多年来,随着博彩公司面临日益增多的网络攻击,网络安全始终是内华达州的首要关注事项。
内华达州博彩监管委员会于周四召开研讨会,启动修订该州网络安全报告法规的程序。此次会议距2023年9月那次重大的网络攻击已过去两年——当时凯撒娱乐和美高梅度假村的系统曾因此瘫痪。
此次研讨会是修订法规以减轻未来事件影响及负面报道的第一步。修订草案最终版本仍需于12月18日获得内华达州博彩委员会批准。
州总检察长办公室的埃德·马高阐述了针对《内华达州法规5.260》中报告要求的修订提案。现行规定要求持牌方在确认遭受网络攻击后72小时内向委员会通报,修订后则要求运营商在确认攻击后24小时内完成通报。代表运营商的行业组织内华达度假村协会对这项获得全票通过的修订提案提出异议。
初步通知后,必须在五个日历日内提交《网络事件初步响应报告》。此后需每30天提交一次更新报告,直至“网络攻击事件完全解决并记录在案”,具体判定权由运营商自行决定。持证方可选择直接与委员会面谈代替提交事件报告,但仍需在会后30天内提交报告。
内华达州博彩委员会主席迈克·德莱泽表示,这些变更反映了监管机构“当前的认知”,即“现行[法规]在某些方面未能体现最佳实践”。他指出现有规则与未来目标之间已出现“脱节”。
委员会成员乔治·阿萨德称2023年那轮攻击对运营商和监管机构而言“极其混乱”,导致数百万美元的运营中断损失及媒体舆论风暴。据报道凯撒娱乐支付了巨额勒索软件赎金,而美高梅则拒绝支付。
内华达州运营商需及早“保持联络”以遏制网络攻击
周四建议的变更并非强化网络安全系统或防范攻击本身,而是旨在建立更清晰的沟通渠道。委员会成员强调,缩短响应时间仅为确保信息及时传递。通知形式可非正式,如邮件或电话联系,“保持联络”一词被频繁使用。
德莱泽表示,与现行程序相比,召开董事会会议而非立即提交事故报告的方案,或许更能有效厘清事件现状。该方案还可能减轻运营商的调查负担——通过即时通知监管机构,而非准备详尽报告。
“这与实际经历过该流程的持牌方反馈一致,核心在于当信息尚未完全掌握时,出于多重考量召开通报会议往往优于填写表格,”德莱泽解释道,“因此我们认为该方案比现行法规更具一致性且更具操作性。”
行业利益相关方认为缩短时限将带来操作挑战。内华达度假协会向委员会提交意见,要求基于“实际应用和行业经验”维持72小时通知要求。
运营商有时会与第三方签订网络安全服务合同,此类合同通常规定供应商需在48小时内通知持牌方。而企业通常需要至少24小时来审查通知内容并进行自主评估。委员会通过修改措辞达成妥协,明确24小时期限适用于运营商自身获知事件的时间节点。
网络安全工作对内华达州博彩业至关重要
游戏公司面临的海量网络安全威胁是研讨会讨论的焦点。近年来,无论是实体还是数字化游戏公司都已成为网络犯罪的主要目标,部分原因在于其掌握着海量玩家数据且涉及巨额资金交易。
根据内华达大学拉斯维加斯分校9月发布的网络安全研究,内华达州赌场尤其成为“机会主义攻击目标”,因其存在大量网络入侵入口、资金充裕,且遭受攻击时公众舆论关注度较低。该研究统计了2007-2023年间近50起内华达州确证网络事件,其中多数发生于2015年之后。
利益相关方警告称,此类事件激增可能导致委员会被“误报”通知淹没。
“我们每日调查的众多事件中,许多根本不构成重大违规——按新规我们可能只需电话通报即可,”亲和力博彩公司信息安全官埃里克·汉森表示。
新规实施后,“重大”违规与未遂攻击的界限可能变得模糊。委员会成员强调希望第一时间获知事件,避免从媒体或第三方渠道获悉。德莱泽指出,鉴于企业差异性,委员会对定义“重大”违规持“审慎态度”。
但正如凯撒娱乐法律顾问钱德勒·波尔所言,合规速度永远赶不上社交媒体传播速度。
“即便新闻报道了事件,持牌方也可能尚未认定存在实质性违规,”波尔表示,“且老虎机区域或部分区域停运可能存在多种非网络安全事件导致的原因。”
德莱泽主导监管更新浪潮
周四的研讨会再次彰显了委员会的行动升级。自2019年1月以来第五任主席德莱泽特于六月履新,已主导多项规则修订,包括扑克筹码兑换政策及私人博彩会所监管条例。
今年堪称内华达州监管史上最黑暗的一年,四家实体因反洗钱违规遭数百万美元罚款。其中三家正是该州最大运营商:永利度假村、美高梅度假村和凯撒娱乐集团。相关调查始于德莱泽特任期之前。
在10月全球博彩博览会的场边活动上,德莱泽特向iGB透露正筹备多场新研讨会。
事实上,仅12月当月委员会就列出了12项拟议监管修订程序,涵盖网络安全、赛马技术及监控系统等广泛领域。