針對全球企業的網絡犯罪活動日益顯著,綜合度假村營運商必須認真對待這威脅。
過去一年見證了一場持續肆虐的網絡安全隱患,針對各領域企業組織的網絡攻擊按年增長168%。
單以澳門來計,司法警察局表示,2021年電腦犯罪宗數按年增加了 400%。相關犯罪的複雜性和頻率發生了顯著變化,其中最常見的形式包括勒索軟件、分散式阻斷服務攻擊和客戶數據盜竊。
博彩業是網絡犯罪分子意圖阻礙商業活動以獲取非法利益的主要目標。 從博彩元素優化到客戶關係管理到採購和人員配備,數據已成為整個綜合度假村(IR)營運生態系統的重要一環。場地和雲環境等複雜網絡與第三方供應商系統的整合,在IT系統架構中造成許多潛在的弱點,並對保護網絡免受攻擊這方面帶來了挑戰。
勒索軟件:首要威脅
勒索軟件攻擊對業務造成最大的破壞。這涉及網絡犯罪分子利用惡意軟件來滲透受害者的數據系統並加密關鍵數據,從而有效地阻止受害者訪問或使用受影響的文件服務器、數據庫和應用程式。犯罪分子會要求受害者支付贖金,以提供解密密鑰並恢復受害者對文件和數據的訪問權限。

勒索軟件可以通過網絡釣魚、安全漏洞或非活躍帳戶等進入組織的系統。該惡意軟件的設計令其可在整個網絡中快速傳播,並癱瘓企業組織的營運。最近一宗事件發生於2021 年5月,安盛亞洲子公司Asia Assistance在泰國、馬來西亞、香港和菲律賓的IT營運遭到勒索軟件攻擊,令泰國客戶的個人數據和醫療記錄外洩。
在最近的事態發展中,勒索軟件攻擊的要求還包括若受害者不支付贖金,就會公開洩露數據和文件。鑑於IR行業的性質,與顧客有關的數據和個人訊息一直被視為特別敏感的,而在勒索軟件事件中,相關數據或會公開洩露,這是一個嚴重的潛在威脅。
為了減輕這些事件的影響,網絡保險政策通常涵蓋支付相關贖金和所產生的成本和費用,以應對勒索軟件攻擊。然而,過去一年的公共政策發展尤其是在法國和美國,當地政府強烈阻止企業支付贖金或回應勒索要求,並建議企業轉而專注於阻止勒索軟件攻擊的預防措施。
此外,博彩營運商或會發現,所在地的博彩法中有關反恐融資的規定禁止營運商支付贖金。勒索軟件攻擊背後的網絡犯罪分子通常是匿名的,並且沒有足夠訊息可以確定相關犯罪分子的潛在動機或贖金的最終流向。因此,營運商在考慮對贖金要求作出回應之前,必須考慮合法性問題,以避免違反監管義務及作出違法行為。

因此,營運商將需要投入更多資源在落實高級別預防措施和備份數據管理功能,以減輕勒索軟件攻擊帶來的影響。目前,據報只有 11%的企業組織能夠在遭受攻擊後72小時內恢復關鍵數據,只有2% 的災難恢復工作符合其業務定義的恢復要求。對於IR而言,相關挑戰尤其嚴峻,因為其不少企業工具和系統的實施橫跨不同團隊以管理數據,每個團隊都有自己的安全和存取設置。這種分散的系統集合為同一時間審視各種技術的狀態和控制設置帶來了問題,增加企業的IT營運面對精心策劃的網絡攻擊時的風險。
隨著勒索軟件即服務(RaaS)的發展,勒索軟件攻擊發生的可能性或會在未來激增。RaaS是一種軟件交付模式,以分成制度為科技知識能力有限的網絡犯罪分子提供現存的勒索軟件工具,使其執行勒索軟件攻擊,從以換取犯罪分子使用該軟件所成功獲得的每筆贖金的一定百分比,相關分成亦會分給原勒索軟件的開發商。這些犯罪分子所作出的RaaS攻擊將大量入侵企業組織的系統,或會令組織的威脅檢測防禦應接不暇,導致網絡資源不足,無法識別和防禦更複雜和更關鍵的網絡攻擊。
數據盜竊事件
博彩業客戶數據的價值持續激勵網絡犯罪分子作出數據盜竊和數據洩露行為。2021 年,不法份子在暗網持續不斷地以中文和英文發布客戶個人數據的待售訊息,包括個人訊息和詳細財務資料,相關數據源自網絡博彩公司和平台的數據庫。亞洲的旅遊酒店企業也是攻擊目標,Centara Hotels & Resorts 報稱其網絡於2021年10月遭到網絡攻擊,客戶的身份證照片、姓名、地址、電郵地址和預訂的詳細資訊遭外洩。
這些數據安全事件的真正禍害是,營運商的聲譽損失,以及客戶對營運商的品牌、系統和營運的信心全失。這可能令為客戶關閉其賬戶、遷移至競爭對手或未來拒絕同意營運商存儲其個人數據,從而導致營運商收入損失,並對其股票估值產生負面影響。
知識產權盜竊
不僅是數據盜竊,還有知識產權盜竊,這對網絡博彩公司而言是一個根本性的問題。有價值的專有源代碼和軟件代碼簽名證書經常成為網絡入侵的目標,隨後被網絡犯罪分子在暗網上轉售套利。
然而,企業組織不僅僅須應對網絡攻擊帶來的商業影響,還有法律和監管方面的影響。例如,澳門IR營運商被歸類為私營關鍵基礎設施營運商,並根據澳門《網絡安全法》須承擔額外的義務,包括加強檢測和應對網絡事件的職責、安全自我評估和監管報告。因此,澳門營運商在預防和減輕網絡風險的基準要是十分高,未達到要求將承擔相應的責任。
數據保護法規也就個人數據的安全義務和數據洩露時需提交報告作要求,以及列明未能符合要求而需面對的處罰。中國新的《個人信息保護法》的域外效力以及日本《個人信息保護法》的修訂,將要求營運商針對海外客戶個人訊息遵守額外的數據管理措施,包括安全和數據洩露通知。
為不可避免的事作好準備
本質上而言,企業組織很可能在未來受到一次或多次網絡攻擊。 因此,其目標之一應是減少損失,這很大程度上取決於營運商在檢測、應對和克服網絡攻擊的能力和速度。
主動的滲透測試和模擬事件應對,對於確保團隊做好應對威脅準備及熟練事件應對措施是至關重要的。然而,應對計劃不應僅限於IT 安全團隊,還應包括公關、通訊和客戶服務團隊。精心準備的網絡安全事件應對通訊計劃是必須的,但卻經常被忽視,該計劃應涵蓋預先批准的通知草案和聲明模板,以及後續須發布的訊息。鑑於網絡事件的時間性問題,提前製備這些計劃是至關重要的,令企業組織可立即採取行動,盡快恢復企業與受影響方的關係和公眾聲譽。
在數字時代,網絡威脅確切地存在,而對商界及業務營運而言,是日益顯著須關注的問題。 通過不斷改進的防禦和安全工具、滲透測試和事件應對培訓演習,才能緩解相關威脅。