Bu Help Net Security röportajında, PRA Group’un CISO’su Jess Vachon, şirketin dolandırıcılığa karşı çok katmanlı savunmasını ve müşteri güvenini koruma konusundaki kararlılığını tartışıyor. Vachon, PRA Group’un kimlik doğrulamayı kusursuz müşteri deneyimiyle nasıl dengelediğini açıklıyor.
Vachon ayrıca yapay zekanın hem dolandırıcılıkla mücadeleyi hem de güvenlik ekiplerinin tehditlere uyum sağlama şeklini nasıl değiştirdiğini düşünüyor.
Kimlik doğrulama, borç tahsilatı ve kredi hizmetlerinde temel bir zorluktur. Yasal müşteriler için süreci sorunsuz tutarken kimlikleri güvenli bir şekilde doğrulamaya nasıl yaklaşıyorsunuz?
Tüm müşteri telefon etkileşimlerinde, herhangi bir hesap bilgisini görüşmeden önce hem müşterinin adını hem de ikinci bir kişisel bilgiyi doğrularız.
Müşteriye yönelik web sitelerimizde dolandırıcılık faaliyetlerini önlemek için MFA’ya güveniyoruz. Bir hesaba erişim izni vermek için birden fazla bağımsız kimlik doğrulama biçimi gerektirerek, bir saldırganın çalınan şifre gibi bir faktörü ele geçirmesi halinde bile, diğer gerekli kimlik doğrulama yöntemlerinden yoksun olması nedeniyle müşterinin hesabına erişim sağlayamamasını sağlar.
Artık çoğu saldırı, hesap ele geçirme veya sentetik kimlikler gibi kimlik sistemlerindeki zayıf noktalardan yararlanıyor. Müşteri deneyimine sorun katmadan bu taktiklerin önünde nasıl durursunuz?
MFA, müşteri deneyimine bazı sorunlar katsa da, finansal kurumlar arasında yaygın ve gerekli bir kimlik doğrulama uygulamasıdır. MFA’nın, hassas müşteri bilgileri ve verileriyle ilgilenen şirketlerle dijital olarak etkileşim kurmak isteyen müşteriler tarafından geniş çapta kabul edildiğini görüyoruz. Giriş işlemlerimizin işlevsel ve güvenli kalmasını sağlamak için kod düzeyinde güvenlik tarama araçlarından ve sızma testlerinden de yararlanıyoruz.
Çalışanlar genellikle dolandırıcılığa karşı ilk savunma hattıdır. Personelin şüpheli davranışları suçlanma korkusu olmadan fark edip bildirdiği bir kültürü nasıl inşa edersiniz?
Proaktif bir dolandırıcılık tespiti kültürü oluşturmak, psikolojik güvenliği yönetişim çerçevemize dahil etmekle başlar. Çalışanlarımızın şüpheli davranışları bildirmenin yalnızca teşvik edilmekle kalmayıp aynı zamanda korunduğu konusunda kendilerini güvende hissetmelerini sağlıyoruz. Çok katmanlı stratejimiz, çalışanların günah keçisi değil, güvenlik ve gizlilik savunucuları olarak hareket etme yetkisine sahip olmalarını sağlar. Bu yaklaşım şunları içerir:
- Etik standartlar: İş Davranışı ve Etik Kurallarımız dürüstlük ve hesap verebilirliğe ilişkin beklentilerin ana hatlarını çizerek dolandırıcılığın önlenmesinin ortak bir sorumluluk olduğunu güçlendiriyor.
- Eğitim ve farkındalık: Liderliğin pozitif bir güvenlik kültürü oluşturmaya nasıl yardımcı olduğunu gösteren Bilgi Güvenliği standları ve yönetim kurulu düzeyindeki kaynaklar aracılığıyla sürekli eğitim sağlıyoruz.
- Cezalandırıcı olmayan raporlama kanalları: İş faaliyetleri yürüttüğümüz ülkelerin kültürel normlarına göre yerelleştirilen olay müdahale protokollerimiz ve politikalarımız, insan hatası meydana geldiğinde bile odak noktasının suçlama değil, çözüm ve öğrenme olduğunu göstermektedir. Bir hata yapıldığında personelin öne çıkmasını istiyoruz, böylece bunu düzeltebilir, kuruluşu, müşterilerimizi ve müşterilerimizi koruyabiliriz.
- Liderlik modellemesi: Üst düzey liderlerden gelen düzenli iletişimler, dikkat ve şeffaflığın mükemmellikten daha değerli olduğunu sürekli olarak pekiştiriyor.
Yapay zeka hem dolandırıcılığın önlenmesinde hem de dolandırıcılığın kendisinde daha büyük bir rol oynadığından, onun stratejinizin geleceğini şekillendirmedeki etkisini nasıl görüyorsunuz?
Yapay zeka, hem bir savunma aracı hem de yeni tehditler için bir vektör olarak dolandırıcılık ortamını yeniden şekillendiriyor. Stratejimiz bu ikiliği yansıtıyor:
- Yönetişim öncelikli yaklaşım: Küresel ve yerelleştirilmiş yapay zeka politikalarımız, önyargı, veri koruma ve insan gözetimi ile ilgili önlemlerle birlikte yapay zekanın sorumlu bir şekilde benimsenmesini vurguluyor.
- Risk bazlı dağıtım: Yapay zeka girişimleri, önemlilik risk değerlendirmelerinden geçer ve etik ve operasyonel standartlarımıza uyum sağlamak amacıyla resmi bir yapay zeka çalışma grubu tarafından incelenir.
- Otomasyon değil, büyütme: Yapay zekayı, insanın karar alma mekanizmasının yerine geçen değil, katkıda bulunan bir kişi olarak görüyoruz. Bu ilke, yönetişim belgelerimize dahil edilmiştir ve yapay zeka güvenliği ve gizlilik eğitim programları aracılığıyla güçlendirilmiştir.
- Sürekli adaptasyon: Stratejimiz tehdit ortamına göre gelişiyor. Rekabetçi makine öğrenimi eğilimlerini izliyoruz ve AB Yapay Zeka Yasası gibi küresel düzenleyici çerçevelerden edinilen bilgileri entegre ediyoruz.
Yapay zeka stratejimiz, güveni korurken inovasyondan yararlanacak şekilde dayanıklı, şeffaf ve insan odaklı olacak şekilde tasarlanmıştır.