ในยุคที่ภัยคุกคามทางไซเบอร์กลายเป็นความจริงในชีวิตประจำวัน อุตสาหกรรม iGaming จำเป็นต้องพัฒนาแนวทางด้านความปลอดภัย ในวันที่ 1 ของงาน SiGMA ยุโรปผู้เชี่ยวชาญในอุตสาหกรรมได้มารวมตัวกันเพื่อหารือเกี่ยวกับความท้าทายเหล่านี้ โดยเปิดโอกาสให้ผู้ที่สนใจได้รับทราบข้อมูลเชิงลึกล่าสุดเกี่ยวกับการปกป้องการดำเนินงานในโลกดิจิทัลได้รับทราบ คณะผู้เชี่ยวชาญซึ่งจัดขึ้นบนเวที SiGMA ประกอบไปด้วยผู้เชี่ยวชาญชั้นนำในด้านความปลอดภัยทางไซเบอร์และกฎหมายควบคุมดูแล ผู้เชี่ยวชาญแต่ละคนได้แบ่งปันคำแนะนำอันมีค่าเกี่ยวกับการเตรียมพร้อมรับมือกับภัยคุกคามทางไซเบอร์ที่ผู้ให้บริการต้องเผชิญในปัจจุบัน
Harmen Brenninkmeijer กรรมการผู้จัดการของ NYCE International ซึ่งเป็นประธานในการอภิปราย กล่าวว่า “เรามีกลุ่มที่น่าสนใจ เราจะเน้นที่เหตุการณ์ต่างๆ ที่เกิดขึ้นเกี่ยวกับความปลอดภัยทางไซเบอร์ โดยเฉพาะการโจมตีแบบฟิชชิ่งและภัยคุกคามอื่นๆ ไม่ใช่แค่ให้ฝ่ายไอทีพูดว่า ‘ฉันจะเรียนรู้อะไรได้บ้าง’ แต่ให้ทุกคนที่ดูแลการดำเนินงานเข้าใจถึงความร้ายแรงของสถานการณ์”
ในงานเสวนามีผู้เข้าร่วม ได้แก่ Peter Wilson ซีอีโอของ PWL Legal, Francesca Zammit ผู้ช่วยและที่ปรึกษาของ NOUV, Kris Galloway หัวหน้าฝ่ายผลิตภัณฑ์ iGaming ของ Sumsub และ Ivan Spiteri ผู้อำนวยการฝ่ายเทคโนโลยีและบริการการรับรองของ BDO Malta การอภิปรายครอบคลุมตั้งแต่การโจมตีแบบฟิชชิ่งไปจนถึงภัยคุกคามที่ได้รับการสนับสนุนจากรัฐ โดยวิทยากรแต่ละคนจะเน้นย้ำถึงสิ่งที่ผู้นำควรให้ความสำคัญเป็นอันดับแรก
ภัยคุกคามทางไซเบอร์ในโลกแห่งความเป็นจริง
Peter Wilson ซึ่งทำงานเป็นทนายความด้านกฎระเบียบและการป้องกันมานานกว่า 30 ปี ได้เล่าเรื่องราวที่เน้นย้ำถึงความเสี่ยงของการเฝ้าระวังไซเบอร์ที่ไม่เพียงพอ “ลองนึกภาพดูสิ” เขากล่าวเริ่ม “คุณเป็นพนักงานที่ค่อนข้างโดดเดี่ยวที่นั่งอยู่ในสำนักงานสาขาแห่งหนึ่ง ซึ่งเป็นหนึ่งใน 70 สำนักงานสาขาในองค์กรที่มีพนักงาน 20,000 คน เป็นช่วงบ่ายวันศุกร์ และคุณได้รับ CV อีกฉบับทางอีเมลซึ่งเป็นการตอบสนองต่อโฆษณารับสมัครงาน คุณคลิกเข้าไปโดยไม่คิดอะไร และกลับบ้านในช่วงสุดสัปดาห์”
Wilson อธิบายเกี่ยวกับการโจมตีที่เกิดขึ้นว่า “ในช่วงสุดสัปดาห์ที่ผ่านมา ฝ่ายไอทีตรวจพบกิจกรรมบางอย่างบนเครือข่ายแต่ไม่ได้สนใจมากนัก พอถึงวันจันทร์ CV ก็ได้ปล่อยมัลแวร์ออกมาเป็นจำนวนมาก มัลแวร์ได้ล็อกทุกคนออกจากระบบ เข้ารหัสข้อมูลเงินเดือน และทำให้เข้าถึงรายละเอียดของพนักงานทั้ง 20,000 คนไม่ได้”
