Geçen yıl, 2018’de, Avrupa Birliği’nin bir parçası olan devletler, Genel Veri Koruma Yönetmeliği’ni (GDPR0, vatandaşlarına ek veri güvenliği sağlamak için yürürlüğe koydu. GDPR’nin sonuçlarının battığı gibi, bunun sadece bir uyumluluk olmadığı açıktır. Egzersiz yapmak, ancak sektörün genelinde bir zihniyet değişikliği, bu, etkin veri güvenliğinin anahtarıdır.

Online oyun endüstrisi hacker’lar, gerçekte ve kurgu için her zaman bir hedef olmuştur. Sting’den Okyanus’un Eleven ve Lock, Stock ve Two Smoking Varil’lerine, sinema dünyası her zaman casino gibi bir organizasyonu devraltan hırsızlık fikrini yeniden yaşattı. Bir şey neredeyse masum olarak algılanan isimsiz girişimleri yenen çekici sahtekarlar hakkında tatmin edici. Hollywood’un kurgusal dünyasında, kaçınılmaz neticesinde, istemeden de olsa, durumun gerçekliğini yansıtan gelişmeler yaşanıyor.

Gerçek şu ki, tekrarlanan ihlaller çevrimiçi ve oyun işletmeleri tarafından giderek daha fazla deneyimleniyor. Bu örneklerin bilmediği veya zorunlu olarak göstermediği şey, diğer gerçekliktir. Çevrimiçi oyunların yeni döneminde, kayıplar çok gerçek. Bu kayıplar, kişisel verileri alınmış olan bireylerdir.

Siber saldırılar pek çok biçimde olabilir, ancak virüslü bilgisayarların ağı trafiğe boğduğu DDoS saldırıları (Dağıtılmış Hizmet Reddi) gibi işlemleri bozanlara da kategorilere ayrılabilir. Bazı oyuncuların bu saldırıların farkındadır, World of Warcraft gibi çevrimiçi oyunların, sunucularını DDoS saldırıları tarafından yıl boyunca birkaç kez saldırdığı bilinmektedir.

Ayrıca, diğer çevrimiçi şirketler için, bazı saldırılar veri hırsızlığına, müşteri verilerini ve diğer önemli bilgileri hedef alır ve daha sonra karanlık ağda satılır veya kimlik sahtekarlığı ve fidye saldırıları için kullanılır. Bu tür bir bilgi istismarı türü özellikle oyun endüstrisi ile ilgilidir, çünkü itibar kaybına ve kullanıcıların kaybına neden olur.

Her ne kadar olumsuz tehdit önemli olsa da, içerden gelen ve genellikle güvenilen çalışanlar tarafından oluşturulan tehdit bir işletme için daha büyük bir risk oluşturabilir. Ayrıcalıklı erişim sayesinde, çalışanlar çoğu durumda istemeden, hedeflenen bir veri ihlaline karışabilir. Örnek olarak, kumarhane endüstrisindeki personel, güçlü bir “Marangozlar, Hareket Edenler, Liderler” süreci gerektiren rakipler arasında rol değiştirme eğilimindedir. Ayrıca, her bir kumarhaneden veya başka bir çevrimiçi kuruluştan gelen yüksek miktarda veri sızıntısı farkındalığı gerektirir.

GDPR ve PCI DSS
GDPR çerçevesi Mayıs 2018’de bir AB kanunu haline geldi ve mevzuat ilk kez ilan edildiğinden bu yana ve şirketlerin verilerini yönetme şeklindeki etkisi hakkında çok şey yazıldı. Ancak, bilinmesi gereken önemli bir yanılgı var. Mevcut kamuoyu algısı, GSYİH uyumluluğunun var olduğu, ancak bunların hiçbiri olmadığı yönünde.

GSYİH, veri sistemlerinin güvende olmasını gerektiren ancak yorumlamaya açık olan ve ayrıntılı rehberlik amacıyla hiçbir şey sağlamayan bir düzenlemedir. Ayrıca GSYİH uyumluluğunu doğrulamak için yıllık bir inceleme yoktur. Bununla birlikte, PCI DSS doğrulama, bir harici Kalifiye Güvenlik Değerlendirme firması tarafından yıllık veya üç ayda bir gerçekleştirilir. Ayrıca, düzenleme neyin yapılması gerektiğini ve nasıl yapıldığını belirleyen ayrıntılı bir çerçeve sunmaktadır.

Ayrıca işleri daha da kolaylaştırmak için, PCI DSS düzenli olarak güncellemeler ve incelemeler hakkında rehberlik sağlar. Çerçeve ile uyumlu olanlar GSYİH şartlarını yerine getirme yolundalar. Baş Bilgi Güvenliği Görevlilerinin, Veri Koruma Görevlilerinin ve danışmanlarının rolü, bir kuruluşun uygulamada GSYİH’ya uymasını sağlamak için boşlukların mevcut olduğu yerlerde çalışmaktır.

PCI DSS çok faydalı olsa da, sadece belirli bir an için geçerlidir. Bir kontrol değişikliği yanlışsa veya süreçte bir miktar değişiklik olursa, geçersiz uyum sağlanır. Devam eden testler ve güncellemeler esastır ve en iyi şekilde organizasyonun her düzeyinde veri güvenliğini sağlayan yeni bir zihniyet aracılığıyla yönetilir.

Etkili veri güvenliği
GDPR ve PCI DSS birbirlerini tamamlar ve her ikisi de bütünsel olarak yönetilirse, verimlilik ve itibar için muazzam faydalar sağlamanın yanı sıra ihlalin olası zararını hafifletebilir. Ancak, PCI DSS uyumluluğu, belirli bir zamanda uygunluğun doğrulanmasını sağlar. Veri güvenliğinin anahtarı belirli uyumluluk hedeflerine odaklanmak değil, “kutudan uygunluğu” içeren kurumsal bir zihniyet geliştirmektir. Ve elbette devam eden güncellemeleri ve bakımları unutmamak için.

