不可否认的是严峻的安全形势医疗保健组织目前面临的问题。然而,你在网上读到的或在新闻中看到的大部分内容都与特定的恶意软件威胁或勒索软件攻击有关。经常错过的是潜在的问题 - 人类因素。
最近的一次威瑞森网络安全报告发现人为失误是所有行业网络攻击的主要原因。医疗保健行业尤其必须找到解决人为错误的新方法,以避免成为困扰企业多年的相同攻击的受害者。
医疗保健中不同层次的人为错误
人为错误是一个广泛的类别,它包含了源自于个别员工的各种不同的漏洞。
Verizon的研究发现,对医疗保健行业而言,人为失误可归结为三个主要问题:滥用内部特权、员工疏忽和人身损失/盗窃。丢失物理设备的跟踪为攻击者提供了进入医疗保健组织的最容易的切入点,但其他两种形式的人为错误带来了更具有挑战性的问题。
现在下载:IT安全白皮书
特权滥用和不专心导致对网络钓鱼攻击的更大脆弱性。即使攻击者在2016年1季度发达了22万新的恶意软件,即使在2016年的初始人类妥协的情况下,最先进的恶意软件就无用。
由于每天都有越来越多的攻击者试图访问有价值的受保护的健康信息(PHI),医疗保健行业面临着一场与网络钓鱼攻击的持久战邪恶的目的。
网络钓鱼攻击的现状
降低网络安全中人为错误的可能性的第一步,是首先要了解危及员工的网络钓鱼攻击。根据一项反网络钓鱼工作组的最新研究(APWG),在2015年10月至2016年3月期间,已知的钓鱼网站数量增加了20%。更糟糕的是,这些网站正被用来发布越来越危险的威胁。
有许多不同类型的网络钓鱼计划,但这里有一些人应该熟悉安全专业或其他人:
- 基本的群发邮件活动:在最低级别,攻击者可以发送大量带有欺骗性信息的电子邮件,诱使用户点击恶意链接。链接指向看似合法的网站,用户输入他们的凭证,攻击者收集它们。
- 恶意软件加载:这种类型的攻击也可以通过大众电子邮件推出。但是,恶意链接和附件被配置为单击它们的用户自动下载一块恶意软件到他们的机器。类似地,可以以这种方式部署高级键盘记录程序来跟踪特定的活动。
- 有针对性的鱼叉式网络钓鱼:攻击者不会发起群发电子邮件的活动,他们可以在你的组织中挑选某个易受攻击的或知名的员工,并为他们量身定制钓鱼邮件。
威瑞森发现,无论何种网络钓鱼计划,所有行业的用户大约有30%的时间会打开恶意邮件。不幸的是,只要你的一个员工打开其中一封邮件,就会危及你的整个网络。
如果你的员工自愿(但不知情)让攻击者访问你的电子健康记录系统,没有很多网络安全解决方案可以帮助你。这就是为什么您必须从源头上减轻人为错误。
如何解决网络安全人为失误,避免代价高昂的攻击
似乎网络安全专家多年来一直在谈论对员工培训的同样需求。然而,斯隆·凯特琳癌症纪念中心(Memorial Sloan Kettering Cancer Center)高级副总裁兼首席信息官帕特里夏·斯卡鲁利斯(Patricia Skarulis)有一些想法最近给医疗保健公司的建议寻求解决人为错误:
- 内部钓鱼攻击测试:Skarulis认为,医疗保健公司应该断断续续地用虚假的网络钓鱼攻击来测试员工。这些测试可以让你了解员工识别恶意邮件的能力。
- 在线课程培训:你可以设置内部测试,引导员工参加在线课程,解决他们遭受的特定攻击。
- 技术准备:培训是最重要的,但这并不意味着对网络钓鱼计划没有任何技术解决方案。双因素认证和丰富的恶意软件检测/预防工具可以帮助您避开潜在的威胁——即使当您的员工犯了一个不可避免的错误。
正在进行的员工培训应该是任何安全领导者的头脑,但您无法完全依赖这一点来保护您的电子健康记录。攻击发生快速(只看怀俄明医疗中心发生了什么在美国,人为错误允许攻击者在15分钟内访问3000多条记录)。拥有正确的内联安全设备和带外监控工具也是同样必要的。
医疗组织美国需要跟上不断发展的网络安全形势,但这意味着需要部署一系列复杂的设备和软件解决方案。
希望添加内联或带外安全监控解决方案,但不确定从哪里开始?加入我们的简短网络设计咨询或演示。没有义务,这是我们喜欢做的。
