Bir tehdit, iki yanıt: Siber güvenlik ve dolandırıcılık ekipleri neden izole kalmamalı?

• Dolandırıcılık genellikle bir siber olayla başlar, ancak siber güvenlik ve dolandırıcılık ekipleri silolar halinde çalıştığında erken uyarı işaretleri fark edilmez. 
• İletişim eksikliği ve veri paylaşımındaki boşluklar nedeniyle siber güvenlik ve dolandırıcılık ekipleri arasında silolar devam etmekte ve bu da bankaların dolandırıcılığı erken tespit etme ve durdurma becerilerini zayıflatmaktadır. 
• Ödemeye özel tehdit istihbaratı, güvenlik ekiplerine siber olaylar ve dolandırıcılık riskleri arasındaki bağlantıları belirlemek için ortak bir mercek sağlayarak kayıpları azaltan ve siber dolandırıcılık entegrasyonunu iyileştiren daha hızlı, daha proaktif yanıtlar sağlar.  

Dolandırıcılık ve siber güvenlik ekipleri aynı suçluları paralel yollardan kovalıyor.

Çoğu kurumda siber güvenlik ekipleri ihlalleri tespit etmeye ve kontrol altına almaya odaklanırken, dolandırıcılık ekipleri çalınan verilerin kullanıldığına işaret eden şüpheli işlemleri izler. Soruşturmalar genellikle birbiriyle bağlantılıdır, ancak koordinasyon olmadığında dolandırıcılığın erken uyarı işaretleri gözden kaçar. 

Bu boşluk bankalara pahalıya mal oluyor: Küresel dolandırıcılık ve risk yöneticilerinin 60% 'ı, dolandırıcılık kayıpları oluşmaya başlayana ve çalınan verilerden para kazanılana kadar siber ihlallerden haberdar olmadıklarını söylüyor. Bu gecikme, saldırganlara avantaj sağlar ve bankaların yetişmeye çalışmasına neden olur.

Siber destekli dolandırıcılık arttıkça, bankalar siber dolandırıcılık entegrasyonunu sadece teknik bir düzeltme olarak değil, bir iş önceliği olarak ele almalıdır. Siloları yıkmak için C düzeyindeki destekle başlar ve veri paylaşımını iyileştirmek, başarı ölçütlerini uyumlu hale getirmek ve tehdit istihbaratına yönelik birleşik bir yaklaşım benimsemek gibi pratik adımlarla devam eder.

Siber güvenlik ve dolandırıcılık önleme ekipleri bankaları güvende tutma hedefini paylaşıyor, ancak temel farklılıklar nedeniyle genellikle silo halinde kalıyorlar.

Temel engeller şunlardır:

• Öncelikler ve başarı ölçütleri 
• İşletim dili 
• Organizasyon yapısı 

Siber güvenlik ve dolandırıcılık ekiplerinin her ikisi de bankayı korusa da, farklı öncelikler ve temel performans göstergeleri (KPI'lar) ile çalışırlar.

Siber güvenlik ekipleri:

• Ağları, sistemleri ve verileri yetkisiz erişime veya saldırıya karşı korumaya odaklanın 
• Teknik güvenlik açıklarını ve tehdit faaliyetlerini izleyerek ihlalleri tespit edin ve kontrol altına alın 
• Başarıyı olaylara müdahale hızı, tehditleri kontrol altına alma ve güvenlik çerçevelerine uyum gibi ölçütlerle ölçün 

Dolandırıcılık ekipleri:

• Müşteri güvenini sürdürmek için müşterileri ve işlemleri dolandırıcılık faaliyetlerinden korumaya odaklanın 
• Ödeme izleme ve dolandırıcılık tespit araçları aracılığıyla şüpheli faaliyetleri tespit etmek ve sorunları çözmek için doğrudan müşterilerle çalışmak 
• Dolandırıcılık oranlarında azalma, kayıpların geri kazanılması ve müşteri memnuniyeti gibi ölçütlere dayalı olarak başarıyı ölçün

Her grubun farklı hedefleri olduğundan, düzenli olarak bilgi alışverişini kolaylaştıracak ortak bir taksonomi veya mekanizma bulunmamaktadır.