ผู้โจมตีเรียกร้องค่าไถ่ 10 ล้านปอนด์ ทำให้บริษัทต้องลำบาก “โชคดี” Wilson กล่าวต่อ “มีพนักงานคนหนึ่งในแผนกไอทีได้สำรองข้อมูลระบบบางส่วนไว้เมื่อต้นสัปดาห์ บริษัทสามารถสร้างระบบขึ้นมาใหม่ได้สำเร็จ แต่ก็ต้องอาศัยโชคช่วยเท่านั้น” เรื่องราวของวิลสันเน้นย้ำถึงความสำคัญของการตรวจสอบเว็บมืด การตรวจสอบระบบเป็นประจำ และการฝึกอบรมพนักงานเพื่อป้องกันไม่ให้เกิดเหตุการณ์ที่คล้ายคลึงกัน
องค์ประกอบของมนุษย์ในความปลอดภัยทางไซเบอร์
Harmen หันไปหา Kris Galloway และถามว่าบริษัทต่างๆ จะมั่นใจได้อย่างไรว่าพนักงานหลายพันคนเฝ้าระวังภัยคุกคามทางไซเบอร์
“การฝึกอบรมเป็นส่วนหนึ่ง” กัลโลเวย์กล่าว “สิ่งที่ปีเตอร์อธิบายทำให้ฉันนึกถึงการโจมตีด้วยมัลแวร์ที่ MGM และ Caesar’s ซึ่งส่งผลให้ Caesar’s ต้องจ่ายเงินหลายล้านดอลลาร์เพื่อหลีกเลี่ยงการปิดตัวลงเป็นเวลานาน เหตุการณ์นี้เกิดขึ้นในเดือนกันยายน 2023 ตั้งแต่นั้นมา AI ก็ก้าวหน้าไปมาก และทำให้การโจมตีมีความซับซ้อนมากขึ้น”
Galloway เตือนว่าความมั่นใจในความปลอดภัยของซีอีโออาจบ่งบอกถึงความมั่นใจมากเกินไปหรือความไม่ตระหนักรู้ “คุณสามารถไปหาซีอีโอของคุณแล้วทำให้พวกเขาสบายใจได้หรือไม่ว่าทุกอย่างอยู่ภายใต้การควบคุม ในโลกที่สมบูรณ์แบบ คำตอบคือใช่ แต่เมื่อพิจารณาถึงภัยคุกคามจาก AI ที่ใกล้เข้ามาแล้ว จึงยากที่จะพูดได้อย่างแน่ชัดว่า ‘ทุกอย่างอยู่ภายใต้การควบคุม’ ในความเป็นจริง หากใครพูดแบบนั้น อาจเป็นสัญญาณเตือนว่าพวกเขาไม่รู้ถึงภัยคุกคาม”
เมื่อถูกถามว่าใครควรต้องรับผิดชอบ Galloway ตอบว่า “ผมคิดว่าคุณถือว่าตัวเองมีความรับผิดชอบในระดับซี ฝ่ายไอทีรู้หน้าที่ของตนเป็นอย่างดี แต่ถ้าคุณไม่ได้เตรียมรับมือกับภัยคุกคามใหม่ๆ เหล่านี้ คุณก็กำลังทำอะไรผิดอยู่”
ความไว้วางใจเป็นศูนย์และกลยุทธ์ด้านความปลอดภัยที่ฝังรากลึกทางวัฒนธรรม
Francesca Zammit แบ่งปันมุมมองของเธอเกี่ยวกับการฝังความปลอดภัยในทุกระดับองค์กรผ่านโมเดล Zero Trust เธอกล่าวว่า “ในระดับสูงสุด เราจำเป็นต้องส่งเสริมวัฒนธรรมแห่งความปลอดภัยทางไซเบอร์ ไม่ใช่แค่เรื่องของทีมไอทีเท่านั้น เราต้องฝังหลักการ Zero Trust ที่คุณไม่ต้องไว้วางใจ แต่ต้องตรวจสอบเสมอ”
