Една заплаха, два отговора: Защо екипите за киберсигурност и измами не могат да останат разделени

• Измамите често започват с киберинцидент, но ранните предупредителни знаци остават незабелязани, когато екипите по киберсигурност и измами работят поотделно. 
• Екипите по киберсигурност и измами продължават да са изолирани поради липса на комуникация и пропуски в обмена на данни, което подкопава способността на банките да откриват и спират измамите на ранен етап. 
• Специфичната за плащанията информация за заплахите предоставя на екипите по сигурността споделена гледна точка за идентифициране на връзките между кибер инциденти и рискове от измами, което позволява по-бързи и проактивни реакции, които намаляват загубите и подобряват интеграцията на кибер измамите.  

Екипите за борба с измамите и киберсигурността преследват едни и същи престъпници по паралелни пътища.

В повечето организации екипите по киберсигурност се фокусират върху откриването и ограничаването на пробиви, докато екипите по измами следят за подозрителни транзакции, които сигнализират за използване на откраднати данни. Разследванията им често са свързани, но без координация ранните предупредителни сигнали за измама се изплъзват. 

Този пропуск струва скъпо на банките: 60% от глобалните ръководители, отговарящи за измамите и риска, казват, че научават за кибернетичните нарушения едва след като загубите от измами вече са започнали да се случват и откраднатите данни са били осребрени. Това забавяне дава преднина на нападателите и кара банките да наваксват.

Тъй като кибернетичните измами се увеличават, банките трябва да разглеждат интегрирането на кибернетичните измами като бизнес приоритет, а не просто като техническо решение. Тя започва с подкрепата на ръководството на компанията за премахване на силите и продължава с практически стъпки като подобряване на обмена на данни, съгласуване на показателите за успех и възприемане на единен подход към разузнаването на заплахите.

Екипите за киберсигурност и предотвратяване на измами имат обща цел - да осигурят сигурността на банките, но често остават разделени поради фундаментални различия.

Основните пречки включват:

• Приоритети и показатели за успех 
• Работен език 
• Организационна структура 

Въпреки че екипите за киберсигурност и измами защитават банката, те работят с различни приоритети и ключови показатели за ефективност (KPI).

Екипи за киберсигурност:

• Фокус върху защитата на мрежи, системи и данни от неразрешен достъп или атака 
• Откриване и ограничаване на нарушения чрез наблюдение на техническите уязвимости и активността на заплахите. 
• Измерване на успеха чрез показатели като бързина на реагиране на инциденти, ограничаване на заплахите и съответствие с рамките за сигурност 

Екипи за борба с измамите:

• Фокусиране върху защитата на клиентите и транзакциите от измами, за да се запази доверието на клиентите. 
• Откриване на подозрителни дейности чрез инструменти за наблюдение на плащанията и откриване на измами и директна работа с клиенти за разрешаване на проблеми. 
• Измерване на успеха въз основа на показатели като намаляване на броя на измамите, възстановяване на загубите и удовлетвореност на клиентите.

Тъй като всяка група има различни цели, не съществува обща таксономия или механизъм, който да улеснява редовния обмен на информация.

Екипите, работещи в областта на киберсигурността и измамите, използват различни речници, което допринася за предизвикателствата в комуникацията. Например лидерите в областта на киберсигурността могат да използват термина "компрометиране", за да опишат нападател, който е проникнал във вътрешните системи на банката. За екипите за борба с измамите същият термин може да описва нарушен акаунт на търговец или клиент.

Тези разлики в речника изглеждат незначителни, но те показват по-голям проблем: киберсигурността и предотвратяването на измами са отделни дисциплини, които рядко се срещат в разговор. Липсата на общ език затруднява сътрудничеството.

В много финансови институции екипите по киберсигурност и измами са в различни отдели и се подчиняват на отделни командни вериги. 

В резултат на това информацията обикновено се обменя само при възникване на спешни проблеми. Всъщност 24% от глобалните емитенти и придобиващи все още нямат официални процеси за сътрудничество в областта на кибер измамите. 

Банките се нуждаят от целенасочено управление на промените, за да преодолеят тези структурни бариери. Чрез установяване на редовни допирни точки и използване на споделена информация екипите за измами и киберсигурност могат да покажат стойността на интеграцията и да насърчат лидерите да предприемат по-дълбоки структурни промени.

Липсата на интеграция между екипите за киберсигурност и измами е повече от теоретичен риск. Това се случва всеки ден в реални случаи на измами. 

