Два ответа на одну угрозу: команды специалистов по кибербезопасности и по мошенничеству не могут больше работать поодиночке

• Мошенничество часто начинается с кибер-инцидента, но ранние признаки остаются незамеченными, когда отделы кибербезопасности и борьбы с мошенничеством работают изолированно. 
• Между командами по борьбе с кибербезопасностью и мошенничеством сохраняются изолированные из-за отсутствия пробелов в коммуникации и обмене данными, что подрывает способность банков своевременно выявлять и останавливать мошенничество. 
• Разведка угроз, специфичная для оплаты, даёт командам безопасности общий взгляд для выявления связей между киберинцидентами и рисками мошенничества, позволяя быстрее и проактивно реагировать, снижая потери и улучшая интеграцию кибермошенничества.  

Команды по мошенничеству и кибербезопасности преследуют одних и тех же преступников по параллельным путям.

В большинстве организаций команды по кибербезопасности сосредоточены на выявлении и сдерживании утечек, а мошеннические команды отслеживают подозрительные транзакции, сигнализирующие о краже данных. Их расследования часто связаны между собой, но без координации ранние предупреждающие признаки мошенничества ускользают от внимания. 

Этот пробел обходится банкам дорого: 60% руководителей отделов по борьбе с мошенничеством и управлению рисками по всему миру заявляют, что узнают о кибернарушениях только после того, как уже начались убытки от мошенничества и украденные данные были монетизированы. Эта задержка дает злоумышленникам преимущество, а банкам приходится наверстывать упущенное.

По мере роста кибер-мошенничества банки должны рассматривать интеграцию кибермошенничества как бизнес-приоритет, а не только как техническое решение. Всё начинается с поддержки на уровне руководителей для преодоления силосов и продолжается практическими шагами, такими как улучшение обмена данными, согласование показателей успеха и единый подход к разведке угроз.

Команды по кибербезопасности и предотвращению мошенничества объединяют цель — обеспечивать безопасность банков, но часто остаются изолированными из-за фундаментальных различий.

К основным препятствиям относятся:

• Приоритеты и показатели успеха 
• Рабочий язык 
• Организационная структура 

Хотя команды по кибербезопасности и мошенничеству защищают банк, они работают с чёткими приоритетами и ключевыми показателями эффективности (KPI).

Команды кибербезопасности:

• Сосредоточьтесь на защите сетей, систем и данных от несанкционированного доступа или атак 
• Выявлять и локализовать утечки путём мониторинга технических уязвимостей и активности угроз 
• Оценивайте успех по таким показателям, как скорость реагирования на инциденты, локализация угроз и соответствие требованиям безопасности. 

Команды по борьбе с мошенничеством:

• Для поддержания доверия клиентов необходимо сосредоточиться на защите клиентов и транзакций от мошеннических действий. 
• Выявляйте подозрительную активность с помощью инструментов мониторинга платежей и обнаружения мошенничества, а также напрямую взаимодействуйте с клиентами для решения возникающих проблем. 
• Оценивайте успех на основе таких показателей, как снижение уровня мошенничества, возмещение убытков и удовлетворенность клиентов.

Поскольку у каждой группы разные цели, не существует единой таксономии или механизма, облегчающего регулярный обмен информацией.

Команды по кибербезопасности и борьбе с мошенничеством используют разные словари, что создаёт проблемы с коммуникацией. Например, руководители кибербезопасности могут использовать термин «компромисс» для описания злоумышленника, взломающего внутренние системы банка. Для мошеннических команд тот же термин может описать взломанный торговый или клиентский аккаунт.

Эти различия в словарном запасе кажутся незначительными, но они указывают на более серьёзную проблему: кибербезопасность и предотвращение мошенничества — это отдельные дисциплины, которые редко обсуждаются. Отсутствие общего языка усложняет сотрудничество.

Во многих финансовых учреждениях команды по кибербезопасности и мошенничеству работают в разных подразделениях и подчиняются через отдельные цепочки командования. 

В результате обмен информацией, как правило, происходит только при возникновении неотложных вопросов. Фактически, у 24% мировых эмитентов и эквайеров до сих пор отсутствуют формальные процессы для сотрудничества в борьбе с кибермошенничеством. 

Банкам необходимо целенаправленное управление изменениями, чтобы преодолеть эти структурные барьеры. Создавая регулярные точки взаимодействия и используя совместную разведку, команды по мошенничеству и кибербезопасности могут показать ценность интеграции и стимулировать лидеров к более глубоким структурным изменениям.

Отсутствие интеграции между командами по кибербезопасности и борьбе с мошенничеством — это не просто теоретический риск. Это проявляется в реальных делах о мошенничестве каждый день. 

