Мені пощастило.
У 2018 році я працював у відділі фінансових злочинів NAB. Моя задача полягала в "впровадженні рішень". Це була вишукана назва для того, щоб сказати "допомогти операціям та стратегії впроваджувати нові речі". Якщо чесно, це була роль, яку люди в Операціях та Стратегії (де я починав) часто сумнівалися, чому вона потрібна. Вони здебільшого мали рацію, крім випадків, коли були неправі. Було багато дурниць, але це також була сфера, де неочевидна робота знаходила своє місце. Політика великого банку, що намагається орієнтуватися в складності, яка іноді здавалася непереборною. З’єднання різних ідей і спроби зробити щось, що більшість людей навіть не розуміли, що потрібно. Це був ідеальний рівень розвитку для мене після прямої роботи в операціях з боротьби з шахрайством, моє розуміння перехрестя машинного навчання, шахрайства та злочинів покращилось.
І ось, після кількох змін у керівництві, мій світ відкрився ще більше. Боротьба з шахрайством була переміщена з "Фінансових злочинів" і об’єднана з кібербезпекою.
Ось тоді мені пощастило по-справжньому.
Моя роль була зручно переміщена та піднята до рівня архітектури безпеки. Моя задача полягала у проектуванні та інтеграції рішень для боротьби з шахрайством у проекти, які банк реалізовував разом з нашим набором кібер-контролів. Завдяки цьому я отримав доступ до світу, який раніше розумів тільки з периферії. Я мав прямий доступ до талантів найрозумніших і найскромніших кіберспеціалістів на наших берегах. Вони завжди були готові поділитися знаннями та відповісти на мій потік запитань.
Для моєї допитливої натури це було справжнім золотим родовищем, моє навчання прискорилось експоненційно, і несподіваним для мене стало те, що боротьба з шахрайством почала ставати все більш зрозумілою.
Я пережив безперервні моменти "Еврика" протягом перших кількох років. Одне з головних відкриттів полягало в тому, що шахрайство не мало того, що в кібербезпеці є вдосталь: зовнішніх ресурсів, підтриманих постійними дослідженнями, державним фінансуванням та залученою професійною спільнотою.
Наш внутрішній фреймворк для боротьби з шахрайством, який постійно змінювався залежно від того, хто ним керував, зріяв. Основний підхід "Атакуючий/Оборонець" кібербезпеки, втілений у конкретних контекстах, став для мене очевидним планом для боротьби з шахрайством. Але йому не вистачало чогось простого, що можна було б показати керівникам і сказати: "Ось, ми робимо найсучаснішу роботу, дайте нам більше грошей!"
У 2021 році я отримав можливість втілити цю теорію в практику в тому, що я б сказав, залишається (на 2025 рік) основним полем битви для боротьби з шахрайством — криптовалюта.
Я залишив комфортні стіни банку і приєднався до Banxa (ми є провайдером Fiat-to-Crypto B2B2C) і почав вирішувати проблему шахрайства в комплексі. Я отримав необхідну внутрішню підтримку та довіру для впровадження фреймворку з нуля. Необхідність цього важко переоцінити. Ми досягли фантастичних результатів (ми продовжуємо працювати над ними — ця частина ніколи не зупиняється), проте початкова зміна від фактично нічого до повноцінної операції з боротьби з шахрайством мала різкий ефект. Ми позбулися величезних ризиків і почали належно працювати з постійними (на жаль) необхідними ризиками.
Не дивно, що це призвело до можливостей, з якими я опосередковано працював протягом останніх 7 років, і тепер я сподіваюся викласти їх тут, з відкритим кодом, з чітким результатом на меті... Зробити боротьбу з шахрайством доступною для кожного.
Чому ресурси, як MiTRE, OWASP 10 та NIST є такими сильними для компаній і чому шахрайство так сильно потребує чогось подібного
Вся суть цього аргументу ґрунтується на тому, що ці фреймворки допомагають компаніям досягти двох основних цілей, коли справа доходить до кібербезпеки:
- Що робити
- Як це робити (знаючи, скільки витратити)
Можна написати тисячі сторінок про це, і якщо ви не знайомі з цими фреймворками, я рекомендую поглинути їх, однак є основний принцип, який ми маємо засвоїти — що живий, практичний стандарт полегшує життя всім і допомагає нам зосередитися на важливому — діяти.
Перекладено з: My meandering path and why we need an Anti-Fraud standard.