Борьба с фишингом: как системы здравоохранения могут пересмотреть обучение сотрудников безопасности

Заполните форму ниже, чтобы перейти к эксклюзивному исследовательскому отчёту CDW по кибербезопасности. После отправки формы вы будете подписаны на нашу рассылку по вопросам безопасности.

По словам аналитика Enterprise Strategy Group Джона Грейди, злоумышленники знают, что сотрудники — это их самая легкая точка входа.

«Сотрудники — безусловно, самое слабое звено, и не по своей вине. У них есть другие приоритеты, особенно в здравоохранении», — говорит Грейди. «Что касается программ-вымогателей, достаточно, чтобы пользователь случайно нажал на что-то. Необходим фундаментальный сдвиг в сознании, и единственный способ добиться этого — обучение пользователей».

Следует признать, что организации из разных отраслей отмечают, что плохое обучение пользователей может повлиять на кибербезопасность: согласно отчету CDW по исследованию кибербезопасности за 2024 год , 31% лиц, принимающих решения в сфере ИТ, назвали недостаточное или неэффективное обучение сотрудников основной проблемой для своей стратегии.

Как и все кампусы Калифорнийского университета, UC San Diego Health требует ежегодного обучения по кибербезопасности, которое проводится с помощью системы управления обучением. Организация дополняет его ежемесячными имитациями фишинговых атак, например, отправкой поддельных фишинговых писем в качестве теста.

Совсем недавно Керри развил третий вид обучения: очные сессии , адаптированные для конкретных отделов .

Это связано с недавним исследованием, проведённым среди сотрудников медицинского центра Калифорнийского университета в Сан-Диего, которое показало, что две распространённые формы обучения — ежегодный тренинг по безопасности и имитация фишинговых атак — неэффективны. Фактически, в ходе этих учений по имитации фишинговых атак у обученных пользователей в среднем наблюдалось всего на 1,7% меньше отказов, чем у неподготовленных.

Карри участвовал в исследовании, потому что хотел понять, как лучше всего обучать сотрудников. Сейчас он увеличивает количество личных занятий для повышения качества обучения. Он проводит эти тренинги для каждого отдела лично или по видеосвязи, адаптируя их к конкретным должностным рискам.

Например, скомпрометированный деловой партнёр может отправить электронное письмо с просьбой предоставить банковскую информацию, связанную с оплатой счёта. «Мы стараемся проводить больше таких личных встреч. Я думаю, это, безусловно, самый эффективный способ донести до людей риски», — говорит он.

ЧИТАТЬ ДАЛЕЕ: Узнайте больше о персонализированном фишинге в эпоху генеративного искусственного интеллекта.

Карри по-прежнему видит пользу в имитационных учениях по фишингу, поэтому он продолжает их проводить. «Даже если это незначительно или незначительно, определённая ценность в обучении всё равно есть, потому что, как минимум, оно позволяет нам продолжать общаться и повышать осведомлённость сотрудников и преподавателей в течение всего года», — говорит он.

Медицинский центр Калифорнийского университета в Сан-Диего развернул защищенный почтовый шлюз Proofpoint , который проверяет электронную почту и блокирует спам и вредоносные письма. Proofpoint также позволяет Карри и его команде ежемесячно проводить имитационные тесты на фишинг.

«Тем, кто нажимает на ссылку, объясняют, что должно было навести их на мысль о том, что это была фейковая попытка фишинга», — говорит он.

Карри добавляет, что более широкое освещение в СМИ случаев взлома и личный опыт сотрудников, столкнувшихся с попытками социальной инженерии, способствуют повышению эффективности формального обучения. В результате теперь больше сотрудников пересылают подозрительные электронные письма в службу ИТ-безопасности, что было рекомендовано в ходе обучения.

«Мы рассмотрим это и вынесем вердикт», — говорит он. «Мы не собираемся вас бить по рукам. Мы хотим поздравить вас с вашей осторожностью».

В Strive Health , компании, специализирующейся на лечении заболеваний почек, штат которой вырос со 100 сотрудников в 2020 году до 650 на сегодняшний день, ИТ-руководители с самого начала работы компании внедрили обучение по кибербезопасности . В рамках процесса адаптации новые сотрудники должны пройти 20-минутный обучающий модуль по фишингу, прежде чем им будет предоставлен доступ к компьютеру.

