Nevada Gaming Commission(ネバダ州ゲーミング委員会)は木曜、同州のゲーミング業界をサイバー攻撃から守るための規制改正を承認した。サイバー攻撃による顧客情報の漏えいやサイトがダウンするといった深刻な影響を防ぐためだ。
1月1日に施行されるこの規制では、事業者は全てのデータ漏えいを72時間以内にゲーミング規制当局に報告すること、また、1年以内にリスク評価計画を策定し毎年更新することが義務付けられる。
新規制は、州内にある400以上のカジノ事業者と、州内で営業する全ての認可済みスポーツブックおよびインタラクティブ・ゲーミング事業者に適用される。
木曜日の審議は25分足らずで終了し、当初は事業者からの反対を受けた規制内容が中心だった。Nevada Resorts Association(ネバダリゾート協会)とAssociation of Gaming Equipment Manufacturers(ゲーミング機器製造業者協会)の代表者が出席したが、秋に公聴会が開かれた修正案に異論はなかったという。
ネバダ州の上級副検事であるEdward Magaw氏は委員会メンバーに対し、規制の最終草案は、8月に発表された最初の草案以来、業界からの要望を多く取り入れたものであると述べた。
新要件の説明
新規制では、プレイヤーや従業員のデータ、クレジットカード情報その他の記録が漏えいした場合、漏えいから72時間以内にNevada Gaming Control Board(ネバダ州ゲーミング委員会)に報告する必要がある。事業者は、サイバー攻撃の根本的な原因、その範囲、および同様の事象の発生を防止するために実施または計画された措置について説明することが義務付けられている。
事業者は2023年末までに最初のリスク評価を行い、攻撃を防ぐために必要かつ継続的な措置を講じる必要がある。改正案によると、その後「継続的に事業運営上のサイバーセキュリティリスクを監視し評価すること」とされている。
改善が必要な領域が特定された場合、事業者はその対処方法について決定権を持つ。改正案では具体的な対策は指示されておらず、各事業者は「サイバーセキュリティのベストプラクティスとリスク評価を適切と思われる方法で修正する」ことだけが求められている。
内部監査または独立したサイバーセキュリティの専門家は、リスク評価に基づくベストプラクティスを事業者が遵守していることを検証しなければならない。
ゲーミング業界を襲うサイバー攻撃
この規制改正の前日にはBetMGMが、ハッシュ化されたソーシャルセキュリティ番号を含む顧客情報が「不正に取得された」というデータセキュリティ問題を利用者に通知したばかりである。また1か月前にはDraftKingsが、漏えいしたログイン情報を持つ顧客口座から30万ドルの盗難を報告していた。
昨年、FBIのサイバー部門はランサムウェアによるサイバー攻撃を報告した。被害にあったのはオクラホマ州のシャイアン族とアラパホ族が所有・運営する4つのカジノと2つのトラベルセンターにあるゲームパーラー、そしてウィスコンシン州のMenominee Casino Resortなど。システムのダウンや不具合が起こり、被害は数百万ドルに及んだ。
また昨年、ネバダ州の120のゲーミングバーからなるDotty’sチェーンがデータ漏えいを報告した。2020年にはFour QueensとBinion’s Gambling Hallがスロットマシンなどのシステムに影響を与えるサイバー攻撃を受けほぼ1週間閉鎖された。
出典元:Casino.org
