Egy fenyegetés, két válasz: Miért nem maradhatnak a kiberbiztonsági és csalási csapatok elkülönítve?

• A csalás gyakran kiberincidenssel kezdődik, de a korai figyelmeztető jelek észrevétlenek maradnak, ha a kiberbiztonsági és a csalással foglalkozó csapatok egymástól elszigetelten működnek. 
• A kommunikáció hiánya és az adatmegosztás hiányosságai miatt a kiberbiztonsági és a csalással foglalkozó csapatok között továbbra is fennáll a siló, ami aláássa a bankok azon képességét, hogy időben felismerjék és megállítsák a csalást. 
• A fizetésspecifikus fenyegetés-elemzés közös szemüveget biztosít a biztonsági csapatoknak a kiberesemények és a csalási kockázatok közötti kapcsolatok azonosításához, lehetővé téve a gyorsabb, proaktívabb válaszlépéseket, amelyek csökkentik a veszteségeket és javítják a kibercsalások integrációját.  

A csalással és a kiberbiztonsággal foglalkozó csapatok ugyanazokat a bűnözőket üldözik párhuzamosan.

A legtöbb szervezetnél a kiberbiztonsági csapatok a jogsértések felderítésére és megfékezésére összpontosítanak, míg a csalással foglalkozó csapatok a lopott adatokat jelző gyanús tranzakciókat figyelik. Vizsgálataik gyakran összekapcsolódnak, de koordináció nélkül a csalás korai figyelmeztető jelei kicsúsznak a kezükből. 

Ez a hiányosság sokba kerül a bankoknak: a globális csalások és kockázatok vezetőinek 60% azt állítja, hogy csak akkor szereznek tudomást a kibertérésről, amikor a csalási veszteségek már elkezdődtek, és az ellopott adatokat már pénzzé tették. Ez a késedelem a támadóknak előnyt biztosít, és a bankok a felzárkózást játsszák.

Mivel a kiberalapú csalás egyre nagyobb méreteket ölt, a bankoknak a kibercsalások integrációját üzleti prioritásként kell kezelniük, nem csupán technikai megoldásként. Ez azzal kezdődik, hogy a C-szinten támogatják a silók lebontását, majd olyan gyakorlati lépésekkel folytatódik, mint az adatmegosztás javítása, a sikerességi mérőszámok összehangolása és a fenyegetések felderítésének egységes megközelítése.

A kiberbiztonsági és csalásmegelőzési csapatok közös célja a bankok biztonságának megőrzése, de alapvető különbségek miatt gyakran elszigeteltek maradnak.

A legfontosabb akadályok a következők:

• Prioritások és sikerességi mérőszámok 
• Működési nyelv 
• Szervezeti felépítés 

Bár a kiberbiztonsági és a csalással foglalkozó csapatok egyaránt védik a bankot, eltérő prioritások és kulcsfontosságú teljesítménymutatók (KPI-k) alapján működnek.

Kiberbiztonsági csapatok:

• A hálózatok, rendszerek és adatok védelme a jogosulatlan hozzáféréstől vagy támadástól 
• A technikai sebezhetőségek és a fenyegető tevékenységek figyelemmel kísérésével felderíti és megfékezi a jogsértéseket. 
• A siker mérése olyan mérőszámok alapján, mint az incidensekre adott válaszok gyorsasága, a fenyegetések megfékezése és a biztonsági keretrendszereknek való megfelelés. 

Csalási csoportok:

• Az ügyfelek és a tranzakciók csalás elleni védelmére való összpontosítás az ügyfelek bizalmának fenntartása érdekében. 
• A gyanús tevékenységek felderítése a fizetési monitoring és csalásfelismerő eszközök segítségével, és közvetlen együttműködés az ügyfelekkel a problémák megoldása érdekében. 
• A siker mérése olyan mérőszámok alapján, mint a csalási arányok csökkentése, a veszteségek behajtása és az ügyfelek elégedettsége.

Mivel minden csoportnak más-más céljai vannak, nincs közös taxonómia vagy mechanizmus a rendszeres információcsere megkönnyítésére.