«Мы проводили обучение с самого начала, поэтому нам удалось сформировать штат сотрудников, осознающих важность вопросов безопасности», — говорит Гейб Стэплтон, руководитель службы информационной безопасности Strive Health.

Врачи и медсестры компании, расположенной в Денвере, работают удалённо, в основном предоставляя телемедицинские консультации пациентам. Обучение безопасности в Strive Health включает обязательный ежегодный видеокурс для каждого сотрудника и регулярные проверки на фишинг, которые Стэплтон и его команда проводят с помощью программного обеспечения для защиты электронной почты.

Каждый месяц ИТ-отдел проверяет различные подразделения компании, чтобы закрепить навыки безопасности . Чтобы опередить злоумышленников, они также проверяют сотрудников с помощью фишинга, при котором атака носит более персонализированный характер.

«Ежегодное обучение не всегда эффективно. Люди забывают об этом через несколько недель. Мы не можем ожидать, что врач запомнит 20-минутное обучение, которое проводится ежегодно», — говорит он.

Когда сотрудники проваливают эти тесты, они получают обратную связь от ИТ-отдела с коротким корректирующим курсом. «Мы отправляем им сообщение и говорим, чтобы они были начеку. Вот как можно было понять, что это тест», — говорит Стэплтон.

Компания дополняет обучение инструментами безопасности. Компания использует многофакторную аутентификацию и инструмент управления безопасностью данных, который классифицирует данные поставщика, чтобы к ним можно было применять соответствующие политики безопасности, говорит он.

Нажмите на баннер ниже , чтобы подписаться на еженедельную рассылку HealthTech.

По словам Рона Нолте, ИТ-службы поддержки являются основными целями атак с использованием социальной инженерии, поэтому базирующаяся в Мэриленде компания Luminis Health проводит дополнительное обучение своих сотрудников служб поддержки.

По его словам, сотрудники службы поддержки, естественно, хотят помогать коллегам. Однако хакеры могут выдавать себя за хирургов и обращаться к ним с срочными просьбами, например, с просьбой сбросить пароль, поскольку в операционной находится пациент.

УЗНАЙТЕ: Как IAM решает проблемы все более сложных ИТ-сред?

Чтобы избежать обнаружения, хакеры, выдавая себя за врачей Luminis, могут отправлять электронные письма, совершать телефонные звонки или закрывать изображение во время видеоконференций. Чтобы предотвратить подобные ситуации, компания Nolte внедрила строгие протоколы проверки личности при сбросе паролей.

Luminis Health всё чаще сталкивается с атаками, совершаемыми через различные средства коммуникации, например, через текстовые сообщения. IT-отдел обучает сотрудников проверять любые подозрительные текстовые сообщения, используя известные способы связи. Если в текстовом сообщении утверждается, что это сообщение от коллеги с новым номером телефона, сотрудники должны позвонить на исходный номер получателя или подтвердить его по электронной почте или в Microsoft Teams , добавляет он.

В исследовании персонализированных фишинговых писем процент фишинговых писем, созданных с помощью искусственного интеллекта, по которым пользователи кликнули, по сравнению с 12% спам-писем из онлайн-базы данных.

Luminis Health использует безопасный шлюз электронной почты для блокировки вредоносных писем и многофакторную аутентификацию для защиты персональных данных. Организация также требует обучения по кибербезопасности для новых сотрудников и ежегодного обучения для всего персонала. ИТ-отдел также ежемесячно проводит имитационные тесты на фишинг.

Если сотрудники нажимают на них, они сразу же видят страницу с объяснением своей ошибки. «Мы твёрдо убеждены в необходимости своевременного обучения на основе микротранзакций», — говорит Нолте.

Если сотрудник трижды проваливает тест на фишинг, IT-отдел уведомляет об этом как самого сотрудника, так и его руководителя. После пяти неудач сотрудник должен пройти обязательный видеокурс с упражнениями.

Цель — научить персонал быть крайне скептичным. Хотя исследование Калифорнийского университета в Сан-Диего может указывать на неэффективность такого обучения, Нолте утверждает, что оно того стоит.

«Обучение абсолютно необходимо, — говорит он. — Речь идёт об управлении рисками. Речь не идёт об абсолютных истинах. Обучение пользователей — это ваша последняя линия обороны».