不可否认的是防火局势医疗保健组织目前面临的问题。然而,你在网上读到的或在新闻中看到的大部分内容都与特定的恶意软件威胁或勒索软件攻击有关。人们经常忽略的是根本问题——人的因素。
最近的一次威瑞森网络安全报告发现人为错误是所有行业的网络攻击的主要原因。医疗保健行业尤其必须找到解决人类错误的新方法,以避免堕落的受害者对多年来困扰组织的同一攻击。
医疗保健中的不同人为错误
人为错误是一个广泛的类别,它包含了源自于个别员工的各种不同的漏洞。
Verizon的研究发现,对于医疗保健行业,人为错误归结为三个主要问题 - 内幕特权滥用,无私员工和物理损失/盗窃。失去物理设备的轨道使攻击者将最简单的入学点转为医疗组织,但其他两种形式的人类错误存在更具挑战性的问题。
>>立即下载:IT安全白皮书
滥用特权和疏忽导致更容易受到钓鱼攻击。即使攻击者在2016年第一季度每天开发超过22万个新的恶意软件,如果没有最初的人类妥协,最复杂的恶意软件也毫无用处。
由于每天都有越来越多的攻击者试图访问有价值的受保护的健康信息(PHI),医疗保健行业面临着一场与网络钓鱼攻击的持久战邪恶的目的。
网络钓鱼攻击的现状
降低网络安全中人为错误的可能性的第一步,是首先要了解危及员工的网络钓鱼攻击。根据一项反网络钓鱼工作组的最新研究(APWG),2015年10月和2016年3月之间已知的网络钓鱼网站数量增加了20%。更糟糕的是,这些网站正在用于推出日益危险的威胁。
有许多不同类型的钓鱼计划,但这里有一些任何人都应该熟悉的安全专业人士或其他:
- 基本的群发邮件活动:在最低级别,攻击者可以发送大量带有欺骗性信息的电子邮件,诱使用户点击恶意链接。链接指向看似合法的网站,用户输入他们的凭证,攻击者收集它们。
- 恶意软件加载:这种类型的攻击也可以通过群发电子邮件发起。然而,恶意链接和附件的配置方式是这样的,用户点击它们就会自动下载恶意软件到他们的机器。类似地,可以以这种方式部署高级键盘记录程序来跟踪特定的活动。
- 有针对性的鱼叉式网络钓鱼:攻击者而不是推出批准邮件广告系列,而是可以在您的组织中选择某些弱势或高调的员工,并为他们定制网络钓鱼电子邮件。
威瑞森发现,无论何种网络钓鱼计划,所有行业的用户大约有30%的时间会打开恶意邮件。不幸的是,只要你的一个员工打开其中一封邮件,就会危及你的整个网络。
如果你的员工自愿(但不知情)让攻击者访问你的电子健康记录系统,没有很多网络安全解决方案可以帮助你。这就是为什么您必须从源头上减轻人为错误。
如何解决网络安全人为失误,避免代价高昂的攻击
似乎网络安全专家多年来一直在谈论对员工培训的同样需求。然而,斯隆·凯特琳癌症纪念中心(Memorial Sloan Kettering Cancer Center)高级副总裁兼首席信息官帕特里夏·斯卡鲁利斯(Patricia Skarulis)有一些想法最近给医疗保健公司的建议希望解决人为错误:
- 内部网络钓鱼攻击测试:Skarulis认为,医疗保健公司应该断断续续地用虚假的网络钓鱼攻击来测试员工。这些测试可以让你了解员工识别恶意邮件的能力。
- 在线课程培训:你可以设置内部测试,引导员工参加在线课程,解决他们遭受的特定攻击。
- 技术准备:培训是至关重要的,但这并不意味着网络钓鱼计划没有任何技术解决方案。双因素认证和丰富的恶意软件检测/预防工具可以帮助您抵御潜在的威胁 - 即使您的员工犯了不可避免的错误。
对任何安全主管来说,持续的员工培训都应该是首要考虑的,但你不能完全依靠这来保护你的电子健康记录。攻击发生得很快(看看吧怀俄明医疗中心发生了什么,人类错误允许攻击者在仅15分钟内访问超过3,000条记录)。具有正确的在线安全设备和带外监控工具,同样是必要的。
医疗组织需要跟上不断发展的网络安全景观 - 但这意味着部署复杂的电器堆栈和软件解决方案。
希望添加内联或带外安全监控解决方案,但不确定从哪里开始?加入我们的简短网络设计咨询或演示。没有义务 - 这就是我们喜欢做的事情。
