Em uma era em que as ameaças cibernéticas são uma realidade diária, a indústria de iGaming precisa evoluir sua abordagem de segurança. No primeiro dia do evento SiGMA Europa, especialistas do setor se reuniram para discutir esses desafios, oferecendo uma visão privilegiada sobre as mais recentes estratégias para proteger operações em um mundo digital. O painel, realizado no palco da SiGMA, contou com vozes líderes em cibersegurança e regulação legal. Cada um compartilhou conselhos valiosos sobre como se preparar para as ameaças cibernéticas enfrentadas pelos operadores atualmente.
“Temos um painel interessante,” iniciou Harmen Brenninkmeijer, sócio-gerente da NYCE International, que presidiu a discussão. “Vamos focar em alguns eventos que estão acontecendo em torno da cibersegurança, especialmente ataques de phishing e outras ameaças. Tal situação não é algo apenas para o departamento de TI dizer “o que posso aprender?” É algo que todos os gestores de operações precisam entender, dada a gravidade da situação.”
O painel contou com Peter Wilson, CEO da PWL Legal; Francesca Zammit, Associada e Consultora da NOUV; Kris Galloway, Chefe de Produto iGaming na Sumsub, e Ivan Spiteri, Diretor de Tecnologia e Serviços de Garantia da BDO Malta. A discussão abordou desde ataques de phishing até ameaças patrocinadas pelo estado, com cada palestrante destacando o que os líderes devem priorizar.
Ameaças cibernéticas no mundo real
Peter Wilson, com mais de trinta anos de experiência como advogado regulatório e de defesa, compartilhou uma história que destacou os riscos da vigilância cibernética inadequada. “Imagine o seguinte,” começou ele. “Você é um funcionário que trabalha em uma filial de um escritório, parte de uma organização com 70 unidades e 20.000 colaboradores. Na tarde de sexta-feira, recebe mais um currículo por e-mail, em resposta a uma vaga de recrutamento. Sem pensar muito, você abre o e-mail e segue para o fim de semana.”
Wilson explicou o ataque que se seguiu. “Durante o fim de semana, o departamento de TI percebe alguma atividade na rede, mas não investiga muito. Quando chega segunda-feira, aquele currículo liberou um payload de malware. Ele trancou todos fora do sistema, criptografou os dados da folha de pagamento e tornou os dados de todos os 20.000 funcionários inacessíveis.”
Os atacantes exigiram um resgate de £ 10 milhões, deixando a organização de joelhos. “Felizmente,” continuou Wilson, “um indivíduo no departamento de TI tinha feito um backup parcial do sistema naquela semana. A empresa conseguiu reconstruir seu sistema, mas só por pura sorte.” A história de Wilson destacou a importância do monitoramento da dark web, verificações regulares de sistema e treinamento de funcionários para prevenir incidentes semelhantes.
O elemento humano na cibersegurança
Harmen virou-se para Kris Galloway e perguntou como as empresas podem garantir que milhares de funcionários estejam vigilantes contra ameaças cibernéticas.
“O treinamento é uma parte disso,” observou Galloway. “O que Peter descreveu me lembrou do ataque de malware na MGM e na Caesars, que resultou em a Caesars pagar milhões para evitar uma paralisação prolongada. Este episódio aconteceu em setembro de 2023. Desde então, a IA avançou muito, e está tornando os ataques ainda mais sofisticados.”
Galloway alertou que a confiança de um CEO em sua segurança pode sinalizar excesso de confiança ou falta de conscientização. “Você pode ir até o seu CEO e garantir que tudo está sob controle? No mundo ideal, sim. No entanto, dada a ameaça iminente da IA, é difícil dizer “tudo está sob controle” com certeza. Na verdade, se alguém disser isso, provavelmente é um sinal vermelho, eles não conhecem as ameaças.”
Quando questionado sobre quem deveria ser responsabilizado, Galloway respondeu: “Acredito que a responsabilidade é da alta liderança. Os profissionais de TI sabem o que estão fazendo, mas se você não está se preparando para essas novas ameaças, está cometendo um erro.”
Zero Trust e uma estratégia de segurança culturalmente embutida
Francesca Zammit compartilhou sua visão sobre integrar a segurança em todos os níveis organizacionais por meio de um modelo de Zero Trust. “No nível mais estratégico, é essencial cultivar uma cultura de cibersegurança,” afirmou. “Não se trata apenas da equipe de TI. Precisamos incorporar os princípios do Zero Trust, onde a confiança nunca é presumida, e a verificação é constante.”
