacağı konusunda hayati soruları gündeme getiriyor.

Kimlik bilgisi doldurmaya bir bakış

DraftKings’in müşterileri olarak bilinen bir uygulamanın kurbanı olmuş olabilir. “kimlik bilgisi doldurma” dolandırıcı aktörlerin bir çırpıda çalınan yüzlerce kullanıcı adı ve parolaya erişmesiyle ortaya çıkan bir bilgisayar korsanlığı tekniği. Çoğu zaman müşteriler, çevrimiçi bankacılık, öğrenci kredisi geri ödemeleri, çevrimiçi alışveriş ve hatta yerel bir spor salonu gibi diğer etkinlikler için tuttukları parolayı bir spor bahis hesabı için kullanırlar.

Bir bilgisayar korsanlığı ekibi, 24-Hour Fitness gibi bir spor salonundan veya başka bir üçüncü taraf sitesinden bir parola aldığında, grup düzinelerce başka hesapta parolayı test etmek için otomatik bir bot kullanır. Chin, kimlik bilgilerini doldurmanın DraftKings olayında tercih edilen saldırı biçimi olmasına şaşırmadı, çünkü çevrimiçi olarak kullanıcı adlarını ve parolaları eşleştiren devasa veritabanları var, diye açıkladı. Eski bir Nevada başsavcı yardımcısı olan Greg Giordano da, müşteri parolalarına “karanlık ağ”da düşük maliyetle kolayca erişilebildiği göz önüne alındığında, saldırının biçimine çok az şaşırdığını ifade etti.

Şirket, bilgisayar korsanlarının diğer sitelerdeki şifreleri ele geçirmesinin ardından aktörlerin DraftKings hesaplarına erişmek için aynı giriş bilgilerini kullandığını söyledi. DraftKings küresel teknoloji ve ürün başkanı Paul Liberman 21 Kasım’da yaptığı açıklamada, şirketin kendi sistemlerinin ihlal edildiğini gösteren herhangi bir kanıt bulamadığını söyledi.

2022’de önde gelen spor bahis siteleri arasındaki siber ihlaller söz konusu olduğunda, DraftKings yalnız değil. Basında çıkan haberlere göre, DraftKings’in ana rakibi FanDuel de son zamanlarda siber ihlallerde bir artış gördü. Bir endüstri kaynağı, ABD pazar payının ilk beşinde yer alan üçüncü büyük bir çevrimiçi spor kitabının da son bilgisayar korsanlığı olaylarında hedef alındığını söyledi. Spor Kolu Konferansta.

tarafından sorulduğunda Spor Kolu Bir DraftKings sözcüsü, Çarşamba günü itibariyle kayıp fonları için geri ödenen müşterilerin yüzdesi hakkında yorum yapmaktan kaçındı. DraftKings ayrıca siber faaliyet tarafından hedef alınan müşteri sayısı veya etkilenen müşteriler arasında çalınan toplam fon miktarı hakkında bir güncelleme sağlamadı.

Yeni devletler için yaklaşım

Panel ayrıca Nevada Oyun Kontrol Kurulu’nun (NGCB) idari bölümü için kıdemli bir politika danışmanı olan Michael K. Morton’u dinledi. Gelecek hafta, Nevada Kumar Komisyonu, oyun operatörlerinin yıllık siber risk değerlendirmesini tamamlamasını gerektirecek yönetmelik değişikliklerini kabul edebilir. Kurala göre, oyun operatörleri yalnızca kendi kayıtlarını ve işlemlerini değil, aynı zamanda “müşterilerinin, çalışanlarının ve satıcılarının” kişisel tanımlanabilir bilgilerini de korumalıdır. Ayrıca, bir operatörün ihlali keşfettikten sonra en geç 72 saat içinde bir siber saldırıyı NGCB’ye bildirmesi gerekir.

Panelin moderatörlüğünü, önümüzdeki yılın başlarında çevrimiçi spor bahislerini başlatmaya hazırlanan bir eyalet olan Massachusetts Eyaleti Temsilcisi Mike Finn yaptı. Finn, şu anda Massachusetts’in Nevada’ya benzer operatörlere uygun siber savunmalar konusunda rehberlik eden bir “bildirim diline” sahip olmadığını söyledi. Spor Kolu. Finn ve diğer yasa koyucular, bu tür kuralları geçirmek için eyalet düzenleyicileriyle birlikte çalışmalıdır.

2023’te bir başka yeni gelen Ohio’nun gelecek yıl spor bahislerini başlatan en kalabalık eyalet olması bekleniyor. Ohio Casino Kontrol Komisyonu (OCCC) standartlarındaki bir hüküm, operatörlerin en az üç yılda bir güvenlik protokolleri ve bilgi teknolojisi sistemlerinin bağımsız denetiminden geçmesini gerektirecektir. Ancak OCCC Başkanı June Taylor, komisyonun uygunluk gerektiren durumlarda pencereyi kısaltma esnekliğine sahip olduğunu belirterek, şunları söyledi: Spor Kolu gerekirse miktarı 18 aya indirebileceğini söyledi.

