איום אחד, שתי תגובות: מדוע צוותי אבטחת סייבר והונאה לא יכולים להישאר מבודדים

• הונאה מתחילה לעתים קרובות באירוע סייבר, אך סימני אזהרה מוקדמים נעלמים מעיניו כאשר צוותי אבטחת סייבר והונאה פועלים בממגורות. 
• קיימים פערים בין צוותי אבטחת סייבר והונאה עקב חוסר פערים בתקשורת ובשיתוף נתונים, אשר פוגעים ביכולתם של הבנקים לזהות ולעצור הונאות מוקדם. 
• מודיעין איומים ספציפי לתשלומים מספק לצוותי אבטחה עדשה משותפת לזיהוי קשרים בין אירועי סייבר לסיכוני הונאה, מה שמאפשר תגובות מהירות ופרואקטיביות יותר שמפחיתות הפסדים ומשפרות את שילוב הונאות הסייבר.  

צוותי הונאה ואבטחת סייבר רודפים אחר אותם פושעים במסלולים מקבילים.

ברוב הארגונים, צוותי אבטחת סייבר מתמקדים בגילוי ובלימת פרצות, בעוד שצוותי הונאה עוקבים אחר עסקאות חשודות שמעידות על גניבת נתונים בשימוש. חקירותיהם קשורות לעיתים קרובות, אך ללא תיאום, סימני האזהרה המוקדמים של הונאה חומקים בין הכיסאות. 

פער זה עולה לבנקים: 60% ממנהלי תחום ההונאה והסיכונים העולמיים אומרים שהם לא לומדים על פרצות סייבר עד לאחר שהפסדי ההונאה כבר החלו להתרחש ונתונים גנובים הופכו למוניטייזר. עיכוב זה נותן לתוקפים יתרון ומשאיר את הבנקים בניסיון להדביק את הפער.

ככל שמתפשטות הונאות הסייבר, בנקים חייבים להתייחס לשילוב הונאות סייבר כאל עדיפות עסקית, ולא רק כתיקון טכני. זה מתחיל בתמיכה ברמת ניהול (C) בפירוק מאגרים (silo) וממשיך בצעדים מעשיים כמו שיפור שיתוף נתונים, יישור מדדי הצלחה ונקיטת גישה מאוחדת למודיעין איומים.

צוותי אבטחת סייבר ומניעת הונאות חולקים את המטרה של שמירה על אבטחת הבנקים, אך לעתים קרובות נותרים מבודדים עקב הבדלים מהותיים.

חסמים מרכזיים כוללים:

• סדרי עדיפויות ומדדי הצלחה 
• שפת הפעלה 
• מבנה ארגוני 

למרות שצוותי אבטחת סייבר והונאה שניהם מגנים על הבנק, הם פועלים עם סדרי עדיפויות ומדדי ביצועים מרכזיים (KPI) שונים.

צוותי אבטחת סייבר:

• התמקדות בהגנה על רשתות, מערכות ונתונים מפני גישה או התקפה בלתי מורשית 
• זיהוי ובלימת פרצות אבטחה על ידי ניטור פגיעויות טכניות ופעילות איומים 
• מדוד הצלחה לפי מדדים כמו מהירות תגובה לאירועים, בלימת איומים ועמידה במסגרות אבטחה 

צוותי הונאה:

• התמקדות בהגנה על לקוחות ועסקאות מפני פעילות הונאה כדי לשמור על אמון הלקוחות 
• לזהות פעילות חשודה באמצעות כלי ניטור תשלומים וזיהוי הונאות, ולעבוד ישירות עם לקוחות כדי לפתור בעיות. 
• מדדו הצלחה על סמך מדדים כמו הפחתת שיעורי הונאה, החזר הפסדים ושביעות רצון לקוחות

מכיוון שלכל קבוצה יש מטרות שונות, אין טקסונומיה או מנגנון משותף שיקל על חילופי מידע באופן קבוע.