Zammit โต้แย้งว่าแนวทางนี้ช่วยให้มั่นใจได้ว่าแม้แต่งานพื้นฐาน เช่น การให้สิทธิ์การเข้าถึงก็จะได้รับการดำเนินการอย่างระมัดระวัง “คุณต้องยึดมั่นในแนวคิดที่จะไม่ไว้วางใจและต้องตรวจสอบอยู่เสมอ สำหรับทีมไอที นั่นหมายถึงต้องตั้งคำถามเกี่ยวกับสิทธิ์การเข้าถึงและตรวจสอบอย่างต่อเนื่อง”
Galloway สนับสนุนจุดยืนของเธอโดยยกตัวอย่างเปรียบเทียบ “ลองนึกภาพทีมฟอร์มูลาวันดูสิ” เขากล่าว “คุณไม่สามารถคาดหวังให้ช่างคนเดิมที่อยู่กับคุณมา 10 ปี เป็นผู้บุกเบิกรถของคุณด้วยเทคโนโลยีล่าสุดได้ เป็นหน้าที่ของผู้เชี่ยวชาญระดับ C ที่จะนำความเชี่ยวชาญใหม่ๆ เข้ามา”
ความเสี่ยงทางวิศวกรรมสังคม
Peter Wilson เน้นย้ำถึงช่องโหว่ของแผนกไอทีต่อการจัดการทางสังคม “ผมเคยเจอกรณีที่กรรมการสองคนในบริษัทการพนันพยายามโน้มน้าวพนักงานไอทีให้ให้สิทธิ์เข้าถึงระบบแก่พวกเขา จากนั้นพวกเขาก็ปิดกั้นกรรมการคนอื่นๆ และเข้าควบคุมระบบของบริษัท แผนกไอทีต้องมีความเป็นอิสระในระดับหนึ่งเพื่อป้องกันการจัดการ”
Galloway เสริมด้วยคำถามที่ชวนให้คิด: “การฝึกอบรมอาจสร้างผลลัพธ์เชิงบวกที่ผิดพลาดได้หรือไม่ หากใครสักคนได้รับคำสั่งจากหัวหน้าที่หลอกลวง พวกเขาก็มีแนวโน้มที่จะไว้วางใจคำสั่งนั้นมากขึ้น การฝึกอบรมอาจส่งผลเสียในสถานการณ์นี้หรือไม่”
Wilson ตอบโดยเน้นย้ำถึงนโยบายที่ครอบคลุม “ไม่มีคำตอบที่สมบูรณ์แบบ” เขากล่าว “แต่หากคุณได้กำหนดขั้นตอนที่เหมาะสม มีเอกสารหลักฐาน และพิสูจน์ได้ว่าคุณให้ความสำคัญกับความปลอดภัยอย่างจริงจัง คุณมีแนวโน้มที่จะหลีกเลี่ยงผลที่ตามมาอันร้ายแรงจากกฎระเบียบได้มากขึ้น”
Ivan Spiteri เสนอแนวทางสำหรับอุตสาหกรรมทั้งหมดในการรับมือกับความเสี่ยงทางไซเบอร์ “อุตสาหกรรมเกมควรพิจารณารูปแบบของภาคส่วนพลังงานในยุโรป” เขากล่าว “พวกเขามีศูนย์แบ่งปันข้อมูลและวิเคราะห์ ISAC ซึ่งมีประสิทธิภาพในการแบ่งปันข้อมูลข่าวกรองด้านภัยคุกคาม” บริษัท iGaming สามารถรับมือกับความเสี่ยงทางไซเบอร์ล่วงหน้าได้ด้วยการร่วมมือกันในข้อมูลภัยคุกคาม ซึ่งถือเป็นตัวอย่างที่ประสบความสำเร็จจากอุตสาหกรรมอื่นๆ
Spiteri ยังแนะนำโปรโตคอลข้อมูล ซึ่งเป็นกลยุทธ์จากภาคส่วนการชำระเงินที่เกี่ยวข้องกับการเข้ารหัสข้อมูลที่ละเอียดอ่อนแยกจากระบบหลัก “หากเกิดการละเมิด ข้อมูลจะยังคงได้รับการปกป้อง” เขากล่าวอธิบาย
AI และอนาคตของความปลอดภัยทางไซเบอร์
