不可否认,医疗机构目前面临着严峻的安全形势。然而,你在网上读到或在新闻中看到的很多内容都是围绕特定的恶意软件威胁或勒索软件攻击展开的。人们往往忽略了根本的问题——人的因素。
Verizon最近的一份网络安全报告发现,人为错误是所有行业网络攻击的主要原因。医疗保健行业尤其必须找到解决人为错误的新方法,以避免成为多年来困扰组织的相同攻击的受害者。
医疗保健中不同层次的人为错误
人为错误是一个广泛的类别,用于包含源自单个员工的各种不同漏洞。
Verizon的研究发现,对于医疗保健行业来说,人为错误可以归结为三个主要问题:内部特权滥用、员工疏忽和物理损失/盗窃。失去对物理设备的跟踪为攻击者提供了进入医疗保健组织的最简单入口,但其他两种形式的人为错误带来了更具挑战性的问题。
现在下载:IT安全白皮书
特权滥用和疏忽导致更容易受到网络钓鱼攻击。即使攻击者在2016年第一季度每天开发超过22万个新的恶意软件,但如果没有最初的人为妥协,最复杂的恶意软件也是无用的。
随着越来越多的攻击者每天试图出于恶意目的访问有价值的受保护健康信息(PHI),医疗保健行业面临着与网络钓鱼攻击的持续斗争。
网络钓鱼攻击的现状
减轻网络安全中人为错误的第一步是首先了解危及员工的网络钓鱼攻击。根据反网络钓鱼工作组(APWG)最近的一项研究,在2015年10月至2016年3月期间,已知的网络钓鱼网站数量增加了20%。更糟糕的是,这些网站正被用来发起越来越危险的威胁。有许多不同类型的网络钓鱼方案,但这里有一些任何人都应该熟悉的安全专业人士或其他人:
- 基本的群发邮件活动:在最低级别,攻击者可以发送带有欺骗性信息的群发邮件,诱骗用户点击恶意链接。链接被定向到看似合法的网站,用户在那里输入他们的凭据,攻击者就会收集这些凭据。
- 恶意软件加载:这种类型的攻击也可以通过群发电子邮件发起。然而,恶意链接和附件被配置成这样一种方式,即用户点击它们就会自动将恶意软件下载到他们的机器上。类似地,可以以这种方式部署高级键盘记录器来跟踪特定的活动。
- 有针对性的鱼叉式网络钓鱼:攻击者可以在您的组织中挑选某个易受攻击或知名度高的员工,并为他们量身定制网络钓鱼电子邮件,而不是发起大规模的电子邮件活动。
不管网络钓鱼的具体类型是什么,Verizon发现所有行业的用户大约有30%的时间打开了恶意电子邮件。不幸的是,只要你的一个员工打开其中一封邮件,就会危及你的整个网络。如果你的员工自愿(但在不知情的情况下)允许攻击者访问你的电子健康记录系统,那么没有多少网络安全解决方案可以帮助你。这就是为什么必须从源头上减少人为错误的原因。
如何解决网络安全的人为错误,避免代价高昂的攻击
网络安全专家似乎多年来一直在谈论员工培训的必要性。然而,纪念斯隆-凯特琳癌症中心的高级副总裁兼首席信息官Patricia Skarulis最近给医疗保健公司提出了一些解决人为错误的建议:
- 内部网络钓鱼攻击测试:Skarulis认为,医疗保健公司应该间歇性地对员工进行虚假网络钓鱼攻击测试。这些测试可以让您深入了解员工发现恶意电子邮件的能力。
- 在线课程培训:您可以设置内部测试,指导员工参加针对他们遭受的特定攻击的在线课程。
- 技术准备:培训是最重要的,但这并不意味着没有任何针对网络钓鱼计划的技术解决方案。双因素身份验证和丰富的恶意软件检测/预防工具可以帮助您抵御潜在的威胁-即使您的员工犯了不可避免的错误。
对于任何安全主管来说,持续的员工培训都应该是头等大事,但您不能完全依赖于此来保护您的电子健康记录。攻击发生得很快(看看怀俄明州医疗中心(Wyoming Medical Center)发生的事件就知道了,在那里,人为失误让攻击者在15分钟内访问了3000多条记录)。拥有合适的在线安全设备和带外监控工具同样必要。
医疗保健组织需要跟上不断发展的网络安全形势,但这意味着要部署复杂的设备和软件解决方案。希望添加内联或带外安全监控解决方案,但不确定从哪里开始?加入体育博彩平台推荐,参加一个简短的网络Design-IT咨询或演示。没有义务——这是体育博彩平台推荐喜欢做的。
