Doskonalenie szkoleń z zakresu cyberbezpieczeństwa dla personelu medycznego
Pracownicy wielu branż zapoznali się z różnymi formami corocznych szkoleń z zakresu cyberbezpieczeństwa w swoich organizacjach, począwszy od oglądania filmów informacyjnych, aż po udział w symulowanych próbach phishingu .
W sektorach silnie regulowanych, takich jak finanse czy opieka zdrowotna, szkolenia te mogą spełniać wymogi zgodności. Jednak faktyczne zwiększenie bezpieczeństwa organizacji to zupełnie inna kwestia.
„Teraz zdajemy sobie sprawę, że na poziomie użytkownika bezpieczeństwo i zgodność to nie to samo” – mówi Ryan Witt, wiceprezes ds. rozwiązań branżowych w Proofpoint . „W rzeczywistym zabezpieczaniu danych i instytucji bezpieczeństwo i zgodność to dwie odrębne dziedziny”.
W miarę jak cyberprzestępcy wciąż atakują organizacje opieki zdrowotnej, szkolenia z zakresu cyberbezpieczeństwa oparte na rolach stają się niezbędne dla pracowników, niezależnie od tego, czy mają bezpośredni kontakt z pacjentami, czy pracują w zapleczu. Szkolenia adekwatne do konkretnej roli mogą pomóc członkom zespołu rozwinąć większą czujność i kontrolę, co z kolei przełoży się na poprawę bezpieczeństwa organizacji.
Według raportu Proofpoint z 2024 r. 71% pracowników przyznało się do działań narażających bezpieczeństwo , takich jak klikanie w linki pochodzące od nieznanych nadawców lub udostępnianie danych uwierzytelniających niepotwierdzonemu źródłu.
Dlaczego więc nie powiedzieć pracownikom, aby po prostu ograniczyli ryzykowne działania? Prawdopodobnie muszą podejmować takie ryzyko w ramach swojej pracy, na przykład pobierając CV dla działu HR, potwierdzając kwalifikacje w dziale pomocy technicznej IT lub uzyskując dostęp do danych medycznych jako badacz.
„Nie robią nic złego” – wyjaśnia Witt. „Ale te szkolenia muszą ich wspierać, aby mogli wypełniać swoje role i jednocześnie mieć zapewnione odpowiednie zabezpieczenia. W końcu to oni są głównymi ofiarami ataków”.
Ich obowiązki mogą nie być powszechnie znane poza organizacją, jednak mogą oni wykonywać swoją pracę w sposób narażony na ryzyko lub mieć dostęp do danych nadających się do sprzedaży, co czyni ich pożądanymi kandydatami.
„Jeśli jesteś instytucją opieki zdrowotnej i w ramach swojej organizacji prowadzisz jakiekolwiek badania , jesteś narażony na ataki wykładniczo częściej” – mówi Witt. „Widzieliśmy wyraźne przykłady, w których szczególnie podmioty zrzeszone w państwach narodowych próbują uzyskać dostęp do cennych danych, które mogłyby spieniężyć”.
Organizacje powinny w szczególności zapewnić spersonalizowane szkolenia dla działu pomocy technicznej, który jest bardziej podatny na ataki ze strony cyberprzestępców, dodaje Witt. Dział pomocy technicznej często otrzymuje prośby o zresetowanie metod uwierzytelniania, na przykład z powodu zakupu nowego telefonu. W jaki sposób pracownik działu pomocy technicznej może zweryfikować, czy jest to uzasadnione żądanie pochodzące z organizacji?
„Chcą pomagać i jest to cecha, którą naprawdę chcesz widzieć u swojego zespołu, ale osoba stwarzająca zagrożenie może to wykorzystać” – mówi Witt.
Na przykład, weźmy pod uwagę pracownika pomocy technicznej, który otrzymuje prośbę o zmianę hasła osoby podającej się za onkologa na oddziale ratunkowym szpitala. Pracownik pomocy technicznej powinien zachować ostrożność, ponieważ onkolodzy zazwyczaj nie przebywają na oddziale ratunkowym.