Siber güvenlik ve dolandırıcılık ekipleri farklı kelimeler kullanmakta, bu da iletişim zorluklarına katkıda bulunmaktadır. Örneğin, siber güvenlik liderleri, bankanın iç sistemlerini ihlal eden bir saldırganı tanımlamak için "uzlaşma" terimini kullanabilir. Dolandırıcılık ekipleri için aynı terim, ihlal edilmiş bir tüccar veya müşteri hesabını tanımlayabilir.

Kelime dağarcığındaki bu farklılıklar küçük gibi görünse de daha büyük bir soruna işaret ediyor: siber güvenlik ve dolandırıcılığı önleme, nadiren bir araya gelen ayrı disiplinler. Ortak bir dilin olmaması işbirliğini zorlaştırmaktadır.

Birçok finans kuruluşunda siber güvenlik ve dolandırıcılık ekipleri farklı bölümlerde yer almakta ve ayrı emir komuta zincirleri üzerinden raporlama yapmaktadır. 

Sonuç olarak, bilgi alışverişi genellikle yalnızca acil sorunlar ortaya çıktığında yapılır. Aslında, küresel ihraççıların ve alıcıların 24% siber dolandırıcılık işbirliği için hala resmi süreçlerden yoksundur. 

Bankaların bu yapısal engelleri aşmak için bilinçli bir değişim yönetimine ihtiyacı vardır. Suistimal ve siber güvenlik ekipleri, düzenli temas noktaları oluşturarak ve ortak istihbarat kullanarak entegrasyonun değerini gösterebilir ve liderleri daha derin yapısal değişiklikler yapmaya teşvik edebilir.

Siber güvenlik ve dolandırıcılık ekipleri arasındaki entegrasyon eksikliği teorik bir riskten daha fazlasıdır. Bu durum her gün gerçek dolandırıcılık vakalarında yaşanmaktadır. 

Örneğin, silo halindeki siber güvenlik ve dolandırıcılık ekipleriyle dijital bir skimming saldırısı nasıl tırmanabilir:

1. Siber ekip bir ihlal riskini fark eder: Siber güvenlik ekibi, e-ticaret sitelerinde artan kötü amaçlı yazılım enjeksiyonları hakkında istihbarat alır. (Bu saldırılar giderek artıyor. 2024'te yaklaşık 11.000 benzersiz e-ticaret alanında e-skimmer enfeksiyonu tespit edilmiştir; bu sayı 2023'tekinden üç kat daha fazladır). Tehdit bankanın dijital altyapısını doğrudan etkilemediği için siber ekip bilgileri paylaşmıyor veya herhangi bir işlem yapmıyor. 
2. Dolandırıcılık ekibi sonuçları görüyor: Haftalar sonra, amir banka dolandırıcılık ekibi ters ibrazlarda ve şüpheli işlemlerde bir artış olduğunu fark ediyor. Siber ekip, e-skimmer saldırılarındaki artışla ilgili bir açıklama yapmadığı için bu faaliyeti münferit bir dolandırıcılık olarak değerlendiriyor. 
3. Kök neden çok geç ortaya çıkar: Daha derin bir araştırmanın ardından, dolandırıcılık ekibi dolandırıcılığın izini virüslü sitelere kadar sürer. O zamana kadar saldırganlar çalınan kart verilerinden çoktan para kazanmış olurlar. Hasar sadece kart sahibiyle sınırlı değildir. Alıcı genellikle hileli işlemlerin borcunu veya maliyetini üstlenir. 

Siber güvenlik ekibi potansiyel bir tehdit tespit etmesine rağmen, istihbaratı dolandırıcılık ekibine aktaracak bir süreçten yoksundu ve bu da dolandırıcılığın tespit edilmeden artmasına neden oldu.

Dolandırıcılık-siber silolarını yıkmaya başlamak için en iyi yerlerden biri ortak tehdit istihbaratıdır.

Tehdit istihbaratı, ortaya çıkan siber saldırılar hakkında veri ve içgörü sağlar. Bu istihbarat ödemelere uyarlandığında, siber olaylar ile işlem düzeyindeki dolandırıcılık riskleri arasındaki boşluğu doldurmaya yardımcı olarak ekiplere harekete geçmeleri için ortak bir temel sağlar.