A kiberbiztonsági és a csalással foglalkozó csapatok eltérő szókincset használnak, ami hozzájárul a kommunikációs kihívásokhoz. A kiberbiztonsági vezetők például a "kompromittálódás" kifejezést használhatják a bank belső rendszereibe behatoló támadóra. A csalással foglalkozó csapatok számára ugyanez a kifejezés egy feltört kereskedői vagy ügyfélszámlát is jelenthet.

Ezek a szókincsbeli különbségek jelentéktelennek tűnnek, de egy nagyobb problémára mutatnak rá: a kiberbiztonság és a csalás megelőzése különálló tudományágak, amelyek ritkán kerülnek szóba egymással. A közös nyelv hiánya megnehezíti az együttműködést.

Sok pénzintézetnél a kiberbiztonsági és a csalással foglalkozó csapatok különböző részlegeken belül helyezkednek el, és külön parancsnoki láncokon keresztül jelentenek. 

Ennek eredményeképpen az információcsere jellemzően csak akkor történik meg, ha sürgős problémák merülnek fel. Valójában a globális kibocsátók és felvásárlók 24% még mindig nem rendelkeznek hivatalos eljárásokkal a kibercsalások elleni együttműködésre vonatkozóan. 

A bankoknak szándékos változásmenedzsmentre van szükségük e strukturális akadályok leküzdéséhez. A rendszeres érintkezési pontok kialakításával és a megosztott információk felhasználásával a csalással és a kiberbiztonsággal foglalkozó csapatok megmutathatják az integráció értékét, és mélyebb strukturális változásokra ösztönözhetik a vezetőket.

A kiberbiztonsági és a csalással foglalkozó csapatok közötti integráció hiánya több mint elméleti kockázat. Ez a valós csalási ügyekben minden nap előfordul. 

Itt van például, hogyan eszkalálódhat egy digitális lefölözéses támadás, ha a kiberbiztonsági és csalási csapatok elszigeteltek:

1. A kibercsapat észreveszi a jogsértés kockázatát: A kiberbiztonsági csapat értesüléseket kap az e-kereskedelmi oldalakon egyre több rosszindulatú szoftver bejuttatásáról. (Ezek a támadások egyre gyakoribbak. 2024-ben közel 11 000 egyedi e-kereskedelmi tartományt azonosítottak e-skimmer fertőzéssel, háromszor többet, mint 2023-ban). Mivel a fenyegetés nem érinti közvetlenül a bank digitális infrastruktúráját, a kibercsapat nem osztja meg az információt, és nem tesz semmilyen intézkedést. 
2. A csalással foglalkozó csoport látja a következményeket: Hetekkel később a kibocsátó bank csalással foglalkozó csoportja észreveszi a visszaterhelések és a gyanús tranzakciók megugrását. A kibercsapat az e-skimmer-támadások hullámának kontextusa nélkül elszigetelt csalásként kezeli a tevékenységet. 
3. Túl későn derült ki a kiváltó ok: A csalási csoport a mélyebb vizsgálat után a csalást a fertőzött oldalakhoz vezeti vissza. Addigra a támadók már pénzzé tették az ellopott kártyaadatokat. A kár nem korlátozódik a kártyatulajdonosra. A felvásárló gyakran átvállalja a csalárd tranzakciók adósságát vagy költségeit. 

Bár a kiberbiztonsági csapat azonosította a potenciális fenyegetést, nem volt olyan eljárás, amellyel az információkat továbbították volna a csalással foglalkozó csapatnak, így a csalás észrevétlenül eszkalálódhatott.

Az egyik legjobb hely, ahol a csalás és az informatikai silók lebontását el lehet kezdeni, a közös fenyegetés-felderítés.

A fenyegetésekkel kapcsolatos hírszerzés adatokat és betekintést nyújt a felmerülő kibertámadásokról. Ha ezt az intelligenciát a fizetésekre szabják, segít áthidalni a kiberesemények és a tranzakciós szintű csalási kockázatok közötti szakadékot, és közös alapot biztosít a csapatoknak a cselekvéshez.

