Trotz der besten Pläne, jede Organisation ist anfällig für social engineering

Zwar gibt es keinen Mangel an technischen Ansätze für Hackern auf Organisationen im Gesundheitswesen, die Tatsache der Angelegenheit ist, dass viele Angriffe beginnen mit ärzte -, Verwaltungs-Mitarbeiter und anderer Mitarbeiter, die möglicherweise nicht über cybersecurity auf den Geist.

Dieser Ansatz, die oft unter dem Begriff des „social engineering,“ ist der Kern des phishing, pretexting, Hetze und einige andere Angriffsmuster entwickelt, sich zu engagieren und zu manipulieren, eine Person für die Angreifer gewinnen. Und während es gibt sicherlich Maßnahmen, die eine Organisation, die in Platz gesetzt, um zu verhindern, dass diese Vorfälle, Kathleen Mullin, chief information security officer bei der Healthmap-Lösungen, warnt, dass es nur eine Frage der Zeit, bis einer dieser versuche werden gegen die Verteidigung.

“Social engineers gegeben haben, für eine sehr lange Zeit und dies ist Ihre full-time-job. Teil ist es, Steuerungen im Platz, aber wenn die Dinge schief gehen, die Sie brauchen, um es zu beheben“, sagte Sie. “Es spielt keine Rolle, wie viel präventive Medizin, die Sie tun, die Menschen immer noch krank. Dies ist die gleiche Sache — es spielt keine Rolle, wie viele vorbeugende Kontrollen, wie viel training Sie geschaffen. Die Dinge schief gehen, und [Sie müssen], es anzusprechen, wenn es funktioniert.“

Das Gesundheitswesen ist besonders anfällig für diese Art von Angriffen für eine Reihe von Gründen, Mullin erklärt. Für den Anfang ist es Organisationen, die bereits Opfer eines Angriffs werden langsam wieder auf Ihre Füße wegen der Komplexität des Ersetzens der Krankenhaus-IT-Systemen, vor allem, wenn Sie kurz besetzt und müssen weiterhin die Bereitstellung von Leistungen für kranke Patienten.

Weiter -, sozial-Ingenieure in der Lage sind-exploit-healthcare-Mitarbeiter, die haben unterschiedliche Ebenen der tech-Alphabetisierung und sind unwahrscheinlich zu sein, und dachte intensiv über Ihre einmal jährliche E-Mail-Sicherheits-training bei gleichzeitiger Konzentration auf Ihre Patienten.

„Wir sind Erwachsene Lernende-und wir sind Mehrgenerationenhaus, so wie eine person lernt, sich gegenüber einer anderen person völlig anders ist,“ Mullin sagte. “Wenn Sie nur sagen, jemand einmal etwas, dass Sie nicht wirklich verstehen, weil, ratet mal, was eine Krankenschwester job oder einer ärztlichen Beruf nicht zu lernen, über Sicherheitskontrollen. Es ist wirklich nicht.“

Abgesehen von häufigen (und ansprechender) security Ausbildung, Mullin, sagte, dass der Schlüssel für Organisationen im Gesundheitswesen, ist einen plan zu haben im Platz. Auf der präventiven Seite, ermutigen Sie die Mitarbeiter, nicht zur Verwendung von enterprise-Geräte zu überprüfen, persönliche E-Mail oder social media, und, wenn möglich erlassen einfache Steuerung wie Anlage-screening oder die verspätete Zustellung von Nachrichten.

Aber wenn ein social-engineering-Angriff gelingt, vorbereitet zu erlassen, die eine „isolieren und zu amputieren“ – Strategie, um den Schaden zu begrenzen, um die übergeordneten Systeme, sagte Sie. Haben Gespräche schon im Vorfeld über Themen wie, ob oder nicht Ihre Organisation bereit ist zu zahlen aus dem Lösegeld, wenn Sie zu erreichen, um die Strafverfolgung und die beste Vorgehensweise für die eventuelle Aufmerksamkeit der Medien, die kommt mit einem ransomware-Angriff.

Für all diese Pläne zu arbeiten, aber Sie sagte, es ist wichtig für diejenigen, die in charge, um zu verstehen, Ihre Angreifer‘ Taktik, Motivation und die wahrscheinlichsten Ziele.

„Wenn Sie wissen, warum Menschen sind, Dinge zu tun, dann wissen Sie, was zu schützen,“ Mullin sagte. „Und eines der wichtigsten Dinge ist, die Sie nicht schützen können es alle, also herauszufinden, was wir schützen-wie wir schützen es, wie wir die Ausbildung unserer Mitarbeiter — im Grunde genommen die Entscheidungen sollten wir machen im Voraus und die Ausbildung, die wir tun sollten, im Voraus.“

Mullin bietet Reale Beispiele für diese social-engineering-Strategien und wie man Sie vorbereiten, in einer HIMSS20 session mit dem Titel „Social Engineering im Gesundheitswesen.“ Es ist geplant für Dienstag, 10. März, 4:15-5:15p.m. im Zimmer W311E.

Mehr regionale news

Foto-credit: Sampsa Vanhatalo

Akademische Institutionen entwickeln, baby, Bewegung, Anzug, smart Windel

Digitale diabetes-Präventions-Programm verwenden, gebunden Gewichtsreduktion bei niedrigem Einkommen Patienten mit Prädiabetes

HealthMap-tracking-tool.

Roundup: Tech's Rolle in der Verfolgung, Prüfung, Behandlung von COVID-19