Bu tip değiştirilmiş bir zihniyet, yönetim kurulu düzeyinde geliştirilen ve daha sonra her bir ortağa veya çalışanlara pratik ve basit bir şekilde dağıtılan şirket çapında bir strateji gerektirir. Bunun gerçekçi bir hedef olması için veri güvenliğinin sorumluluğu CISO veya DPO’ya adanamaz, ne de bir BT departmanı işi olarak görülmemelidir. Gerçekten etkili olmak için, veri güvenliği, kurumun veri güvenliği sorumluluklarını yöneten ve denetleyen yönetim kurulundaki her üyenin sorumluluğudur. Veri güvenliği her toplantıda gündemde olmalıdır.

Bununla birlikte, gerçekte, veri ve uyumluluk süreçlerinin karmaşıklığı göz önüne alındığında, belirli bir mülkiyet teknik olarak nitelikli kişilerin elinde olacaktır. Uzmanlık desteği ve kaynakları olmadığı sürece yönetim kurulu düzeyinde etkili bir etki yapılmayacaktır. CISO, operasyonun kapsamını iyileştirmek için stratejik rehberlik ve teknik yetenekler sağlamak zorunda olan veri güvenliği konusunda bir uzmana erişim sağlamalıdır.

Veri güvenliğinde kilit unsurlar

Veri güvenliğindeki kilit unsurlar tehdit izleme, sızma testi, kırmızı takım ve tutulan adli tıptır. Ayrıca, sağlam bir stratejik siber savunma geliştirmek gerekir. Zaten bilinenlere dayanarak bir strateji geliştirmek ve bir savunma oluşturmak yeterli değildir. Siber sahtekarlar zekicedir ve yalnızca bilinen tehditleri ve güvenlik açıklarını değil, aynı zamanda henüz bilinmeyen veya anlaşılmayan güvenlik açıklarını saptama yollarına da sahiptir.

Sadece bilinen savunmayı kullananlar, bilgileri kapsamı ile sınırlı tutulur. Bu bilgiyi sürekli olarak test etmek ve yüzleşmek çok önemlidir. Sürekli bir tehdit izleme programı, sızma testi ve tutulan adli tıp kullanımı burada ortaya çıkmaktadır.

Tehdit izleme, siber saldırıların gelişen doğasını gözlemleme sürecidir. Tüm ticari web siteleri, başlangıçta otomatik araçlarla güvenlik açıkları aranacak ve bir şey bulunduğunda, daha uyumlu bir manuel saldırı başlatılacak. Bu saldırıların doğasını da izleyebilen uyarılar olması, özellikle de çevrimiçi oyun alanındaki oyuncular için çok önemlidir, çünkü bu saldırılar önlenebilir.

The next step in data security is penetration testing, which needs to have both automated and manual elements. Mostly because the rogue communities use both advanced scanning tools where they can identify potential weak areas as well as an additional sophisticated human mind who develops and explores these vulnerabilities. How does penetration testing work? Well, let’s imagine a room with almost limitless doors. The automated penetration test will identify which door conceals potential vulnerabilities. Then, the manual tester will pry these doors open and looks at what is behind them.

Now, let’s take this analogy further, red teaming will open these doors wide and will delve and explore into what is behind them. Red team testers have ethical hacking experience from the industry’s most respected accreditations such as CREST and OSCP, where they use their skills to root around and uncover unforeseen vulnerabilities.

Having this information, the process of closing off potential opportunities for cyber attacks before they are even exposed can begin. In this way, the data security strategy can be developed where vulnerabilities are anticipated. These experts will work in partnership with a specialist retained forensics team who will manage the defense process. In some specialist consultancies, the red team can also be part of the retained forensics team, where they can ensure that the process is an ongoing one, with regular exposure to build in testing.

Engaging a retained forensics team will not only assist in managing a continually evolving defense but they can also build in resilience for a potential attack. However, it is impossible to ever consider an organization to be immune from attacks, given the ingenuity of the hackers. The strategy has to include a detailed plan if an attack ever occurs, particularly for prompt reporting in the event of a breach. GDPR requires any breach to be reported to the relevant regulatory authority within 72 hours and failure to do so will result in punishment.

When it comes to issues of business continuity, failure recovery, and containment by having a retained forensics team on hand, they will be able to manage this process swiftly, which means that any potential damage is limited. It is also worth noting that the engagement of a retained forensics team will not only facilitate the ongoing testing of system security, they will also provide strategic intelligence for effective maintenance and development. They will also demonstrate to the relevant authorities that a robust, ongoing process is in place, therefore this will reduce the level of potential dangers.

Last words

In a few words, GDPR shouldn’t be considered an encumbrance or an onerous chore. It was created to build in safeguards to data security systems by protecting both the organizations and their users from cyber attacks. Those who embrace the GDPR and build an ongoing test and exercise regime into their systems will benefit from the enhanced reputation and player loyalty. Those who make data security responsibility for all members of the company. And those who develop a constant evolving defense strategy can demonstrate to both users and regulatory authorities that these organizations take security very seriously. These are part of things the online industry needs to do and will position them in the best possible shape to resist potential cyber-attacks, or at least deflect or reduce the impact of one. Accepting the GDPR and having cyber resilience is the best business decision.

 

Kaynak: https://www.cpomagazine.com/cyber-security/data-security-in-the-online-gaming-industry/