Ebben a kontextusban a kiberbiztonsági és csalási csapatok:

• Az adatok következetes megosztása 
• Közös nyelvet beszélni 
• Veszélyre adott válaszlépések koordinálása 

A kiber- és csalásellenes csapatoknak túl kell lépniük az ad-hoc kommunikáción, és rendszeres kapcsolódási pontokat kell létrehozniuk a meglátások megosztására. A fizetésekre vonatkozó fenyegetés-elemzés támogatja ezt a folyamatot azáltal, hogy a releváns információk közös alapját teremti meg. 

Például a heti hírszerzési szinkronizálás lehetővé teszi a csoportok számára, hogy együttműködjenek és azonosítsák a felmerülő csalási mintákat. E szinkronizálás során a csapatok biztonságosan megoszthatják a kompromittált kereskedői pénztároldalakra vagy a bűnös piactereken megjelenő lopott kártyaszámokra vonatkozó információkat, a legjobb adatvédelmi gyakorlatokat követve. 

Hasonlóképpen a vezetők is megerősíthetik ezt az együttműködést. A CISO-k a kibertájékoztatókon rákérdezhetnek a csalási kockázatokra, vagy bevonhatják a csalási csoportokat a vonatkozó fenyegetések felülvizsgálatába, jelezve, hogy az adatmegosztás szervezeti prioritás. Ugyanilyen fontos annak biztosítása, hogy a kártyabirtokosok adatai és a kereskedői hitelesítő adatok védelme és biztonságos feldolgozása megakadályozza a további kompromittálódást.

A kiberbiztonsági és a csalással foglalkozó csapatok eltérően határozzák meg a kockázatot, ami kihívást jelent az összehangolásban. A fenyegetéselemzés segítségével azonban a technikai fenyegetések és a downstream csalás közötti összefüggések feltérképezése segít a csapatoknak megérteni, hogy prioritásaik hogyan fedik egymást. 

A CISO-k számára ez a kapcsolat tisztázza a technikai védelem mögött álló üzleti téteket. A csaláselemzők számára ez a csalárd tevékenységet a kibertérből eredő gyökereihez köti vissza. A közös referenciakeret lehetővé teszi a csapatok számára, hogy hatékonyabban osszák be az erőforrásokat, és bizonyítsák a kiberbiztonsági és csalásmegelőzési beruházások megtérülését. 

Ha a kiber- és csalás elleni csapatok megosztják egymással az információkat, akkor ahelyett, hogy elszigetelten dolgoznának, összehangolhatják a válaszlépéseiket. 

Például a fenyegetésekkel kapcsolatos információk jelezhetik a szokatlan kártyatesztelési tevékenységet egy adott kereskedői weboldalon, amelynek során a csalók kis teszt tranzakciókat kezdeményeznek a lopott kártyák hitelesítésére. A csapatok viszont közösen tekinthetik át az információkat, és a csalással foglalkozó csapatok figyelemmel kísérhetik a kockázatos kártyaállományokat a kapcsolódó tevékenységek szempontjából, így még azelőtt beavatkozhatnak, hogy a támadók kiterjesztenék műveleteiket.

A kiberbiztonság és a csalásmegelőzés többé nem vívhat külön csatákat. Ha ez megtörténik, a támadók kihasználják a réseket. Ha azonban a csapatok együttműködnek, a bankok összehangoltan léphetnek fel a veszteségek megállítása érdekében, mielőtt azok elhatalmasodnának.

A Mastercard Threat Intelligence a csalással foglalkozó csapatokat a legújabb fizetési csalási fenyegetésekről és sebezhetőségekről szóló, összeállított információkkal látja el, lehetővé téve számukra, hogy együttműködjenek a kibercsapatokkal, és időben cselekedjenek a veszteségek csökkentése érdekében. 

Készen áll az Ön szervezete arra, hogy felszámolja a kibertér és a csalás közötti szakadékot? Fedezze fel, hogyan segíthet a Mastercard Threat Intelligence.