צוותי אבטחת סייבר והונאה משתמשים במונחי מילים שונים, מה שתורם לאתגרים בתקשורת. לדוגמה, מנהיגים בתחום אבטחת הסייבר עשויים להשתמש במונח "פשרה" כדי לתאר תוקף הפורץ למערכות הפנימיות של הבנק. עבור צוותי הונאה, אותו מונח עשוי לתאר חשבון סוחר או לקוח שנפרץ.

הבדלים אלה באוצר המילים נראים קלים, אך הם מצביעים על בעיה גדולה יותר: אבטחת סייבר ומניעת הונאות הן תחומים נפרדים שכמעט ולא נמצאים בשיחה. היעדר שפה משותפת מקשה על שיתוף פעולה.

במוסדות פיננסיים רבים, צוותי אבטחת סייבר והונאה יושבים במחלקות שונות ומדווחים באמצעות שרשראות פיקוד נפרדות. 

כתוצאה מכך, מידע בדרך כלל מוחלף רק כאשר מתעוררות בעיות דחופות. למעשה, 24% מהמנפיקים והרוכשים העולמיים עדיין חסרים תהליכים פורמליים לשיתוף פעולה בתחום הונאות סייבר. 

בנקים זקוקים לניהול שינויים מכוון כדי להתגבר על המכשולים המבניים הללו. על ידי יצירת נקודות מגע קבועות ושימוש במודיעין משותף, צוותי הונאה ואבטחת סייבר יכולים להראות את הערך של אינטגרציה ולעודד מנהיגים לקדם שינוי מבני עמוק יותר.

חוסר אינטגרציה בין צוותי אבטחת סייבר והונאה הוא יותר מסיכון תיאורטי. זה בא לידי ביטוי במקרי הונאה בעולם האמיתי מדי יום. 

לדוגמה, כך יכולה להתגבר על הסלמה של מתקפת רפרוף דיגיטלי עם צוותי אבטחת סייבר והונאה מבודדים:

1. צוות הסייבר מבחין בסיכון לפריצה: צוות אבטחת הסייבר מקבל מידע מודיעיני על עלייה בהזרקות תוכנות זדוניות לאתרי מסחר אלקטרוני. (התקפות אלו נמצאות במגמת עלייה.) כמעט 11,000 דומיינים ייחודיים של מסחר אלקטרוני זוהו עם זיהומים של סקימרים אלקטרוניים בשנת 2024, פי שלושה יותר מאשר בשנת 2023.) מכיוון שהאיום אינו משפיע ישירות על התשתית הדיגיטלית של הבנק, צוות הסייבר אינו משתף את המידע או נוקט בפעולה כלשהי. 
2. צוות ההונאה רואה את התוצאות: שבועות לאחר מכן, צוות ההונאה של הבנק המנפיק מבחין בעלייה בהחזרי חיובים ובעסקאות חשודות. ללא הקשר מצד צוות הסייבר על גל התקפות הסקימרים האלקטרוניים, הם מתייחסים לפעילות כהונאה מבודדת. 
3. שורש הפגיעה נחשף מאוחר מדי: לאחר חקירה מעמיקה יותר, צוות ההונאה עוקב אחר ההונאה לאתרים הנגועים. עד אז, התוקפים כבר הספיקו להפיק רווחים מנתוני הכרטיסים הגנובים. הנזק אינו מוגבל לבעל הכרטיס. הרוכש לעיתים קרובות סופג את החוב או העלות של העסקאות ההונאה. 

למרות שצוות אבטחת הסייבר זיהה איום פוטנציאלי, חסר להם תהליך להעברת מודיעין לצוות ההונאה, מה שאפשר להונאה להסלים מבלי להתגלות.

אחת המקומות הטובים ביותר להתחיל לפרק מחיצות של הונאות סייבר היא באמצעות מודיעין איומים משותף.

מודיעין איומים מספק נתונים ותובנות לגבי מתקפות סייבר מתפתחות. כאשר מודיעין זה מותאם לתשלומים, הוא מסייע לגשר על הפער בין אירועי סייבר לסיכוני הונאה ברמת העסקה, ומעניק לצוותים בסיס משותף לפעול עליו.