เมื่อกลับมาพูดถึงบทบาทของ AI ในด้านความสามารถในการรับมือภัยคุกคามทางไซเบอร์ กัลโลเวย์ได้แสดงความกังวลของเขา “เราสามารถพูดคุยเกี่ยวกับมาตรการป้องกันการฉ้อโกงได้ทั้งวัน แต่ท้ายที่สุดแล้ว เรากลับกำลังขว้างก้อนหินในขณะที่ AI กำลังยิงขีปนาวุธ” เขาเตือน เขาเรียกร้องให้มีความโปร่งใสในโซลูชัน AI เพื่อให้แน่ใจว่าโซลูชันเหล่านั้นสามารถตัดสินใจได้ “ยิ่งระบบ AI โปร่งใสมากเท่าไร มนุษย์ก็จะยิ่งตรวจพบผลลัพธ์บวกปลอมได้ง่ายขึ้น และเข้าใจได้ว่าเหตุใด AI จึงเลือกทางเลือกนั้น”
เมื่อถูกถามว่าผู้ให้บริการแพลตฟอร์มเข้าใจถึงผลกระทบของ AI หรือไม่ กัลโลเวย์ตอบอย่างตรงไปตรงมาว่า “ไม่เลย หน่วยงานกำกับดูแลก็ไม่เข้าใจเช่นกัน เทคโนโลยีนี้มีขนาดใหญ่ ใหม่ และมีการเปลี่ยนแปลงตลอดเวลา การควบคุมเป็นสิ่งสำคัญแม้ว่า AI จะก้าวหน้าก็ตาม แต่เราต้องตั้งโปรแกรมให้มีความโปร่งใสเพื่อดูว่าเหตุใดจึงต้องตัดสินใจ”
เมื่อการประชุมใกล้จะสิ้นสุดลง Harmen กระตุ้นให้คณะผู้เชี่ยวชาญแบ่งปันความคิดเห็นขั้นสุดท้าย
“เราจะเห็นการโจมตีที่ได้รับการสนับสนุนจากรัฐเพิ่มมากขึ้น” Wilson ทำนาย “และเราอาจได้เห็นการใช้ AI เพื่อทำให้การโจมตีเหล่านี้เป็นไปโดยอัตโนมัติในวงกว้างมากขึ้น”
Galloway ตอบอย่างครุ่นคิดโดยกล่าวว่า “ฉันไม่ได้คิดถึงสิ่งที่คุณเพิ่งพูดเลย นั่นทำให้มันน่ากลัวยิ่งขึ้นไปอีก”
Wilson เสริมว่า “หากคุณเคยอ่าน 1984 วิสัยทัศน์ของ Orwell เกี่ยวกับอนาคตก็เปรียบเสมือนการเหยียบย่ำเท้ามนุษย์ไปตลอดกาล” Zammit กล่าวคำอำลาว่า “อย่าไว้ใจใคร ต้องตรวจสอบเสมอ นั่นควรเป็นหนทางที่ดีที่สุด” Ivan Spiteri เสริมว่า “สิ่งนี้ต้องเป็นการมุ่งมั่นอย่างต่อเนื่อง ความปลอดภัยทางไซเบอร์ต้องอยู่ในวาระการประชุมสำหรับอนาคตเสมอ”
เมื่อพูดจบแล้ว Brenninkmeijer ก็ปิดการอภิปราย “โปรดพิจารณาเรื่องนี้อย่างจริงจัง เรื่องนี้ไม่สามารถเน้นย้ำได้มากพอ โปรดระวัง”
คณะผู้เชี่ยวชาญได้โน้มน้าวผู้ฟังว่าความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์นั้นไม่เพียงแต่ต้องอาศัยการป้องกันทางเทคนิคเท่านั้น แต่ยังต้องมีวัฒนธรรมแห่งการเฝ้าระวังและการปรับตัวเชิงรุกด้วย สำหรับอุตสาหกรรม iGaming ข้อความนั้นเรียบง่ายมาก นั่นคือ การก้าวไปข้างหน้าจากภัยคุกคามทางไซเบอร์ต้องอาศัยความเอาใจใส่จากทุกระดับ
สมัครสมาชิก เพื่อรับการนับถอยหลังข่าวเด่น 10 อันดับแรกของ SiGMA และจดหมายข่าวรายสัปดาห์ของ SiGMA เพื่อให้ทราบข่าวสาร iGaming ล่าสุดทั้งหมด และรับประโยชน์จากข้อเสนอสำหรับสมาชิกเท่านั้น
