Алан Гринблатт, PaymentWorks: «Не стоит ожидать, что ваших сотрудников никогда не обманут»

Организации могут покупать все виды инструментов кибербезопасности для предотвращения атак со стороны программ-вымогателей и вредоносного ПО, но они не всегда могут гарантировать 100% защиту от мошеннических сообщений. К сожалению, также невозможно гарантировать, что сотрудники никогда не будут случайно обмануты мошенниками. При смутной вероятности ошибок, которые могут стоить предприятию миллионы, крайне важно понять, как предотвратить мошенничество.

Чтобы узнать больше о попытках мошенничества и методах их предотвращения, авторы издания CyberNews побеседовали с Аланом Гринблаттом, техническим директором и соучредителем PaymentWorks - компании, которая борется с мошенничеством с бизнес-платежами.

Можете ли вы рассказать нам немного о том, что вы делаете? Как возникла PaymentWorks?

Я являюсь техническим директором и соучредителем PaymentWorks, которая проводит адаптацию цифровых поставщиков для безопасных, совместимых и оптимизированных бизнес-платежей. Тайер Стюарт, наш генеральный директор и мой соучредитель, много лет работал в сфере финансовых услуг и финтеха. Он осознал сложности, связанные с адаптацией поставщиков и управлением ими, а также возможность мошенников использовать то, что обычно является очень ручным процессом. У него было видение основного файла поставщика в облаке, которым могла бы поделиться любая компания, которая этого захочет. Ключевым моментом было то, что каждый должен был иметь возможность доверять данным в мастер-файле. Так что доверие - это то, с чего мы начали - мы знали, что без него мы закончим еще до того, как начали.

Мы основали эту компанию, чтобы обеспечить безопасность обработки информации о поставщиках в компании-заказчике, и в процессе создали продукт, который дополнительно обеспечивает соблюдение требований и эффективность.

Вы часто говорите о проблеме разрыва в идентичности. Не могли бы вы вкратце описать, что это такое и почему к этому следует относиться серьезно?

Мы используем термин «разрыв в идентификации», чтобы подчеркнуть разницу между информацией о бизнесе, подлинность которой доказана, и информацией, которая только кажется подлинной. Если это не доказано, у вас есть «брешь» в целостности ваших данных, и вы потратите много времени, пытаясь удостовериться в точности идентификационных элементов объекта, с которым имеете дело. Чтобы быть более конкретным: не секрет, что мошенники знают, как очень точно обмануть сотрудника с самыми лучшими намерениями, заставив его поверить, что они имеют дело с их реальным поставщиком. И как только им это удастся, появится новая банковская информация для следующего счета.

Руководители начинают понимать, что просить своих людей быть более осторожными - и не предпринимать других, более значимых шагов для обеспечения безопасности своего процесса - означает приглашение к потенциально дорогостоящей ошибке, не говоря уже о рецепте хронической потери сна и расстройства желудка для людей. на кого возложена эта ответственность.

«Будь осторожен» не является надежным защитным процессом и подразумевает, что если кого-то обманут, он не будет осторожен. Это неправда. Из-за этого люди теряют работу! У них должен быть шанс на бой.

Какие красные флаги указывают на то, что поставщик может быть злонамеренным или что кто-то выдает себя за него?

Я не могу не подчеркнуть, насколько важно опасаться срочности. Если кто-то создал ощущение, что что-то, связанное с платежом, должно произойти прямо сейчас, вы можете почти гарантировать, что это попытка мошенничества.

Другой факт - менее очевидный - связан с телефонными номерами. Мы знаем, что многие люди пытаются звонить поставщикам, чтобы убедиться, что электронное письмо настоящее - и вы тоже должны это делать! Это трудоемкий, но отличный метод. Однако из-за того, что так много людей работают из дома, вы, скорее всего, не дозвонитесь до поставщика со своим исходящим телефонным звонком. Если поставщик перезванивает вам с номера, отличного от того, который вы использовали для звонка, вы снова возвращаетесь к проблеме «разрыва в идентичности». Если вы не можете аутентифицировать этот номер как принадлежащий продавцу, то вы не можете быть уверены, кто только что звонил вам, чтобы подтвердить изменение банковского счета.

Замечали ли вы, что злоумышленники используют какие-либо новые методы во время пандемии?

