Нижче наведено гостьову статтю автора Вільям Кренк, головний операційний директор Fortified Health Security
Щодня кіберзлочинці надсилають понад шість мільярдів фішингових електронних листів, і достатньо одного кліка, щоб покращити їхній день. Більше половини всіх випадків програм-вимагачів починаються з, здавалося б, нешкідливого фішингового листа.
Важливо пам’ятати, що люди все ще становлять найбільший ризик для безпеки будь-якої організації. Співробітників не можна виправити чи переналаштувати, можна лише навчити.
У недавньому дослідженні охорона здоров’я мала найвищий показник кліків у відповідь на імітовані фішингові листи. Порівняно з іншими галузями, такими як фінанси та виробництво, працівники охорони здоров’я ловили наживку у вражаючих 45% випадків. Це тому, що вони працюють у швидкоплинному середовищі з високим стресом, де турбота про пацієнтів є найважливішою, а не гігієна електронної пошти.
У цьому ж дослідженні були й деякі обнадійливі новини: кількість кліків у сфері охорони здоров’я впала лише до 5% після року внутрішніх навчальних програм. Але деякі антифішингові ініціативи працюють краще, ніж інші. Ось кілька рекомендацій:
Проводьте навчання щомісяця невеликими шматками
Тригодинна презентація співробітників раз на рік не призведе до значного зниження кількості кліків. Антифішингові навчання мають бути короткими, але регулярними. 7-10-хвилинного повторення один раз на місяць цілком достатньо.
Не обмежуйте навчання лише фішингом
Медичні працівники повинні бути проінструктовані про інші загрози, як-от смішинг і вішинг. У вашу систему можна проникнути не лише через електронну пошту, а й через текстові повідомлення та відеопосилання.
Використовуйте моркву, а не батог
Похвала за те, що ви уникаєте фішингових електронних листів, є набагато кращим мотиватором, ніж поплескування за клацання. Люди, які рятують життя, не хочуть, щоб їх лаяли за натискання фішингового листа.
Освіта має бути ініціативою «зверху донизу».
Деякі заходи проти фішингу виключають вище керівництво – і це велика помилка. Зловмисникам легше, ніж будь-коли, націлюватися на керівників китобійних експедицій, оскільки їх можна швидко ідентифікувати за допомогою таких популярних програм, як LinkedIn. Керівники не менш схильні клацати по електронному листу, ніж медсестри чи лікарі, тож їм також потрібна підготовка.
Поділіться своїми результатами з усією організацією
Якщо деякі відділи перевершують інші в уникненні фішингової наживки, добре поділитися цією інформацією з усіма підрозділами організації. Це сприяє здоровій міжвідомчій конкуренції за зниження кількості кліків. Одного разу я провів симуляцію фішингової атаки, де одне відділення лікарні було лідером із частотою кліків 30%. Менеджер відділу негайно зв’язався зі мною, щоб організувати в мерії, як знизити ставку. Він також сказав своїм співробітникам, «Я більше ніколи не хочу бути номером 1 у цьому списку».
Метою антифішингової освіти є не присоромити чи збентежити працівників. Це підкреслює важливість виконання простих кроків, щоб уникнути проникнення, яке може поставити організацію на коліна.
Ціль — нуль, а не 5%
Навіть коли освіта знижує кількість фішингових кліків з 45% до 5%, це ще не перемога. Кіберзлочинці надсилають майже 74 мільйони фішингових електронних листів в секунду. Достатньо лише одному медичному працівнику клацнути один раз, щоб поставити вашу організацію під серйозну небезпеку.
Більшість працівників лікарні не мають часу на 3-годинний семінар з безпеки під час фішингу. Але якщо ви обмежите тренування звичайними легкозасвоюваними шматочками, ви побачите, що кількість фішингових кліків різко впаде.
Про Вільяма Кренка
Вільям Кренк є головним операційним директором компанії Посилена безпека здоров'язі штаб-квартирою в Брентвуді, Теннессі.
Щодня отримуйте свіжі історії про охорону здоров’я та ІТ
Приєднуйтесь до тисяч ваших колег із охорони здоров’я та HealthIT, які підписалися на нашу щоденну розсилку.