Quali sono le migliori strategie per garantire la sicurezza nel settore del gioco online? Difficile dare una risposta univoca ma esistono aziende che hanno fatto della cyber security una delle loro mission. Tra queste c’è AizoOn, società di consulenza tecnologica di innovazione, indipendente, che opera a livello globale e che abbiamo intervistato nello speciale della rivista Gioco News del mese si giugno dedicato proprio alla sicurezza nel gioco online. Ad approfondire con noi questo tema è Federico Cornagliotto, direttore divisione cyber security.
Per quanto riguarda la cyber security quali sono le tecnologie principali che vengono applicate nel gioco online?
“La sicurezza va analizzata nel complesso, prendendo in considerazione tre aspetti fondamentali, ovvero: le tecnologie, i processi e le persone. La tecnologia è un tassello importante ma non l’unico e anche nel gioco online riveste la sua importanza. In questo settore, le aziende possono sia essere vittime di frodi sia esserne complici inconsapevoli: la loro immagine o i loro portali vengono utilizzati per attaccare gli utenti finali. Considerando che ogni realtà usa tecnologie diverse non c’è una ricetta unica. Noi, con alcune realtà del gaming, svolgiamo delle verifiche di tipo penetration testing sia tradizionale sia attraverso l’implementazione di specifici scenari ideati sulla base dei fattori di rischio. Questo ci permette di simulare attacchi reali e aiutare queste realtà a prevenirli o imparare a contrastarli. Dopo ogni attività analizziamo con il cliente quello che è successo e lo aiutiamo a migliore velocemente.”
Quali invece gli esempi di attacchi più frequenti in questo settore?
“Gli attacchi più frequenti nel settore sono quelli legati ai tentativi di truffa sia sull’azienda provider del gioco stessa, sia sui loro utenti finali. A volte gli hacker provano a ingannare le logiche dei giochi per ottenere guadagni illeciti ma molto più spesso gli attacchi iniziano con delle mail di phishing rivolte al personale dell’azienda. Altre volte gli attacchi sono rivolti agli utenti finali, i cybercriminali approfittano dell’immagine del provider per rubare credenziali di accesso, dati, e denaro. Le aziende di questo settore dovrebbero sempre monitorare la loro immagine, il loro perimetro, cercare di intercettare chi prova a ‘impersonificarli’ magari creando siti identici all’originale ma controllati dagli hacker, questo attraverso attività di digital intelligence e monitoraggio. È poi importante condurre test di sicurezza periodici per ottenere quella che si chiama in gergo situational awareness (ovvero consapevolezza della propria situazione e della propria postura di sicurezza). Infine, è fondamentale insistere sulla formazione: attraverso simulazioni, ad esempio di phishing, verso il proprio personale interno non tecnico; attraverso una formazione specialistica verso i propri tecnici; attraverso una campagna di awarness verso i propri utenti finali.”
Quali sono i consigli da dare agli operatori per evitare attacchi di questo tipo?
“Con l’evolversi della normativa diventa fondamentale costruire le proprie decisioni sulla base della valutazione del rischio. Un buon approccio è quello di partire dal ‘tradizionale’ e quindi preoccuparsi della sicurezza già in fase di progettazione dei giochi e delle piattaforme. Bisognerebbe poi effettuare analisi e test durante lo sviluppo implementando processi di DevSecOps e infine, effettuare test e simulare attacchi sull’applicativo una volta completo. Quindi suggerisco che un approccio olistico, che includa anche il monitoraggio della propria superficie aziendale e che includa una vera e propria protezione all’immagine sia ciò che ogni azienda di gaming dovrebbe considerare.”
Ci sono delle peculiarità che riguardano la cyber security nel gioco online?
“Chi produce giochi, ha una responsabilità maggiore rispetto ai propri utenti e lo Stato. Su quest’ultimo punto non è raro che gli applicativi vengano utilizzati come sistema per effettuare una vera e propria attività di money laundering. Mentre se analizziamo la domanda da un punto di vista prettamente difensivo, non ci sono differenze peculiari. Tuttavia bisogna tenere presente che chi attacca compie una targetizzazione precisa su un numero di persone con determinate caratteristiche. Per questo ritengo che in questo settore ci debba essere una protezione maggiore dei dati del cliente.”
Su cosa devono investire le aziende per migliorare la sicurezza?
“È fondamentale investire sulla formazione degli operatori e degli utenti, perché se curata nel dettaglio innalza il livello di sicurezza. A questo aggiungiamo un monitoraggio continuo dei sistemi e di quello che succede all’esterno.”