医疗行业是网络攻击的主要目标,其员工是防御的第一道防线。一个前线员工点击或避免点击恶意邮件链接可能决定是否遭受勒索软件攻击。尽管医疗行业常自评为安全准备成熟,但仍常常对安全风险未做好准备——网络警惕在医疗工作队伍中至关重要。与此同时,人工智能正在改变大小医疗系统的风险模型,每天都有新的攻击技术出现。“理解未来发生的事情总比打上一场战斗更难,”
CyberSolutionsMD首席执行官Eric Liederman博士说。Liederman将在即将于10月31日至11月1日在华盛顿特区举行的HIMSS 2024医疗网络安全论坛上主持一个关于通过培养安全思维来增强工作队伍的讨论会。“大多数组织面临的问题是他们采取自上而下的方式来解决,”Liederman说。虽然组织通过多种方法帮助员工识别钓鱼邮件等威胁,“但背后没有科学依据,”他说。
“这不仅仅是教育,还要帮助他们建立联系,”ChristianaCare首席信息安全官Anahi Santiago说,她将与Liederman和FBI的David Fine一起参与讨论。Santiago描述了网络安全培训的三个关键点:了解你的受众;学习如何吸引你的受众;保持“报告,报告,报告”的渠道。从安全角度来看,对临床医生相关的信息可能与财务人员不同,她说。
“这不是对每个人一视同仁,假设每个人都会以同样的方式处理信息……而是要根据他们的工作内容定制信息。”Santiago说,在ChristianaCare内,IT部门传达的信息是“即使这不是一个需要报告的问题——也要报告。”尽管在她的组织中,任何人都可以随时报告任何安全问题,“我们还做了一件我认为非常有帮助的事情,那就是举办安全巡回展览。”
IT团队与各部门会面,解释“我们不仅仅是处理你认为非常可怕事情的网络安全专业人士,你不知道我们在做什么,”她解释道。“我们都被称为‘不要点击那个链接的人’,很多人认为这是他们唯一需要担心的事情,”她说。但医疗工作队伍需要了解的远不止这些。“新兴威胁总是需要我们转变思维,考虑——即将到来的风险是什么?”网络安全专业人士必须找到新颖的方法来准备他们,而不让护理人员害怕,她说。深度伪造是一个很好的例子。
Liederman指出,商业邮件妥协“今年真的被大大增强。”尽管IT团队告诉员工避免点击邮件中的链接,不要打开任何非预期的附件,但他提到,他们的下一步行动并不总是有效。过去,如果有任何疑问,联系发件人。现在,如果你这么做,如何确定你是在和真正发件人对话?Santiago同意,深度伪造的声音和视频的复杂程度大大增加了医疗组织面临的安全风险。
如今,犯罪分子甚至会利用模仿安排Teams通话——“他们在视频中,与通常视频中的人看起来一模一样,”她说。为了向ChristianaCare的董事会展示深度伪造的威胁级别,她让团队制作了一段她谈论生成性人工智能新兴网络威胁的视频,费用约为$0.09。在播放了这段两分半钟的假视频后,“我对他们说,‘那段视频与我毫无关系’,董事会面露困惑。”座谈会“工作队伍警觉性:培养安全思维”
定于10月31日星期四上午11:30在华盛顿特区的HIMSS医疗网络安全论坛上举行。