Le vulnerabilità nascoste possono rappresentare una grave minaccia alla stabilità dei sistemi di sicurezza delle informazioni. Se non individuati e risolti in modo tempestivo, possono diventare un problema per l’intera operazione della lotteria e metterne a repentaglio i dati.
Il webinar WLA/EL sulla sicurezza e sui rischi operativi, svoltosi alla fine del 2021, ha approfondito le metodologie di test per l’identificazione delle vulnerabilità nascoste e alla gestione dei rischi, con particolare attenzione alle ricompense dei bug; è stato inoltre proposto un esercizio di sicurezza informatica virtuale

Moderato dal direttore esecutivo della WLA, Luca Esposito, e dal segretario generale di EL, Arjan van’t Veer (nella foto), il webinar è stato caratterizzato dagli interessanti interventi di due importanti personalità del settore: Dato’ Lawrence Lim Swee Lin, CEO di Magnum Corporation Sdn Bhd (Malesia) e presidente del WLA Security and Risk Management Committe e Jesus Huerta Almendro, CEO di SELAE (Spagna) e supervisore del gruppo di lavoro sui rischi operativi e sull’assicurazione di EL.

Più di 130 gli iscritti che hanno partecipato ai tre giorni dell’evento.

Metodologie in fase di sperimentazione: Bug bounty

Le società moderne si trovano ad affrontare un nuovo tipo di dilemma. Da un lato le esigenze di sicurezza informatica stanno crescendo rapidamente, dall’altra le aziende stanno affrontando una carenza di talenti e hanno bisogno più che mai di trovare approcci innovativi e agili per proteggere i propri sistemi. Nel discorso di apertura il relatore Yassir Kazar, CEO di Bug Bounty Platform Yogosha (Francia) ha messo il focus sul programma Bug Bounty che, a suo avviso, è uno degli approcci più pragmatici per aiutare le aziende a rilevare le loro vulnerabilità IT ed eventuali bug: sfruttando la collaborazione con hacker etici riescono a migliorare le loro capacità di intervento nell’ambito della sicurezza. Nella sua presentazione ha spiegato il processo offerto dalla sua azienda per difendere e proteggere i sistemi IT specifici di ciascuna azienda.

L’intervento di Yassir Kazar è stato seguito da una tavola rotonda di rappresentanti della lotteria. Bertrand Le Piolot ha condiviso le sue esperienze con Bug Bounty di La Française des Jeux (Francia). Laurent Joppart di Nationale Loterij (Belgio) ha sottolineato l’importanza di una strategia di test di sicurezza che combini diverse metodologie. Julio Sánchez di SELAE (Spagna) ha evidenziato che le organizzazioni devono definire una politica per l’interazione con gli attori esterni che vanno a testare i loro sistemi e servizi. Ci sono molti benefici ma anche notevoli rischi nella gestione di queste collaborazioni, perciò è importante farlo nel modo giusto. Gin Wong Chin Ee ha parlato dell’esperimento di Singapore Pools (Singapore) nell’automazione dei test.

Allenamento su desktop virtuale per la sicurezza informatica

Il secondo giorno ai partecipanti è stata offerta l’opportunità di prendere parte ad un esercizio di sicurezza informatica virtuale. Nello specifico veniva presentato un ipotetico scenario di interruzione e una serie di domande con l’intento di guidare i partecipanti nella gestione della situazione critica e potenzialmente minacciosa per un’organizzazione della lotteria. L’esercizio è stato scritto dal WLA SRMC e facilitato da Arjan van’t Veer, Segretario generale di EL, alla presenza di esperti che hanno animato il dibattito e fornito input per ulteriori discussioni e analisi. Tra gli esperti (in ordine alfabetico) Anton Stiglic, Loto-Québec (Canada), Cecilio Vazquez, SELAE (Spagna), David Boda, Camelot (Regno Unito), David Selier, ex Staatsloterij e Holland Casino (Paesi Bassi), Philippe Vlaemminck, EL Legal Advisor (Belgio) e Robert Nitz, Multi-State Lottery Association (USA).

Gestione del rischio: aggiornamenti da WLA ed EL

Poiché WLA ed EL supportano entrambe la comunità della lotteria nel miglioramento delle loro pratiche, il webinar si è concluso con una giornata incentrata sulla gestione del rischio e sugli ultimi aggiornamenti da parte delle associazioni. Giuliano Boggiali di IGT Lottery (Italia) ha presentato il WLA Lottery Risk Register, un elenco di informazioni relative al rischio specifico del settore delle lotterie e dei giochi, pubblicato sul wiki WLA per raccogliere feedback dalla comunità. I membri WLA possono scaricare e commentare il registro dei rischi della lotteria a questo link. Leoš Klofač di SAZKA (Repubblica Ceca) ha fornito un aggiornamento sulle carte di riferimento del rischio EL, progettate per aiutare a gestire i rischi operativi più urgenti per le società di lotterie. Valeria Serpentini, Coordinatrice WLA SRMC, ha presentato i nuovi dati del programma WLA-SCS, dal lancio del WLA-SCS:2020 – il più recente standard di sicurezza del settore delle lotterie – all’inclusione dell’auditing remoto come opzione regolare per le valutazioni WLA-SCS.