Bu bağlamda, siber güvenlik ve dolandırıcılık ekipleri şunları yapabilir:

• Verileri tutarlı bir şekilde paylaşın 
• Ortak bir dil konuşun 
• Tehdit müdahalesini koordine edin 

Siber ve dolandırıcılık ekipleri, geçici iletişimin ötesine geçmeli ve içgörüleri paylaşmak için düzenli temas noktaları oluşturmalıdır. Ödemelere özel tehdit istihbaratı, ilgili bilgilerin paylaşıldığı bir temel oluşturarak bu süreci destekler. 

Örneğin, haftalık istihbarat senkronizasyonları, grupların işbirliği yapmasına ve ortaya çıkan dolandırıcılık modellerini belirlemesine olanak tanır. Bu senkronizasyonlar sırasında ekipler, en iyi veri koruma uygulamalarını izleyerek, güvenliği ihlal edilmiş satıcı ödeme sayfaları veya suç teşkil eden pazar yerlerinde görünen çalıntı kart numaraları hakkındaki bilgileri güvenli bir şekilde paylaşabilir. 

Aynı şekilde liderler de bu işbirliğini güçlendirebilir. CISO'lar siber brifinglerde dolandırıcılık risklerini sorabilir veya dolandırıcılık ekiplerini ilgili tehdit incelemelerine dahil ederek veri paylaşımının kurumsal bir öncelik olduğu sinyalini verebilir. Aynı derecede önemli olan bir diğer husus da kart sahibi bilgilerinin ve tüccar kimlik bilgilerinin korunmasını ve daha fazla tehlikeye girmesini önlemek için güvenli bir şekilde işlenmesini sağlamaktır.

Siber güvenlik ve dolandırıcılık ekipleri riski farklı tanımlıyor ve bu da uyum için zorluklar yaratıyor. Bununla birlikte, teknik tehditleri aşağı yönlü dolandırıcılıkla eşleştirmek için tehdit istihbaratını kullanmak, ekiplerin önceliklerinin nasıl örtüştüğünü anlamalarına yardımcı olur. 

CISO'lar için bu bağlantı, teknik savunmaların arkasındaki iş risklerini netleştiriyor. Dolandırıcılık analistleri için bu, dolandırıcılık faaliyetlerini siber kökenlerine kadar geri götürüyor. Ortak bir referans çerçevesi, ekiplerin kaynakları daha verimli bir şekilde tahsis etmesini ve siber güvenlik ve dolandırıcılık önleme yatırımlarından elde edilen yatırım getirisini göstermesini sağlar. 

Siber ve dolandırıcılık ekipleri istihbarat paylaştığında, silolar halinde çalışmak yerine müdahalelerini koordine edebilirler. 

Örneğin, tehdit istihbaratı, dolandırıcıların çalıntı kartları doğrulamak için küçük test işlemleri başlattığı belirli bir tüccar web sitesinde olağandışı kart test faaliyetini işaretleyebilir. Buna karşılık, ekipler bilgileri ortaklaşa inceleyebilir ve dolandırıcılık ekipleri ilgili faaliyetler için risk altındaki kart portföylerini izleyebilir ve saldırganlar operasyonlarını ölçeklendirmeden önce müdahale etmelerini sağlar.

Siber güvenlik ve dolandırıcılığı önleme artık ayrı ayrı mücadele edemez. Bunu yaptıklarında, saldırganlar boşluklardan yararlanırlar. Ancak ekipler işbirliği yaptığında, bankalar kayıpları büyümeden durdurmak için koordineli bir şekilde harekete geçebilir.

Mastercard Tehdit İstihbaratı, dolandırıcılık ekiplerini en son ödeme dolandırıcılığı tehditleri ve güvenlik açıkları hakkında derlenmiş istihbaratla donatarak, siber ekiplerle işbirliği yapmalarını ve kayıpları azaltmak için erken hareket etmelerini sağlar. 

Kurumunuz siber ve dolandırıcılık arasındaki boşluğu kapatmaya hazır mı? Mastercard Threat Intelligence'ın nasıl yardımcı olabileceğini keşfedin.