Siber suçlara karşı savaş, tüm endüstrilerdeki kuruluşlar için önemli bir konu olmaya devam ediyor, ancak sağlık sektörüne yönelik tehdit muhtemelen en ciddi. Bir kuruluş için finansal kayıplar yıkıcı olabilir, ancak yaşam kaybı potansiyeli tehlikede olduğunda, tüm oyun değişir. Sağlık uzmanları siber güvenlik uzmanları olmak zorunda olmasa da, yaşadığımız zamanlar nedeniyle, hepimiz hem kişisel olarak hem de kuruluşlarımızı korumak için bu alanda biraz bilgi sahibi olmalıyız.
Siber suçlular her gün dünya çapında tahmini 6,4 milyar sahte e-posta gönderiyor ve en iyi e-posta filtreleri bile kuruluşunuzu hedefleyen kimlik avı e-postalarını özleyecek. Ne yazık ki, aynı kimlik avı e -postaları, siber suçluların kuruluşlara girmesinin en etkili yollarından bazıları.
Toplanan kişisel bilgilerin miktarı ve tedavilerin zamana duyarlı doğası nedeniyle, sağlık endüstrisi en çok hedeflenenlerden biridir. İşleri daha da kötüleştirmek için, yakın tarihli bir çalışma, simüle edilmiş kimlik avı mesajlarıyla etkileşime girdiğinde, sağlık endüstrisinin en yüksek ortalama başlangıç tıklama oranına sahip olduğunu gösterdi. 19 sektördeki kuruluşlara gönderilen 54,1 milyondan fazla simüle kimlik avı e -postasıyla ilgili faaliyeti gözden geçiren bu küresel çalışmada, sağlık sektöründeki eğitimsiz personelin gönderilen ilk simüle edilmiş kimlik avı mesajlarının% 45.4’ünü tıkladığı ortaya çıktı.
Bu ham sayılar tek başına korkutucu olsa da, fidye yazılımı saldırılarının çoğunluğunun bir kimlik avı e -postasıyla başladığını anlamak önemlidir. Teknik hack veya güvenlik açığı kullanımı genellikle yalnızca ilk ağ erişimi kimlik avı ile gerçekleştirildikten sonra gerçekleşir. Bu genellikle kötü niyetli ekler göndermeyi, insanları şifrelerinden vazgeçmeye kandırmayı veya bu saldırı vektörlerinin bir kombinasyonunu içerir. Hasar çalınan veriler veya şifreli dosyalar, düzenleyici para cezaları ve itibar hasarı ile durmaz, bir saldırıdan sonra da önemli endişelerdir.
Sağlık sektöründeki ilk tıklama oranı söz konusu olsa da, sağlık uzmanları genellikle hızlı ve önemli bir iş yükü altında çalıştıkları için şaşırtıcı değildir. İyi haber şu ki, tehdit hızlı ve çalışanların kısmı ve organizasyon için minimum miktarda çaba ile azaltılabilir. Aynı çalışma, sağlık sektöründeki çalışanları eğitmeye başladıktan sonraki 90 gün içinde, tıklama oranının zaten% 19’a düştüğünü ve bir yılın sonunda ortalama% 5,1’e düştüğünü göstermektedir. Tıklamalardaki bu% 88,8 azalma, çalışanların düzgün yapıldıklarında eğitime ne kadar iyi tepki verdiklerinin önemli bir gösterisidir.
Bu rakamlar, bu tür sonuçları görmek için önemlidir, eski birini yılda bir kez eğitme fikrini atmalıyız ve bir sonraki döngüye kadar etkili olmasını beklemeliyiz. Bunun yerine, kısa eğitim vermek, belki de ayda 5 dakika veya çeyrek başına 15 dakika, insanların bir durgunluğa düşmesini ve uyanık olmayı unutmasını engelleyebilir. Kısa eğitimler, özellikle eğlenceli ise ve eğitimin kişisel yaşamlarında kendileriyle nasıl alakalı olduğunu açıklarsa çok etkili olabilir. Dolandırıcıların evde ve ofiste peşinden gittiklerini hızlı bir şekilde hatırlatmak, en kısa eğitim oturumlarında bile dikkatlerini tutmaya ve içeriğin elde tutulmasına yardımcı olabilir.
Eğitimin çok önemli ancak çoğu zaman unutulan bir başka kısmı da simüle edilmiş kimlik avı e -postalarının kullanılmasıdır. Bu simüle edilmiş kimlik avı e-postaları, kullanıcıları kandırmak için değil, eğitimde aldıkları eğitimi güçlendirmek ve uygulamalı bir uygulama sağlamak için tasarlanmalıdır. Beceriler sadece akademik olarak değil, aynı zamanda pratik egzersizler ve tekrarlama yoluyla da öğrenilmelidir. Eğitim gibi, bu simüle edilmiş kimlik avı e -postaları düzenli bir kadansta, tercihen en iyi sonuçlar için ayda en az bir kez gönderilmelidir. Başarısızlıklar meydana gelecek olsa da, insanlar gerçek veya simüle edilmiş kimlik avı saldırılarını tespit ettiklerinde ve rapor ettiklerinde olumlu pekiştirmeye odaklanarak bunlar özel olarak ele alınmalıdır.
Kimlik avı konusunda eğitim kritiktir, ancak diğer konular da eğitime dahil edilmelidir. Kimlik bilgisi hijyeni daha kritik becerilerden biridir, ancak çoğu zaman insanlar tarafından en çok gözden kaçan. Güçlü ve en önemlisi benzersiz şifrelerin önemi ve şifre tonozları gibi araçlar, güvenli ve benzersiz şifrelerin oluşturulmasına yardımcı olacak harika bir araç dikkate alınmalıdır. Ne yazık ki, şifrelerin yeniden kullanılması, kötü aktörlerin sömürmesi için çok etkili bir güvenlik açığıdır ve yıllar boyunca sayısız veri ihlali ve ağ müdahalesine neden olmuştur. Parolaları yeniden kullanmak için bir düzeltme olmasa da, yine de benzersiz olmalı, çok faktörlü kimlik doğrulama (MFA) dağıtımının da onu destekleyen bir hesap olarak kabul edilmesi gerekir.
Sağlık sektöründeki kimlik avı e -postalarındaki yüksek ilk tıklama oranlarını düşündüğümüz için, fidye yazılımı ve finansal kayıplar tehdidi ile birleştiğinde, e -posta kimlik avı ve genel insan risk faktörünün göz ardı edilemeyeceği çok açık olmalıdır. Modern güvenlik farkındalığı eğitimi, düşük finansal yatırım ve eğitim ve simüle edilmiş kimlik avı kampanyalarının yönetimini çok kolay hale getiren birçok otomatik görevle, insan davranışını olumlu bir şekilde değiştirmede etkili, eğlenceli ve çok etkilidir.
Kuruluşunuzdaki insan risk faktörünü zaten ele almıyorsanız, artık görmezden gelemeyeceğiniz bir şeydir.
Yazar hakkında
Erich Kron, Knowbe4’te bir güvenlik farkındalığı savunucusudur. Tıbbi, havacılık üretim ve savunma alanlarında 25 yılı aşkın deneyime sahip deneyimli bir bilgi güvenliği uzmanıdır, yazar ve siber güvenlik endüstrisi yayınlarına düzenli katkıda bulunur. ABD Ordusu’nun 2. Bölgesel Siber Merkez Batı Yarımküre’nin eski güvenlik müdürüdür ve CISSP, CISSP-ISSAP, SACP ve diğer birçok sertifikaya sahiptir.
Erich’e ulaşılabilir [email protected] ve www.knowbe4.com adresinde.