照片:Pexels/cottonbro studio
医疗保健行业是网络攻击的首要目标,并且其员工是第一道防线。一线工作人员点击或知道避免恶意电子邮件链接可能会导致是否遭受勒索软件攻击。
尽管是最有可能自我评估为拥有成熟安全准备的行业之一,医疗保健仍然常常没有做好应对安全风险的准备,医疗保健人员的网络警惕对于应对新兴威胁的挑战至关重要。
与此同时,人工智能正在改变大大小小的卫生系统的风险状况,新的CyberSolutionsMD 首席执行官埃里克·利德曼 (Eric Liederman) 博士表示:“试图了解接下来会发生什么总是比打最后一场战斗更困难。”
Liederman将在即将于 10 月 31 日至 11 月 1 日在华盛顿特区举行的 HIMSS 2024 医疗网络安全论坛上主持一个关于通过培养安全思维来赋予员工权力的小组讨论。
“大多数组织面临的问题是,他们采取了自上而下的方法,”利德曼说。虽然组织使用各种方法来帮助培训员工识别网络钓鱼电子邮件等威胁,但“这背后没有科学依据,”他说。
“这与教育有关,但也与帮助他们建立联系、“ChristianaCare 首席信息安全官 Anahi Santiago 说道,他将与 FBI 的 Liederman 和 David Fine 一起参加对话。
Santiago 描述了网络安全培训的三个关键:
她说,从安全角度来看,与临床医生相关的内容可能与与金融人员相关的内容有所不同。
“这并不是对每个人都一视同仁,并假设每个人都会处理信息以同样的方式定制信息,使其与他们正在做的事情相关。”
平易近人是整个 ChristianaCare 的目的,圣地亚哥说,IT 的信息是“如果这不是一个需要报告的问题,也没关系”无论如何都要报告。”
虽然任何人都可以报告他们在她的组织中可能遇到的任何安全问题,但“我们也做了一件事,我认为这确实很有帮助,这就是安全路演的概念。”
IT 团队与各部门会面时表示,“我们不仅仅是这些网络安全专业人员,致力于从事您认为真正可怕的事情,而且您不这样做知道我们在做什么,”她解释道。
“我们都被称为‘不要点击该链接的人’,很多人认为这是他们唯一需要担心的事情”她说。
但是,医疗保健人员需要了解的还有很多。
“紧急威胁始终是我们需要转变和思考的领域。她说,在不吓到护理人员的情况下,网络安全专业人员必须想出新的方法来做好准备。
深度造假是一个很好的选择。下一步的例子。
商业电子邮件泄露“今年确实急剧增加”,Liederman 指出。他说,虽然 IT 团队告诉员工避免使用电子邮件中的链接,并且“不要打开任何你不期望的内容的附件”,但他们的下一个策略并不总是有效。
过去的做法是,“如果您有任何疑问,请联系发件人。那么,现在如果您这样做,您怎么知道您正在与真人交谈呢?”
圣地亚哥同意深度造假中语音和视频的复杂程度极大地增加了医疗保健组织面临的安全风险。
今天,犯罪分子甚至会使用他们的模仿来安排 Teams 通话,“并且他们”她说:“他们在视频中很常见,而且他们看起来和你通常在视频中打交道的人一模一样。”
为了说明 ChristianaCare 董事会面临的深度造假威胁程度,她要求她的团队创建她谈论生成人工智能的新兴网络威胁的视频,她说该视频的成本约为 0.09 美元。
播放这段两分半钟的假视频后,“我对他们说,‘我与那个视频完全没有关系’,董事会看上去很困惑。”
小组会议“员工警惕:培养安全心态”定于 11 日举行:10 月 31 日星期四上午 30 点,在华盛顿特区举行的 HIMSS 医疗网络安全论坛上。
Andrea Fox 是《医疗保健 IT 新闻》的高级编辑。
电子邮件:afox@himss.org
医疗保健 IT 新闻是 HIMSS 媒体出版物。