Los casinos del estado estarán obligados a proteger a sus clientes, empleados y a sí mismos contra los ciberataques informáticos, tras la aprobación unánime el jueves de una enmienda a la normativa por parte de la Comisión del Juego de Nevada.
El reglamento modificado, que entrará en vigor el 1° de enero, da a los más de 400 operadores de casinos sin restricciones del estado un año para desarrollar planes de evaluación de riesgos que tendrán que ser actualizados al menos anualmente y orienta a los operadores sobre cómo deben reportar cualquier ciberataque a los reguladores.
Representantes de Nevada Resorts Association y de Association of Gaming Equipment Manufacturers asistieron a la reunión del jueves y no pusieron objeciones a la nueva normativa, que se sometió a audiencias públicas en otoño.
La mayoría de los grandes casinos cuentan con un amplio dispositivo de seguridad en sus sistemas de datos para evitar filtraciones, pero los resorts son objetivos ocasionales de piratas informáticos y ciberladrones.
El antiguo Hard Rock Hotel, ahora Virgin Hotels Las Vegas, reportó una violación de datos en 2015 y alertó a los clientes para que revisaran sus estados de cuenta de tarjetas de crédito durante un periodo de siete meses desde el 3 de septiembre de 2014 hasta el 2 de abril de 2015.
El reglamento da un amplio margen a la forma en que los operadores de casinos, así como los operadores con licencia de apuestas deportivas, se protegen, diciendo que deben desarrollar “las mejores prácticas de ciberseguridad que considere apropiadas”.
Tras presentarse a una evaluación inicial de riesgos, cada licenciatario “continuará monitoreando y evaluando los riesgos de ciberseguridad para su operación comercial de manera continua y modificará sus mejores prácticas de ciberseguridad y evaluaciones de riesgo según lo considere apropiado”.
Si se produce un ciberataque que da lugar a una violación de datos, los titulares de licencias deberán notificarlo a la Junta de Control del Juego de Nevada en un plazo de 72 horas. Tendrán que explicar la causa del ciberataque, el alcance del mismo y las medidas adoptadas o previstas para evitar que se produzcan hechos similares.
Virginia Valentine, presidenta de Nevada Resorts Association, dijo que ella y varios miembros de la asociación asistieron a reuniones públicas previas en las que se debatió la normativa propuesta y que sus comentarios en esas reuniones se incorporaron a la normativa modificada.
Dijo que no tenía más comentarios sobre la enmienda.
Daron Dorsey, director ejecutivo de Association of Gaming Equipment Manufacturers, no se dirigió a la comisión, pero su organización envió el 21 de noviembre una carta a la comisión en la que sugería ocho revisiones del reglamento que se incorporaron al documento final. La mayoría de las sugerencias eran aclaraciones de las políticas establecidas.