没有否认的防火局势医疗组织目前面临。但是,您在网上阅读的大部分内容或在新闻中看到的内容围绕特定恶意软件威胁或赎金软件攻击。人们经常忽略的是根本问题——人的因素。
最近Verizon Cyber Security报告发现人为错误是所有行业的网络攻击的主要原因。医疗保健行业尤其必须找到解决人类错误的新方法,以避免堕落的受害者对多年来困扰组织的同一攻击。
医疗保健中的不同人为错误
人为错误是一种广泛的类别,用于包含来自各个员工的各种不同的漏洞。
Verizon的研究发现,对于医疗保健行业,人为错误归结为三个主要问题 - 内幕特权滥用,无私员工和物理损失/盗窃。失去物理设备的轨道使攻击者将最简单的入学点转为医疗组织,但其他两种形式的人类错误存在更具挑战性的问题。
>>立即下载:IT安全白皮书
滥用特权和疏忽导致更容易受到钓鱼攻击。即使攻击者在2016年第一季度每天开发超过22万个新的恶意软件,如果没有最初的人类妥协,最复杂的恶意软件也毫无用处。
随着更多攻击者每天尝试访问有价值的受保护的健康信息(PHI),医疗保健行业面临着对抗网络钓鱼攻击的不断的战斗对于邪恶的目的。
当前的网络钓鱼攻击状态
减轻网络安全人为错误潜力的第一步是了解在第一步中妥协您的员工的网络钓鱼攻击。根据A.反网络钓鱼工作组最近的研究(APWG),2015年10月和2016年3月之间已知的网络钓鱼网站数量增加了20%。更糟糕的是,这些网站正在用于推出日益危险的威胁。
有许多不同类型的钓鱼计划,但这里有一些任何人都应该熟悉的安全专业人士或其他:
- 基本批量电子邮件活动:在最低级别,攻击者可以用欺骗性消息发出批量电子邮件,使用户能够单击恶意链接。链接旨在看似合法的网站,用户键入其凭据和攻击者收集它们。
- 恶意软件加载:这种类型的攻击也可以通过群发电子邮件发起。然而,恶意链接和附件的配置方式是这样的,用户点击它们就会自动下载恶意软件到他们的机器上。同样,可以以这种方式部署高级键盘记录器以跟踪特定活动。
- 有针对性的矛网络钓鱼:攻击者而不是推出批准邮件广告系列,而是可以在您的组织中选择某些弱势或高调的员工,并为他们定制网络钓鱼电子邮件。
无论特定类型的网络钓鱼方案如何,Verizon都发现所有行业的用户大约在所有行业开放的恶意电子邮件。不幸的是,它只需要您的一个员工,以打开其中一个电子邮件以危及您的整个网络。
如果您的员工愿意(但不知不觉)为攻击者提供对您的电子健康录制系统,可以帮助您使用许多网络安全解决方案。这就是为什么你必须在源代码中减轻人为错误。
如何解决网络安全人为错误以避免昂贵的攻击
似乎网络安全专家一直在谈论多年来对员工培训的同样需要。然而,顾客斯科南甲基克林癌中心的高级副总裁兼首席信息官Patricia Skarulis有一些最近为医疗保健公司的建议希望解决人为错误:
- 内部网络钓鱼攻击测试:Skarulis认为医疗保健公司应该间歇地测试他们的员工的假手机攻击。这些测试将对您的员工发现恶意电子邮件的能力提供了解。
- 在线课程培训:您可以将内部测试设置为直接员工到在线课程,这些课程解决了他们降低了受害者的特定攻击。
- 技术准备:培训是至关重要的,但这并不意味着网络钓鱼计划没有任何技术解决方案。双因素认证和丰富的恶意软件检测/预防工具可以帮助您抵御潜在的威胁 - 即使您的员工犯了不可避免的错误。
对任何安全主管来说,持续的员工培训都应该是首要考虑的,但你不能完全依靠这来保护你的电子健康记录。攻击发生得很快(看看吧怀俄明医疗中心发生了什么,人类错误允许攻击者在仅15分钟内访问超过3,000条记录)。具有正确的在线安全设备和带外监控工具,同样是必要的。
医疗组织需要跟上不断发展的网络安全景观 - 但这意味着部署复杂的电器堆栈和软件解决方案。
希望添加内联或带外安全监控解决方案,但不确定在哪里开始?加入我们的简短网络设计 - IT咨询或演示。没有义务 - 这就是我们喜欢做的事情。