Самое большое изменение коснулось частоты. Мы видели больше подобных попыток выдачи себя за поставщика, будь то спуфинг электронной почты или компрометация электронной почты поставщика. Многие из них используют удаленную работу как прикрытие, чтобы создать ощущение срочности, о котором мы говорили ранее.

Какие риски безопасности часто не учитывают новые владельцы бизнеса?

На ум сразу же приходят три большие угрозы безопасности. Первая предполагает, что вашей ИТ-инфраструктуры достаточно, чтобы защитить вас. Это может защитить вас от взлома и выдачи себя за другое лицо, но ничего не дает информации о том, что ваш поставщик был взломан.

Во-вторых, вы ожидаете, что ваши работники будут непогрешимы и никогда не будут обмануты. Самый старательный, благонамеренный и хорошо обученный сотрудник все равно не будет идеальным. Так что неразумно ожидать, что ошибок не будет.

В-третьих, они полагают, что их полис киберстрахования покроет любые убытки, связанные с компрометацией электронной почты поставщика. Эти виды мошенничества происходят не из-за кибератаки, а из-за социальной инженерии человека, то есть обмана сотрудника, и, скорее всего, вы не будете застрахованы в этом случае.

Как вы думаете, почему некоторые компании борются с управлением поставщиками?

Я думаю, что почти все компании борются с этим бременем, но наиболее уязвимыми являются те, которые используют распределенные закупки в своих организациях, то есть те, которые дают бизнес-подразделениям свободу работать с поставщиками по своему выбору. В сфере высшего образования, например, работники учреждений могут нанять любого, кого они хотят, футбольный тренер может купить любую форму, которую он (или она) хочет, а директор общественного питания может найти поставщика где угодно. Когда существует так много возможных точек входа для мошенника, у вас появляется много возможностей для самой попытки мошенничества.

Вдобавок ко всему, адаптация нового поставщика включает в себя сбор и проверку всевозможной документации - все это должно быть кем-то проверено, потому что ее очень легко подделать. Но за пределами государственного сектора мошенничество с использованием социальной инженерии начинает распространяться и на предприятия. Мы видим, что это становится важным пунктом повестки дня для всех корпоративных финансовых и главных директоров, поскольку они борются с потерями, которые оцениваются в 5% от дохода каждый год.

Какие организации, по вашему мнению, являются мишенью для мошенников и должны как можно скорее принять надлежащие меры безопасности?

Любая организация с распределенными закупками, особенно те, которые обязаны соблюдать публичные требования, такие как государственные высшие учебные заведения, государственные и местные органы власти, а также средние учебные заведения, находятся на прицеле у мошенников. Но никто не застрахован. Можно обмануть самую маленькую мамочку и папочку, как и самые крупные и сложные предприятия.

Как насчет этого? Если вы ожидаете, что ваши работники будут обнаруживать и защищаться от мошенничества с использованием социальной инженерии, вы относитесь к списку важных целей для мошенников.

Какие угрозы кибербезопасности, по вашему мнению, часто упускаются из виду, но наносят серьезный ущерб как предприятиям, так и отдельным пользователям?

На данный момент я могу звучать как заезженная пластинка, но угрозы исходят от людей. Вся киберзащита в мире не может сравниться с изощренной попыткой мошенничества, нацеленной на человека и заставляющей его поверить в уловку. Никто даже не должен быть взломан, чтобы этот тип мошенничества увенчался успехом.

И, наконец, что дальше ждет PaymentWorks?

Мы являемся единственной платформой, которая нацелена на прекращение подобных видов мошенничества в источнике - мастер-файле поставщика. Мы следим за тем, чтобы в ERP не попадали неверные данные. Более того, мы не просто говорим - мы подкрепляем слова делом. Использование PaymentWorks устраняет риск потери средств нашими клиентами. Если мы говорим, что банковский счет надежен и клиент может заплатить, то наши клиенты могут нажать «отправить» в этом платежном файле и вернуться к своей работе.

Мы очень рады открывшейся перед нами возможности - внести значимые изменения в то, как люди, занимающиеся управлением поставщиками, закупками выполняют свою работу. Больше не нужно беспокоиться о налоговых идентификаторах и проверке банковских счетов. И, безусловно, больше не нужно беспокоиться о том, чтобы заплатить мошеннику вместо предполагаемого поставщика.