医疗行业是网络攻击的主要目标,其员工是第一道防线。一线工作人员点击或避免恶意电子邮件链接的决定可能意味着是否会发生勒索软件攻击。尽管医疗保健行业自认为其安全准备已经成熟,但仍然经常对安全风险准备不足,整个医疗保健行业的网络安全意识对于应对新兴威胁至关重要。与此同时,人工智能正在改变大小医疗系统的风险状况,新的攻击技术每天都在出现。
“试图理解接下来会发生什么总是比应对上一次战斗更难,”CyberSolutionsMD首席执行官Eric Liederman博士说。Liederman将在即将于10月31日至11月1日在华盛顿特区举行的HIMSS 2024医疗网络安全论坛上主持一个关于通过培养安全意识来增强劳动力的小组讨论。
“大多数组织面临的难题是如何从上到下实施这种安全意识,”Liederman说。虽然组织采用多种方法帮助培训员工识别威胁(如钓鱼邮件),“但这背后没有科学依据,”他说。“这不仅是教育的问题,也是帮助他们建立联系的问题,”ChristianaCare首席信息安全官Anahi Santiago表示,她将与Liederman和FBI的David Fine共同参与讨论。Santiago描述了网络安全培训的三个关键点:
- 了解你的受众。
- 学会如何吸引你的受众。
- 开放“报告,报告,报告”的渠道。
从安全角度来看,对临床医生相关的内容可能与财务人员相关的内容不同,她说。“这不仅仅是对待每个人相同并假设每个人都会以相同方式处理信息……而是要定制信息,使其与他们的工作相关。”在ChristianaCare,IT团队的沟通方式是有意接近员工的,Santiago说,IT的信息是“即使不是可报告的问题,也要报告。”虽然她的组织随时欢迎任何人报告任何安全问题,“我们还做了一件非常有帮助的事情,就是这个‘安全路演’的概念。”IT团队会与各部门会面,表达“我们不仅仅是那些处理你们认为很可怕的事情的网络安全专业人士,你们不知道我们在做什么。”
“我们都被称作‘不要点击那个链接的人’,很多人认为这就是他们唯一需要担心的事情,”她说。但医疗保健劳动力需要更加关注更多问题。“新兴威胁总是一个我们需要转变思维方式的领域,”她说。在不吓坏护理人员的情况下,网络安全专业人士必须想出新颖的方法来准备他们。深度伪造就是一个很好的例子。
“今年,商业电子邮件欺诈已经大大加速,”Liederman指出。虽然IT团队告诉员工不要点击邮件中的链接和“不要打开任何你没有预料到的附件”,但他表示,这些方法现在不一定奏效了。过去的做法是“如果你有任何怀疑,联系发件人。但现在,如果你这样做,你怎么知道你是在和真人说话?”Santiago同意,深度伪造中语音和视频的高度逼真大大增加了医疗保健机构面临的安全风险。
如今,犯罪分子甚至会使用他们的伪装来安排Teams通话,“他们在视频中看起来完全像你通常会在视频中见到的那个人,”她说。为了向ChristianaCare的董事会展示深度伪造的威胁程度,她要求团队制作了一段她谈论生成式人工智能新兴网络威胁的视频,成本约为0.09美元。播放了这段两分半钟的假视频后,“我说,‘我与这段视频没有任何关系,’董事会成员们显得困惑不已。”
(全文结束)
