3 säkerhetsutmaningar inom spelindustrin / iGaming

Tack vare de tekniska framstegen har onlinespel utvecklats till en av de mest lukrativa branscherna på internet. Men med framgång kommer även utmaningar. Vi har tittat närmare på tre säkerhetsutmaningar många spelbolag brottas med.

Tillgänglighet

Tillgänglighet är viktigt för alla aktörer som bedriver verksamhet på nätet. Det som gör tillgänglighet extra viktigt för just spelaktörer är den volatila kundbasen. När en kund vill lägga ett vad så kräver kunden mer eller mindre omedelbar tillgång till spelet. Om spelbolaget inte kan leverera, till exempel om sajten ligger nere eller hastigheten är låg, så kommer kunden fly till en konkurrerande sajt. Det innebär att bolaget inte bara riskerar att förlora direkta intäkter för enskilda transaktioner utan också kunder.

Tillgänglighet är med andra ord affärskritiskt för bolag inom spelindustrin och en förutsättning för att framgångsrikt bedriva sin verksamhet. Bristande tillgänglighet orsakas av att sajten utsätts för mer trafik än vad den är dimensionerad för. Trafiken kan i huvudsak delas upp i tre kategorier; organisk, icke-organisk och ddos-attacker.

Vid stora sportevenemang som exempelvis fotbolls-VM eller enskilda stormatcher så ökar webbtrafiken markant eftersom många besöker sidan samtidigt. Är sajten då även utsatt för icke-organisk trafik, i form av botar och web scraping, kan belastningen bli stor. Skulle sajten dessutom utsättas för en vältajmad ddos-attack kan det leda till att sidan blir långsam eller i värsta fall sänks. Något som skulle kunna innebära att företaget går miste om direkta intäkter, men det skulle också kunna leda till att användaren tröttnar och placerar sina bet hos en konkurrent istället.

Vid kritiska tillfällen som dessa är det viktigt att att vara väl förberedd, till exempel genom extra serverkapacitet som kan svälja bandbredden och ddos-lösningar som kan routa om trafiken för att minska lasten på sajten.

Bedrägerier och penningtvätt

Precis som andra snabbt växande branscher är spelindustrin ett mål för bedragare. Ofta pratar man om två typer av bedrägerier: externa och interna. Externa bedragare utnyttjar kunder genom metoder som identitetsstöld, kortköpskloning och tidsfördröjda eller speglade transaktioner.

Interna bedrägerier är inte lika vanligt som externa, men det är fortfarande förekommande och kan leda till förödande konsekvenser. Det kan till exempel handla om att en anställd utnyttjar sin kunskap om företaget och underliggande system för att skapa högkvalificerade scams. Ett annat alternativ är att den anställda förser externa parter med nödvändig information för att kunna utföra sina bedrägeriförsök.

Det blir även allt vanligare att spelsajter används för penningtvätt. Tack vare nätcasinots natur är det ett effektivt sätt att göra svarta pengar vita; den stora volymen transaktioner som döljer tvätten i kombination med möjligheten att använda virtuella valutor som bitcoins.

Regelverket Anti-Money Laundering Directive (AML) syftar till att motverka penningtvätt inom bland annat spelindustrin. De verksamheter som inte kan påvisa att de efterlever lagen kan både bötfällas och förlora rättigheterna att bedriva spelverksamhet.

I november 2018 rapporterade bland annat DN om att statligt ägda Casino Cosmopol får böta åtta miljoner kronor efter Lotteriinspektionens bedömning av att kasinot har allvarliga brister vad gäller riskbaserade rutiner och riskbedömning av kunder. Konsekvensen kan bli att Casino Cosmopol kan nekas licens att bedriva kasinospel om de inte åtgärdar problemen och kompletterar sin ansökan innan det nya systemet träder i kraft vid årsskiftet.

Regulatoriska krav

Den första januari 2018 ersätter Sverige sitt monopol för onlinespel med ett nytt licenssystem. Regleringen tillåter privata aktörer, såväl inhemska som utländska, att bedriva spel med pengar riktat mot den svenska marknaden. Licenssystemet innebär bland annat att spelen ska ha ett högt konsumentskydd och med det ökade IT-säkerhetskrav. Samtidigt kriminaliseras spelverksamhet utan licens och påföljderna vid överträdelser skärps markant.

Få branscher omfattas av så många regulatoriska krav som spelindustrin. Många av dessa krav handlar om hur spelbolagen ska förhålla sig gällande IT- och informationssäkerhet. Varje marknad har sina lokala regelverk. Danska Spilmyndighetens säkerhetskrav påminner till exempel väldigt mycket om en kombination av ISO27001 och PCI DSS. I England är regelverket nästan rakt av ISO, medan Italien i sin tur har egen variant. Svenska Spelmyndigheten har valt samma bana som England och Malta, alltså en ISO-nära kravställning.

De aktörer som är verksamma i flera länder måste ta hänsyn till lokal lagstiftning, vilket innebär att många spelbolag behöver hantera en stor flora av regelverk. Mycket handlar om att bevisa hur man arbetar med olika frågor och efterlever dessa regulatoriska krav. Trots att många av regelverken överlappar varandra kan det vara svårt att få en överskådlig bild av dem. Genom att jobba med ett ledningssystem som omfattar många av de säkerhetskrav som som ställs på internationella spelbolag kan man underlätta sitt compliance-arbete. Ett sådant är ISO 27001 som med sitt breda scope täcker in många av de områden som behöver behandlas.

Företag i spelbranschen omfattas även av regelverket PCI DSS (Payment Card Industry Data Security Standard) som rör säkerheten kring kredit- och betalkortsanvändning. Alla företag som behandlar kortuppgifter omfattas av PCI DSS och ställs i regel inför samma krav. Däremot skiljer sig kraven på rapportering och revision beroende på hur många transaktioner företaget hanterar. Oftast går gränsen gå vid en miljon transaktioner per år. Hanterar företaget färre en miljon transaktioner kan de vanligtvis göra en så kallad self-assessment, men över det så brukar inlösaren kräva en extern revisor (QSA). Ett spelbolag har i regel många transaktioner i omlopp, vilket ofta innebär rapporteringskrav och extern revisor.

Företag som omfattas av PCI DSS måste alltid vara compliant, och inte bara vid revision. Det innebär en hel del regelbundna actions, såsom daglig analys av loggarna, att kvartalsvis försäkra sig om att användare som slutat är bortplockade ur systemet, och årliga pentester. Mycket av detta går att outsorurca till tredjepartsleverantörer, men man kan aldrig outsourca risken. Outsourcingpartnens incident blir din incident, och därför är det viktigt att noggrant säkerhetsgranska sina tredjepartsleverantörer.

Skulle spelbolaget, eller outsourcingpartner, utsättas för ett intrång där kortuppgifter stjäls och organisationen inte efterlever PCI DSS kan konsekvenserna bli allvarliga. Utöver kraftiga böter kan företaget även bli återbetalningsskyldiga till drabbade kunder, och i värsta fall bli av med rätten att ta emot kortbetalningar.

Vill du veta mer om säkerhetsutmaningar inom spelindustrin?