בהקשר זה, צוותי אבטחת סייבר והונאה יכולים:

• שתף נתונים באופן עקבי 
• דברו שפה משותפת 
• לתאם תגובה לאיום 

צוותי סייבר והונאה חייבים להתקדם מעבר לתקשורת אד-הוק וליצור נקודות מגע קבועות לשיתוף תובנות. מודיעין איומים ספציפי לתשלומים תומך בתהליך זה על ידי יצירת בסיס משותף של מידע רלוונטי. 

לדוגמה, סנכרוני מודיעין שבועיים מאפשרים לקבוצות לשתף פעולה ולזהות דפוסי הונאה מתעוררים. במהלך הסנכרון, צוותים עשויים לשתף מידע בצורה מאובטחת על דפי תשלום של סוחרים שנפגעו או מספרי כרטיסים גנובים המופיעים בשווקים פליליים, בהתאם לנהלים המומלצים להגנה על מידע. 

באופן דומה, מנהיגים יכולים לחזק את שיתוף הפעולה הזה. מנהלי מערכות מידע (CISO) יכולים לשאול על סיכוני הונאה בתדרוכים בתחום הסייבר או לערב צוותי הונאה בסקירות איומים רלוונטיות, ובכך לאותת ששיתוף נתונים הוא בראש סדר העדיפויות של הארגון. חשוב לא פחות לוודא שפרטי בעל הכרטיס ופרטי הסוחר מוגנים ומעובדים בצורה בטוחה כדי למנוע פגיעה נוספת.

צוותי אבטחת סייבר והונאה מגדירים סיכונים באופן שונה, מה שיוצר אתגרים בהלימה. עם זאת, שימוש במודיעין איומים למיפוי איומים טכניים על הונאות במורד הזרם עוזר לצוותים להבין כיצד סדרי העדיפויות שלהם חופפים. 

עבור מנהלי מערכות מידע (CISO), קשר זה מבהיר את ההימור העסקי העומד מאחורי הגנות טכניות. עבור אנליסטים של הונאות, זה קושר פעילות הונאה למקורותיה בסייבר. מסגרת התייחסות משותפת מאפשרת לצוותים להקצות משאבים בצורה יעילה יותר ולהדגים החזר השקעה (ROI) מהשקעות באבטחת סייבר ומניעת הונאות. 

כאשר צוותי סייבר והונאה חולקים מודיעין, הם יכולים לתאם את תגובותיהם במקום לעבוד בממגורות. 

לדוגמה, מודיעין איומים עשוי לסמן פעילות חריגה של בדיקות כרטיסים באתר אינטרנט ספציפי של סוחר, שבמהלכה נוכלים יוזמים עסקאות בדיקה קטנות כדי לאמת כרטיסים גנובים. בתורם, צוותים יכולים לסקור את המידע במשותף וצוותי הונאה יכולים לנטר תיקי כרטיסים בסיכון לאיתור פעילות קשורה, מה שיאפשר להם להתערב לפני שתוקפים מגדילים את פעילותם.

אבטחת סייבר ומניעת הונאות אינן יכולות עוד להילחם בקרבות נפרדים. כאשר הם עושים זאת, התוקפים מנצלים את הפערים. עם זאת, כאשר צוותים משתפים פעולה, בנקים יכולים לנקוט בפעולה מתואמת כדי לעצור הפסדים לפני שהם מתגברים.

מודיעין איומים של מאסטרקארד מצייד צוותי הונאה במודיעין אודות איומי ופגיעויות הונאות תשלומים עדכניים, ומאפשר להם לשתף פעולה עם צוותי סייבר ולפעול מוקדם כדי להפחית הפסדים. 

האם הארגון שלך מוכן לסגור את הפער בין סייבר להונאה? גלו כיצד מודיעין האיומים של מאסטרקארד יכול לעזור.