Migliorare la formazione sulla sicurezza informatica per il personale sanitario
I dipendenti di molti settori hanno acquisito familiarità con una qualche forma di formazione annuale sulla sicurezza informatica nelle loro organizzazioni, dalla visione di video informativi alla partecipazione a tentativi di phishing simulati.
Per settori fortemente regolamentati come la finanza o la sanità, questi corsi di formazione possono essere un requisito essenziale ai fini della conformità. Tuttavia, rendere effettivamente l'organizzazione più sicura è un problema diverso.
"Ora ci si rende conto che, a livello utente, sicurezza e conformità non sono la stessa cosa", afferma Ryan Witt, vicepresidente delle soluzioni di settore di Proofpoint . "Nella tutela effettiva dei dati e di un'istituzione, sicurezza e conformità sono due discipline distinte".
Poiché gli autori di attacchi informatici continuano a colpire le organizzazioni sanitarie, la formazione sulla sicurezza informatica basata sui ruoli sta diventando essenziale per il personale, sia che lavori a contatto con i pazienti sia che lavori nel back office. Una formazione pertinente a un ruolo specifico può aiutare i membri del team a sviluppare un maggiore senso di vigilanza e controllo, che non farà altro che migliorare la sicurezza dell'organizzazione.
Secondo un rapporto Proofpoint del 2024, il 71% dei lavoratori ha ammesso di aver agito in modo da mettere a rischio la sicurezza , ad esempio cliccando su link provenienti da mittenti sconosciuti o condividendo le credenziali con una fonte non confermata.
Quindi, perché non dire semplicemente ai dipendenti di ridurre le azioni rischiose? È probabile che debbano assumersi tali rischi nell'ambito del loro lavoro, come scaricare curriculum per le risorse umane, confermare le credenziali all'help desk IT o accedere a dati medici come ricercatori.
"Non stanno facendo nulla di sbagliato", spiega Witt. "Ma questi corsi di formazione devono supportarli affinché possano svolgere i loro ruoli mantenendo le dovute misure di sicurezza. Dopotutto, sono loro a subire la maggior parte degli attacchi".
I loro ruoli potrebbero non essere molto noti al di fuori dell'organizzazione, ma potrebbero lavorare in modo vulnerabile o avere accesso a dati vendibili che li rendono ambiti come obiettivi.
"Se sei un istituto sanitario e hai una componente di ricerca al suo interno , sei esponenzialmente più attaccato", afferma Witt. "Abbiamo visto esempi concreti in cui attori di stati nazionali, in particolare, cercano di ottenere l'accesso a dati preziosi da monetizzare".
Le organizzazioni dovrebbero in particolare fornire una formazione personalizzata per l'help desk, che è più probabile che venga preso di mira dagli autori di attacchi, aggiunge Witt. È comune che l'help desk riceva richieste di reimpostazione dei metodi di autenticazione perché, ad esempio, qualcuno acquista un nuovo telefono. Come può il dipendente dell'help desk verificare che si tratti di una richiesta legittima proveniente dall'interno dell'organizzazione?
"Sono spinti a voler aiutare, ed è una caratteristica che vorresti davvero vedere come parte del tuo team, ma un aggressore può approfittarne", afferma Witt.
Ad esempio, si consideri un dipendente dell'help desk che riceve la richiesta di cambiare la password di un dipendente che afferma di essere un oncologo presente nel pronto soccorso di un ospedale. Quel dipendente dell'help desk dovrebbe essere cauto, perché gli oncologi di solito non sono presenti al pronto soccorso.
"Questo è il livello di formazione, a livello di settore e di ruolo, che stiamo cercando di integrare nel nostro curriculum", afferma Witt. "Chi lavora da molto tempo in un'organizzazione sanitaria potrebbe essere in grado di fare questo collegamento, ma che dire di chi è nuovo all'help desk e in ospedale? Quindi, questo deve essere parte integrante della formazione ".
La formazione sulla sicurezza basata sui ruoli dovrebbe includere anche coloro che hanno un ruolo pubblico o un profilo visibile, come un noto chirurgo ortopedico o un medico che fa frequenti apparizioni sui media.
"I malintenzionati hanno capito che non tutti gli indirizzi email o tutte le persone all'interno di un'organizzazione vengono trattati allo stesso modo o presentano lo stesso livello di vulnerabilità", aggiunge Witt. "Ci sono alcune persone all'interno di quelle organizzazioni e alcuni dipartimenti che presentano una vulnerabilità esponenzialmente più elevata".
Ryan Witt Vicepresidente delle soluzioni industriali, Proofpoint
Invece di creare un massiccio modulo di formazione annuale che i dipendenti probabilmente rimanderanno all'ultimo minuto, Witt suggerisce di programmare corsi di formazione più brevi e più frequenti.
"Abbiamo assistito a una forte tendenza verso questi corsi di formazione di piccole dimensioni", afferma. "A volte, si svolgono anche in tempo reale, in relazione a un recente evento informatico. Sono un rapido ripasso, rendendo le lezioni molto più pertinenti e facili da applicare".
Con la crescente diffusione dell'intelligenza artificiale generativa e di altre strategie assistite dall'intelligenza artificiale, anche la formazione sulla sicurezza basata sui ruoli dovrà evolversi, in modo che i dipendenti possano adottare precauzioni migliori.
I video deepfake sono una tattica che i truffatori hanno recentemente utilizzato nei loro tentativi di phishing, ma Witt afferma di essere più interessato ai "shallowfake", ovvero ai contenuti modificati in modo minuzioso in modo che l'utente possa pensare che ciò che viene detto non sia del tutto fuori luogo o fuori carattere.
"Potrebbero richiedere un'analisi e una riflessione più approfondite, e potrebbe essere necessario implementare una tecnologia sandbox per dare a tutti il tempo di fermarsi e dire: 'Esaminiamo la questione più a fondo'", afferma.
Nonostante i rapidi cambiamenti tecnologici, l'uomo rimane un elemento fondamentale della sicurezza informatica. Sfruttare le vulnerabilità zero-day richiede un certo livello di competenza tecnica, quindi è molto più facile per un'organizzazione criminale informatica armare uno dei suoi aggressori per lanciare un tentativo di phishing contro un dipendente ignaro con il minimo sforzo.
"Gli esseri umani sono i bersagli, quindi nel settore c'è la consapevolezza che la formazione deve cambiare per mitigare tali rischi", afferma Witt.
Per le organizzazioni sanitarie, una migliore formazione sulla sicurezza informatica supporta un'erogazione efficace delle cure e previene i danni ai pazienti. In passato, questa non era sempre la mentalità giusta, e si percepiva che l'apprendimento degli strumenti di sicurezza e la formazione avessero un impatto negativo sul flusso di lavoro. Questo scetticismo potrebbe ancora esistere, ma almeno si sta assistendo a un crescente cambiamento culturale.
"Ho assistito a una metamorfosi completa", afferma Witt. "Se la tua struttura non adotta le giuste misure di sicurezza e non sei in grado di fornire assistenza ai pazienti per un certo periodo di tempo, non stai portando avanti la tua missione".
healthtechmagazine