„Właśnie taki poziom edukacji, na poziomie branżowym i na poziomie stanowiska, staramy się teraz włączyć do naszego programu nauczania” – mówi Witt. „Ktoś, kto od dawna pracuje w placówce służby zdrowia, może być w stanie nawiązać takie połączenie, ale co z kimś, kto dopiero zaczyna pracę w dziale pomocy technicznej i szpitalu? To musi być częścią szkolenia ”.
Szkolenia z zakresu bezpieczeństwa oparte na roli powinny być również organizowane dla osób pełniących funkcje publiczne lub o widocznym profilu, np. znanych chirurgów ortopedów lub lekarzy często pojawiających się w mediach.
„Osoby naruszające prywatność zorientowały się, że nie każdy adres e-mail ani każda osoba w organizacji jest traktowana jednakowo lub ma taki sam poziom podatności” – dodaje Witt. „W tych organizacjach niektóre osoby i działy są narażone na ataki w sposób wykładniczy”.
Ryan Witt Wiceprezes ds. rozwiązań branżowych, Proofpoint
Zamiast tworzyć ogromny coroczny moduł szkoleniowy, który pracownicy najprawdopodobniej odłożą na ostatnią chwilę, Witt proponuje, aby częściej planować krótsze szkolenia.
„Zauważyliśmy silny zwrot w stronę tych krótkich szkoleń” – mówi. „Czasami odbywają się one nawet w czasie rzeczywistym, w kontekście niedawnego incydentu cybernetycznego. Pozwalają szybko odświeżyć wiedzę, dzięki czemu lekcje są o wiele bardziej trafne i łatwiejsze do przyswojenia”.
W miarę jak stosowanie sztucznej inteligencji generatywnej i innych strategii wspomaganych przez sztuczną inteligencję staje się coraz powszechniejsze, szkolenia z zakresu bezpieczeństwa oparte na rolach również będą musiały się rozwijać, aby pracownicy mogli podejmować lepsze środki ostrożności.
Filmy deepfake to taktyka ostatnio wykorzystywana przez oszustów w próbach phishingu, ale Witt twierdzi, że bardziej interesują go „płytkie fałszerstwa”, czyli treści zmienione minimalnie, tak aby użytkownik mógł pomyśleć, że to, co zostało powiedziane, nie jest całkowicie nie na miejscu lub nie pasuje do jego charakteru.
POWIĄZANE: Spersonalizowane szkolenia SOC podnoszą kompetencje cybernetyczne, umożliwiając rozwój.
„Mogą wymagać głębszego namysłu i analizy, a może pojawić się potrzeba wdrożenia technologii piaskownicy, aby dać wszystkim chwilę na zastanowienie się i powiedzenie: 'Przyjrzyjmy się temu bliżej'” – mówi.
Nawet w obliczu gwałtownych zmian technologicznych, ludzie nadal odgrywają kluczową rolę w cyberbezpieczeństwie. Wykorzystanie luk zero-day wymaga pewnego poziomu umiejętności technicznych, dlatego organizacja cyberprzestępcza może znacznie łatwiej uzbroić jednego ze swoich atakujących, aby przy minimalnym wysiłku mógł przeprowadzić atak phishingowy na niczego niepodejrzewającego pracownika.
„Celem są ludzie, dlatego w branży panuje świadomość, że szkolenia muszą zostać dostosowane w celu ograniczenia tych zagrożeń” – mówi Witt.
W organizacjach opieki zdrowotnej ulepszone szkolenia z zakresu cyberbezpieczeństwa wspierają efektywne świadczenie opieki i zapobiegają szkodom dla pacjentów. W przeszłości nie zawsze panowało takie nastawienie, a panowało przekonanie, że nauka narzędzi bezpieczeństwa i prowadzenie szkoleń negatywnie wpływa na przepływ pracy. Ten sceptycyzm może nadal istnieć, ale przynajmniej widać postępującą zmianę kulturową.
„Widziałem kompletną metamorfozę” – mówi Witt. „Jeśli w waszej placówce nie ma odpowiednich zabezpieczeń i przez jakiś czas nie jesteście w stanie zapewnić opieki pacjentom, nie wypełniacie swojej misji”.
healthtechmagazine