Düzenleyicileri geride bırakmak

Düzenleyiciler, yasa koyucular ve teknoloji uzmanları arasında ortak bir tema Spor Kolu Üç günlük konferans boyunca, sofistike bilgisayar korsanlığı grupları tarafından kullanılan teknolojinin genellikle o kadar gelişmiş olması, eyalet hükümetlerinin ayak uydurmakta zorlanması. Bir devlet düzenleyicisi, her 18 ayda bir bağımsız denetim gerektirecek bir acil durum önlemi alabilir, ancak siber suçlular bir güvenlik sistemini 18 saatten daha kısa bir sürede atlatmak için bir strateji geliştirebildiklerinde politikalar etkili olur mu?

Başka komplikasyonlar da var. Bazı eyaletlerde yasama organı düzensiz olarak toplanır. Örneğin Nevada yasama organı, her iki yılda bir yalnızca 120 günlük bir süre için toplanır. Morton, sonuç olarak, yasama organının düzenleyicilere, oturumda olmadığı zamanlarda acil durum önlemlerini geçirmeleri için geniş bir serbestlik tanıdığını açıkladı.

Diğerleri, bazı yasama organlarının, uygulama ekiplerinin sorunu yeterince çözmesini sağlamak için yeterince fon ayırmadığından yakındı.

Bu amaçla, Colorado Oyun Bölümü Direktörü Dan Hartman önümüzdeki aylarda bir siber güvenlik değerlendirme görev gücü atamayı değerlendirecek. Görev gücü, operatörlerin potansiyel bir izinsiz girişe karşı daha iyi hazırlanmalarına yardımcı olmak için perakende ve çevrimiçi bahis siteleri ile işbirliği içinde çalışacak özel bir siber güvenlik şefi içerebilir. Colorado, kripto para birimi alanında, “kripto çarı” olarak adlandırılan benzer bir role bir yetkili atamayı düşündü.

Yedi rakamlı kayıplar

Bir dizi eyalet yasa koyucusu, diğer büyük endüstrilerin büyük çaplı siber ihlallerin kurbanı olduğuna hemen işaret etti.

NCLGS Başkanı Jon Ford, Indianapolis Konut Ajansı’nın bir bir dizi büyük fidye yazılımı saldırısı sonbaharın üzerinde. Washington Eyaleti Temsilcisi Shelley Kloba, salgının zirvesinde olan ve ABD’yi etkileyen bir güvenlik olayını anlattı. 1,6 milyon kişinin kişisel bilgileri kim devlete işsizlik başvurusunda bulundu. Kloba, DraftKings olayının sektör için bir “uyandırma çağrısı” işlevi görebileceğini kaydetti.

Bir saldırı tehdidini savuşturan şirketler için ödenmesi gereken yüksek bir bedel olabilir. İran, 2014 yılında Las Vegas Sands siber ağını ihlal ettikten sonra, şirket ağını yeniden inşa etmek için 40 milyon dolarMorton kaydetti.

Başka bir endüstri uzmanı olan SharpRank CEO’su Chris Adams, şu an için en iyi senaryonun, siber saldırı olaylarının azalması için kontroller ve dengelerle birlikte proaktif olarak korkuluklar oluşturmak olduğunu belirtti.

Adams, “Şu anda olması gereken tek şey bir hız sınırı belirlemek” dedi. Spor Kolu. “Endüstrinin büyüme motorlarına kesinlikle bir yönetici koymaya gerek yok, daha çok bu endüstrinin istikrarını, büyümesini ve yenilik yapma yeteneğini tehlikeye atan kötü aktörler için somut çözümler olacak şekilde hız sınırını belirlemekle ilgili.”

Bu arada Ford, milletvekillerini tüketicinin korunmasını konferansın ana önceliği haline getirdikleri için övdü. Yönetmelikler makul güvenceler sağlar, ancak yasal zorunluluklar bir devletin iş anlamına geldiğini gösterir. Ayrıca, lisanslama konuları ciddi bir girişimdir ve bir devletin suçluluğu kanıtlama çıtası genellikle yüksektir – bu, neredeyse her çevrimiçi sektörde siber saldırıların yaygınlığı göz önüne alındığında zorlu bir görevdir.

Ford, “Tüketicilerin mahremiyetinin korunmasını sağlamak için yüksek standartlara sahip olacağız” dedi. Spor Kolu. “Yerler bunu yapmazsa, lisanslarını kaybedebilirler.”

Bu hikaye, 1.000’den fazla DraftKings hesabını etkileyen siber ihlale yönelik geniş sektör tepkisini konu alan üç bölümlük bir dizinin ilk bölümüdür. Sıradaki: Bölüm II — Siber saldırılara etkili bir şekilde yanıt vermek için paydaşların parmaklarının ucundaki teknolojik çözümler.




güvenilir bahis siteleri