Например, вот как может развиваться атака с использованием цифрового скимминга при наличии разрозненных групп специалистов по кибербезопасности и борьбе с мошенничеством:

1. Киберкоманда замечает риск утечки: команда по кибербезопасности получает информацию о росте инъекции вредоносного ПО на сайтах электронной коммерции. (Эти атаки набирают обороты. В 2024 году почти 11 000 уникальных доменов электронной коммерции были выявлены с заражением электронными скиммерами, что в три раза больше, чем в 2023 году.) Поскольку угроза напрямую не затрагивает цифровую инфраструктуру банка, киберкоманда не распространяет информацию и не предпринимает никаких действий. 
2. Команда по борьбе с мошенничеством сталкивается с последствиями: Спустя несколько недель эмитент по борьбе с банковским мошенничеством замечает всплеск возвратов платежей и подозрительных транзакций. Без контекста со стороны киберкоманды относительно всплеска атак e-skimmer, они рассматривают эту деятельность как изолированное мошенничество. 
3. Коренная причина выявлена слишком поздно: после более глубокого расследования мошенническая команда находит мошенничество до заражённых сайтов. К тому времени злоумышленники уже монетизировали украденные данные карты. Урон не ограничивается только держателем карты. Покупатель часто покрывает на себя долг или стоимость мошеннических операций. 

Хотя команда по кибербезопасности выявила потенциальную угрозу, у них не было процесса передачи разведданных команде по борьбе с мошенничеством, что позволило мошенничеству развиваться незаметно.

Одним из лучших способов начать разбирать кибер-силосы мошенничества является совместная разведка угроз.

Разведка угроз предоставляет данные и инсайты о возникающих кибератаках. Когда эта информация адаптирована к платежам, она помогает преодолеть разрыв между киберинцидентами и рисками мошенничества на уровне транзакций, давая командам общую основу для действий.

В этом контексте команды по кибербезопасности и борьбе с мошенничеством могут:

• Делитесь данными последовательно 
• Говорите на общем языке 
• Координация реагирования на угрозы 

Кибер- и мошеннические команды должны выйти за рамки случайной коммуникации и создать регулярные точки контакта для обмена инсайтами. Разведка угроз, специфичная для платежей , поддерживает этот процесс, создавая общую базу релевантной информации. 

Например, еженедельные синхронизации разведки позволяют группам сотрудничать и выявлять новые модели мошенничества. Во время этих синхронизаций команды могут безопасно делиться информацией о скомпрометированных страницах кассы торговцев или украденных номерах карт, появляющихся на криминальных площадках, следуя лучшим практикам защиты данных. 

Аналогично, лидеры могут укреплять это сотрудничество. CISO могут спрашивать о рисках мошенничества на кибербрифингах или вовлекать команды по борьбе с мошенничеством в соответствующие проверки угроз, что сигнализирует о том, что обмен данными является приоритетом организации. Не менее важно обеспечить защиту и безопасную обработку информации держателей карт и данных продавца, чтобы предотвратить дальнейшую компрометацию.

Команды по кибербезопасности и мошенничеству по-разному определяют риски, что создаёт трудности для согласования. Однако использование разведки угроз для сопоставления технических угроз с дальнейшим мошенничеством помогает командам понять, как их приоритеты пересекаются. 

Для руководителей служб информационной безопасности эта взаимосвязь проясняет деловые аспекты технической защиты. Для аналитиков, занимающихся выявлением мошенничеств, это позволяет связать мошенническую деятельность с ее киберисточниками. Общая система координат позволяет командам более эффективно распределять ресурсы и демонстрировать окупаемость инвестиций в кибербезопасность и предотвращение мошенничества. 

Когда команды по борьбе с кибербезопасностью и мошенничеством обмениваются разведданными, они могут координировать свои действия, а не действовать изолированно. 

Например, разведка угроз может отмечать необычную активность тестирования карт на конкретном сайте торговцев, во время которой мошенники проводят небольшие тестовые транзакции для проверки украденных карт. В свою очередь, команды могут совместно анализировать информацию, а команды по борьбе с мошенничеством — отслеживать портфели карт, находящихся под угрозой, на предмет соответствующей активности, что позволяет им вмешаться до масштабирования операций злоумышленниками.

Кибербезопасность и предотвращение мошенничества больше не могут вести отдельные конфликты. Когда это происходит, злоумышленники используют эти пробелы. Однако, когда команды сотрудничают, банки могут принять скоординированные действия для предотвращения потерь до их эскалации.

Mastercard Threat Intelligence оснащает мошеннические команды тщательной разведкой по последним угрозам и уязвимостям в сфере мошенничества с платежами, давая им возможность сотрудничать с киберкомандами и своевременно реагировать на сокращение потерь. 

Готова ли ваша организация сокращать разрыв между кибербезопасностью и мошенничеством? Узнайте, как система анализа угроз Mastercard может вам помочь.