Например, ето как може да се разрасне атака с дигитален скиминг, ако екипите за киберсигурност и измами са разделени:

1. Кибернетичният екип забелязва риск от пробив: Екипът по киберсигурност получава информация за нарастващ брой зловредни програми в сайтове за електронна търговия. (Тези атаки се увеличават. През 2024 г. са идентифицирани близо 11 000 уникални домейна за електронна търговия с инфекции от e-skimmer, което е три пъти повече, отколкото през 2023 г.) Тъй като заплахата не засяга пряко цифровата инфраструктура на банката, кибернетичният екип не споделя информацията и не предприема никакви действия. 
2. Екипът за борба с измамите вижда последиците: Седмици по-късно екипът за борба с измамите на банката издател забелязва рязко увеличение на обратните плащания и подозрителните трансакции. Без да разполагат с информация от кибернетичния екип относно нарастването на броя на атаките с електронни скимиращи устройства, те разглеждат тази дейност като изолирана измама. 
3. Основната причина е разкрита твърде късно: След по-задълбочено разследване екипът по измамите проследява измамата до заразените сайтове. Дотогава нападателите вече са реализирали приходи от откраднатите картови данни. Щетите не се ограничават само до притежателя на картата. Придобиващият често поема дълга или разходите по измамните сделки. 

Въпреки че екипът по киберсигурност идентифицира потенциална заплаха, той не разполага с процедура за предаване на информация на екипа по измамите, което позволява на измамата да се разрасне незабелязано.

Едно от най-добрите места, откъдето може да се започне преодоляването на силовата структура в областта на измамите, е споделеното разузнаване на заплахите.

Разузнаването на заплахите предоставя данни и информация за възникващи кибератаки. Когато тази информация е съобразена с плащанията, тя помага да се преодолее разликата между киберинцидентите и рисковете от измами на ниво транзакция, като дава на екипите обща основа за действие.

В този контекст екипите по киберсигурност и измами могат да:

• Споделяне на данни последователно 
• Говорите на общ език 
• Координиране на реакцията при заплаха 

Екипите, работещи в областта на кибернетиката и измамите, трябва да излязат извън рамките на ad hoc комуникацията и да установят редовни контакти за обмен на информация. Специфичната за плащанията разузнавателна информация за заплахите подпомага този процес, като създава споделена база от подходяща информация. 

Например седмичното синхронизиране на разузнавателни данни позволява на групите да си сътрудничат и да идентифицират нови модели на измами. По време на тези синхронизации екипите могат да споделят по сигурен начин информация за компрометирани страници на касите на търговци или откраднати номера на карти, които се появяват на криминални пазари, като следват най-добрите практики за защита на данните. 

По същия начин лидерите могат да засилят това сътрудничество. Ръководителите на ОИСР могат да задават въпроси за рисковете от измами в рамките на киберинформации или да включват екипите за измами в съответните прегледи на заплахите, като по този начин показват, че споделянето на данни е организационен приоритет. Също толкова важно е да се гарантира, че информацията за картодържателите и пълномощията на търговците са защитени и обработени безопасно, за да се предотврати по-нататъшно компрометиране.

Екипите по киберсигурност и измами определят риска по различен начин, което създава предизвикателства за съгласуване. Използването на разузнаване на заплахите за съпоставяне на техническите заплахи с измамите надолу по веригата обаче помага на екипите да разберат как се припокриват техните приоритети. 

За CISO тази връзка изяснява бизнес залозите зад техническите защити. За анализаторите на измами това означава, че измамната дейност се свързва с нейния кибер произход. Общата референтна рамка позволява на екипите да разпределят ресурсите по-ефективно и да демонстрират възвръщаемостта на инвестициите в киберсигурност и предотвратяване на измами. 

Когато екипите за кибернетични престъпления и измами споделят разузнавателна информация, те могат да координират реакциите си, а не да работят изолирано. 

Например разузнаването на заплахите може да сигнализира за необичайна дейност по тестване на карти на уебсайта на определен търговец, по време на която измамниците инициират малки тестови трансакции за потвърждаване на откраднати карти. На свой ред екипите могат да преглеждат информацията съвместно, а екипите за измами могат да следят рисковите портфейли от карти за свързани дейности, което им позволява да се намесят, преди нападателите да разширят операциите си.

Киберсигурността и предотвратяването на измами вече не могат да водят отделни битки. Когато го направят, нападателите се възползват от пропуските. Когато обаче екипите си сътрудничат, банките могат да предприемат координирани действия, за да спрат загубите, преди да са се разраснали.

Mastercard Threat Intelligence предоставя на екипите по измами подбрана информация за най-новите заплахи и уязвимости при платежни измами, като им дава възможност да си сътрудничат с кибернетичните екипи и да действат навреме, за да намалят загубите. 

Готова ли е вашата организация да преодолее пропастта между кибернетичните престъпления и измамите? Открийте как Mastercard Threat Intelligence може да ви помогне.