South Point, IGT Mempermasalahkan Rencana Keamanan Siber yang Diusulkan NGCB

South Point, IGT Mempermasalahkan Rencana Keamanan Siber yang Diusulkan NGCB

Dewan Kontrol Permainan Nevada (NGCB) ingin meningkatkan perjuangannya melawan serangan keamanan siber.

Minggu ini, NGCB memperbarui bahasa tersebut dalam rancangan peraturan baru (Peraturan 5) yang akan membebankan serangkaian persyaratan terkait keamanan siber kepada operator tertentu. Draf tersebut menekankan pentingnya operator melindungi informasi mereka.

“Sangat penting bahwa operator game mengambil semua langkah yang tepat untuk mengamankan dan melindungi sistem informasi mereka dari ancaman serangan dunia maya yang sedang berlangsung,” draf tersebut mencatat. “Operator game tidak hanya harus mengamankan dan melindungi catatan dan operasi mereka sendiri, tetapi juga informasi pribadi pelanggan dan karyawan mereka.”

Bagaimana Peraturan 5 akan bekerja

Peraturan 5 menyerukan seperangkat standar keamanan siber baru untuk pemegang lisensi Grup 1, yang mencakup kasino Nevada mana pun yang menghasilkan setidaknya $6,5 juta pendapatan kotor game setiap tahun.

Pada dasarnya, peraturan tersebut mencakup arahan sebagai berikut:

Menetapkan pentingnya operator game untuk melakukan segala yang mereka bisa untuk melindungi sistem informasi mereka dari serangan dunia maya Menentukan operator game mana yang akan tunduk pada Reg 5 Mengharuskan operator game untuk melakukan penilaian risiko tahunan dan mencari tahu apa yang perlu mereka lakukan untuk tetap aman Operator perlu mendokumentasikan semua yang mereka lakukan untuk mematuhi Reg 5 Menjaga dokumen Reg 5 selama lima tahun, dan memberikannya kepada NGCB atas permintaan Memberikan hasil penilaian risiko Mengambil tindakan yang diperlukan untuk memastikan operator mematuhi Reg 5

Selain itu, operator akan memiliki waktu hingga 72 jam untuk melaporkan serangan siber ke NGCB jika serangan siber mengakibatkan:

Kehilangan kendali material Kompromi Pengungkapan data atau informasi yang tidak sah

Jika NGCB berhasil, Peraturan 5 akan mulai berlaku pada 1 Januari 2023.

Titik Selatan, tanggapan IGN

NGCB telah mengerjakan Regulasi 5 sejak awal bulan. Selama waktu itu, South Point Hotel and Casino dan IGN telah menyampaikan komentar publik tentang Reg 5.

South Point mengeluh tentang persyaratan penilaian tahunan

South Point, sebuah kasino off-strip, mengatakan bahwa persyaratan penilaian tahunan Reg 5 (Bagian 3) terlalu banyak.

“Sehubungan dengan Bagian 3, kami sangat percaya bahwa memerlukan penilaian risiko tahunan tidak perlu dan berdampak tidak adil kepada pemegang lisensi properti tunggal seperti South Point,” tulis South Point dalam surat kepada NGCB. “Penilaian risiko tidak murah, dan untuk pemegang lisensi properti tunggal, umumnya harus dilakukan oleh konsultan luar.”

Sebagai alternatif, South Point menyarankan untuk mengubah pengujian penilaian menjadi setiap tiga tahun.

South Point melanjutkan ke daftar beberapa masalah lain yang terkait dengan Reg 5. Salah satu masalah itu adalah South Point tidak ingin menyerahkan informasi serangan siber ke server NGCB. Doing mengatakan, kasino berkata, “dapat memberikan ‘peta jalan’ kepada peretas tentang kerentanan sistem.” Kasino mengatakan lebih memilih informasi yang tidak disimpan di server negara bagian yang dapat diretas.

IGT juga meminta perubahan pada penilaian risiko tahunan

Seperti South Point, perusahaan game IGT mempermasalahkan penilaian tahunan NGCB.

IGT mengatakan NGCB harus membatalkan persyaratan tahunan dan memilih garis waktu yang sesuai dengan standar kontrol internal minimum (“MICS”) industri TI. Perusahaan menyarankan sebagai panduan persyaratan penilaian CIS, COBIT, ISO/IEC, dan NIST SP.

Akibatnya, perubahan yang diusulkan IGT akan memungkinkan fleksibilitas untuk persyaratan penilaian berdasarkan karakteristik masing-masing perusahaan.

“Kami memahami operasi bisnis yang berarti operasi game langsung dari entitas yang dicakup masing-masing,” tulis IGT. “Kami juga mengerti bahwa
risiko yang terkait dengan setiap operasi game dapat bervariasi.”

Selain itu, perusahaan meminta NGCB untuk mengklarifikasi arti “sistem informasi”, dan menawarkan definisi berdasarkan MICS.

Author: Zachary Ramirez