众所周知,保持公众对彩票游戏的信任和信心,有效的运营安全发挥着关键作用。世界彩
票协会安全风险管理委员会 (TheWLASecurityRiskManagementCommittee,简称“SRMC”)负责彩票业安全控制标准的持续改善工作,该安全控制标准自制定至今已有20年时间。该标准是彩票运营商和体育竞猜游戏运营商及其供应商唯一一个国际公认的标准,旨在帮助世界彩票协会成员达到与公认的最佳实践相一致的安全控制水平。
日前,《世界彩票协会杂志》记者采访了加拿大乐透魁北克(Loto-Quebec)彩票公司IT业务总经理、世界彩票协会安全风险管理委员会技术工作组成员安顿·施蒂格利茨(AntonStiglic),探讨了近期世界彩票协会安全风险管理委员会(简称“委员会”)有关安全控制标准持续改进的工作。本期,我们简要介绍国际彩票业有关安全控制标准的最新动态。
基于国际通用标准改进
安顿·施蒂格利茨指出,委员会有关安全控制标准所作出的一些基础性调整都是围绕可以应用于所有彩票机构的通用标准进行的。世界彩协2020版安全 控 制 标 准 是 在 ISO/IEC27001(全称为“信息安全管理体系认证”,是全世界信息安全管理方面典型管理标准之一)的基础上制定的信息安全管理体系,ISO/IEC27001详细列出了具体要求和标准,其后2022年又进行了升级。
ISO/IEC27001信息安全管理体系的亮点是要求组织(包括彩票机构)建立治理体系并持续加以改进。更具体地说,ISO/IEC27001告诉组织需要制定信息安全策略;个人必须负责信息安全各个方面;需要不断识别对组织的特定威胁,并为管理这些威胁而建立控制措施。它还在附录中列出了必须考虑的安全控制要素。
另外,委员会对2022版ISO/IEC27001与此前版本的不同点进行了审阅,以便了解委员会的现存标准是否有需要修改的控制要素。
考虑彩票云安全控制要素
安顿·施蒂格利茨还透露,委员会还认真考虑了云安全的控制要素,因为世界彩票协会审计机构和软件供应合作伙伴通过脸书反馈,原有版本中对彩票供应商和云安全的控制标准存在着一些模糊的地方。另外一些供应商表示,他们没有采用云技术解决方案,采用的是托管解决方案。考虑到这两种情况,委员会工作的主要目标是,确保所有通过云解决方案或其他托管解决方案运行的游戏组件的安全。
现在,委员会在重新审视云安全控制标准,以便更加明确表明这些安全标准一般适用于任一托管服务。另外,由于ISO/IEC27017是基于ISO/IEC27001标准以及对托管服务的额外特定要求,专门针对云服务供应商及其用户而制定的,因此,委员会也在努力阐明有关托管游戏服务的要求是符合ISO/IEC27017安全标准的,从而为彩票业创建一个更安全的、基于云技术的环境,进而降低安全风险。
安全控制跟随新技术发展
最新的技术层出不穷。安顿·施蒂格利茨称,彩票业实际上非常善于在其产品中采用尖端技术。因此,委员会的工作内容之一就是跟随新技术发展,如区块链技术和人工智能技术,以便了解这些技术是如何影响彩票业的,以及委员会是否需要采用额外的控制措施或修改现有控制标准以应对新的威胁。当然,新技术也涉及游戏公正性问题,公正性对购彩者和彩票机构来说都十分重要,委员会制定标准确保摇奖过程与游戏具有公正性,进而获得购彩者信任。
他还指出,数字化技术给行业带来了很多好处,但也为非法活动提供了便利,比如欺诈行为。委员会正与世界彩票协会欺诈管理工作组开展合作。一项有关欺诈的调查表明,众多彩票机构也正在寻求能分享信息、最佳实践并相互学习的平台。为此,委员会计划举行欺诈管理研讨会来提高对此项工作的认知,并提供最佳建议,以便能让彩票机构应对不断升级的各类型欺诈行为。
供应链需要更多安全标准
当前彩票机构正越来越多运用来自不同供应商的技术解决方案,这些解决方案可能涉及游戏系统的一个或几个组成部分,甚至是整个游戏系统。另外,越来越多的彩票机构将售彩从实体渠道转至数字化渠道,并考虑提供全渠道购彩体验,还有一些机构将传统匿名购彩者转变成经过身份认证的购彩者,以符合当地司法的监管。供应商中不仅有传统的游戏供应商,还有涉及用户身份识别、身份验证、了解用户的外部解决方案、防欺诈或负责任游戏等领域的供应商。供应商形成的“游戏系统”覆盖了很多方面,是个具有可组合属性的框架体系,是一个生态系统,既包括独立系统,又包括能相互交换信息的组成部分。
安顿·施蒂格利茨评价说,彩票机构是技术适用者,不少机构的游戏系统中部署大量第三方解决方案。这些解决方案既可以直接由彩票运营商在数据中心进行管理,也可以由第三方通过云技术或托管服务进行管理,需要委员会拥有控制措施来应对这些新情况。因此,安全控制问题就变成了“如何管理一整个生态系统,以保证其安全”。
委员会认为,供应链管理对于确保恰当的风险管理至关重要。彩票机构、供应商以及供应商的供应商都需要建立自己的安全管理系统,从而持续评估所有类型的威胁并加以管理。
新标准积极应对最新威胁
安顿·施蒂格利茨明确指出,在现在的网络环境中,错误的安全配置是导致云服务遭受攻击的主要原因。这意味着,使用云服务的彩票机构如果错误地进行了安全配置,就会留下可以攻击的路径,从而破坏系统的完整性。另外,在考虑或对正在部署的云安全服务运用最佳实践时,人为错误也是一个防范要点,这里所说的人为错误是缺乏相关知识导致的。
最新出现的网络安全威胁,包括了比以往更多的有关勒索软件攻击彩票机构和卡西诺投注场所的案例。这些威胁和其他一些威胁10年前还不存在。这就是委员会为什么要进行管理且不断升级安全控制标准使其适应新技术至关重要的原因所在。
安顿·施蒂格利茨最后说,当前委员会的安全控制标准中的所有控制举措都是根据不同的风险确定的。彩票业风险在不断升级迭代,世界彩票协会安全风险管理委员会则在努力寻找最佳控制措施来缓解这些问题。
(无间/编译)