Zammit argumentou que essa abordagem garante que até tarefas básicas, como conceder direitos de acesso, sejam realizadas com cautela. “Você adota uma mentalidade de nunca confiar e sempre verificar. Para as equipes de TI, isso significa sempre questionar os direitos de acesso e monitorar continuamente.”
Galloway apoiou sua posição, fazendo uma analogia. “Imagine uma equipe de Fórmula 1,” disse ele. “Você não pode esperar que o mesmo mecânico que está com você há 10 anos seja o responsável por pilotar seu carro com a tecnologia mais recente. Cabe à alta liderança trazer novas expertises.”
Riscos de engenharia social
Peter Wilson destacou a vulnerabilidade dos departamentos de TI à engenharia social. “Eu tive um caso onde dois diretores de uma empresa de jogos convenceram um membro da equipe de TI a dar acesso ao sistema. Eles então excluíram outros diretores, assumindo os sistemas da empresa. O departamento de TI precisa ter alguma independência para evitar manipulações.”
Galloway interveio com uma pergunta provocadora: “O treinamento poderia criar um falso positivo? Se alguém recebe instruções de um deep fake de seu chefe, é mais provável que confie. O treinamento poderia realmente ter efeito reverso nesse cenário?”
Wilson respondeu, enfatizando políticas abrangentes. “Não há resposta perfeita,” disse ele. “Mas se você tiver procedimentos razoáveis em vigor, tiver um histórico de documentos e provar que levou a segurança a sério, você está muito mais propenso a evitar consequências regulatórias graves.”
Ivan Spiteri sugeriu uma abordagem de resiliência cibernética em toda a indústria. “A indústria de jogos deveria olhar para o modelo do setor de energia na Europa,” disse ele. “Eles têm Centros de Compartilhamento e Análise de Informações (ISACs), que são eficazes em compartilhar inteligência sobre ameaças.” Ao colaborar nas informações sobre ameaças, as empresas de iGaming poderiam combater proativamente os riscos cibernéticos, seguindo exemplos bem-sucedidos de outras indústrias.
Spiteri também recomendou a protocolização de dados, uma estratégia do setor de pagamentos que envolve criptografar dados sensíveis separadamente do sistema principal. “Se houver uma violação, os dados permanecem protegidos,” explicou ele.
IA e o futuro da cibersegurança
Retornando ao papel da IA na resiliência cibernética, Galloway expressou suas preocupações. “Podemos falar sobre medidas antifraude o dia todo, mas, no final das contas, estamos jogando pedras enquanto a IA está lançando mísseis,” alertou. Ele pediu transparência nas soluções de IA para garantir que elas tomem decisões rastreáveis. “Quanto mais transparentes os sistemas de IA forem, mais fácil será para os humanos detectar falsos positivos e entender por que a IA tomou certas decisões.”
Quando perguntado se os provedores de plataformas entendem a gravidade do impacto da IA, Galloway respondeu diretamente: “Absolutamente não. Os reguladores também não entendem totalmente. Essa tecnologia é grande, nova e dinâmica. Manter o controle é crucial, mesmo com o avanço da IA. No entanto, precisamos programar transparência para entender por que as decisões são tomadas.”
Quando a sessão se aproximava do fim, Harmen pediu aos membros do painel para compartilhar pensamentos finais.
“Vamos ver um aumento nos ataques patrocinados pelo estado,” previu Wilson. “E provavelmente, veremos a IA sendo usada para automatizar esses ataques em uma escala maior.”
Galloway respondeu, pensativo: “Eu nem tinha pensado no que você acabou de dizer, tornando as coisas infinitamente mais assustadoras.”
Wilson complementou: “Se você leu 1984, a visão de Orwell sobre o futuro era uma bota esmagando um rosto humano para sempre.” Zammit compartilhou um mantra de despedida: “Nunca confie. Sempre verifique. Esse deve ser o princípio.” Ivan Spiteri concluiu: “Essa metodologia precisa ser um compromisso constante. A cibersegurança deve permanecer na agenda a longo prazo.”
Com isso, Brenninkmeijer concluiu a discussão. “Por favor, leve isso a sério. Não há como enfatizar o suficiente. Mantenha-se vigilante.”
Este painel convenceu o público de que a resiliência cibernética exige não apenas defesas técnicas, mas uma cultura de vigilância e adaptação proativa. Para a indústria de iGaming, a mensagem é simples: ficar à frente das ameaças cibernéticas exige atenção de todos os níveis.
Inscreva-se na contagem regressiva das Top 10 Notícias da SiGMA e na Newsletter Semanal da SiGMA para ficar por dentro das novidades mais recentes do iGaming e aproveitar ofertas exclusivas para assinantes.
