Verbetering van cybersecuritytraining voor zorgpersoneel
Werknemers in allerlei sectoren zijn bekend met een vorm van jaarlijkse cybersecurity-training binnen hun organisaties, variërend van het bekijken van informatieve video's tot het deelnemen aan gesimuleerde phishingpogingen .
Voor zwaar gereguleerde sectoren zoals de financiële wereld of de gezondheidszorg kunnen deze trainingen een goede aanvulling zijn op de regelgeving. De organisatie daadwerkelijk veiliger maken is echter een heel ander verhaal.
"Nu beseffen we dat beveiliging en compliance op gebruikersniveau niet hetzelfde zijn", zegt Ryan Witt, vice president of industry solutions bij Proofpoint . "Bij de daadwerkelijke beveiliging van data en van een instelling zijn beveiliging en compliance twee afzonderlijke disciplines."
Nu kwaadwillenden zorginstellingen blijven aanvallen, wordt rolgebaseerde cybersecuritytraining essentieel voor medewerkers, of ze nu contact hebben met patiënten of op de backoffice werken. Training die relevant is voor een specifieke rol kan teamleden helpen een beter gevoel van waakzaamheid en toezicht te ontwikkelen, wat de beveiligingspositie van een organisatie alleen maar zal verbeteren.
Klik op de onderstaande banner om het recente CDW Cybersecurity Research Report te lezen.
Volgens een rapport van Proofpoint uit 2024 gaf 71% van de werknemers toe zich op een manier te hebben gedragen die de veiligheid in gevaar bracht , zoals het klikken op links van onbekende afzenders of het delen van inloggegevens met een onbevestigde bron.
Dus waarom zouden we werknemers niet gewoon vertellen dat ze risicovolle acties moeten beperken? Het is waarschijnlijk dat ze dergelijke risico's moeten nemen als onderdeel van hun werk, zoals het downloaden van cv's voor HR, het verifiëren van referenties bij de IT-helpdesk of het raadplegen van medische gegevens als onderzoeker.
"Ze doen niets verkeerd", legt Witt uit. "Maar deze trainingen moeten hen ondersteunen, zodat ze hun rol kunnen vervullen en toch de nodige waarborgen hebben. Zij zijn immers degenen die het leeuwendeel van de aanvallen te verduren krijgen."
Hun rol is buiten de organisatie misschien niet zo bekend, maar ze kunnen kwetsbaar zijn of toegang hebben tot verkoopbare gegevens waardoor ze gewild zijn als doelwit.
"Als je een zorginstelling bent en je organisatie een onderzoekscomponent heeft, word je exponentieel meer aangevallen", zegt Witt. "We hebben sterke voorbeelden gezien van met name nationale actoren die proberen toegang te krijgen tot waardevolle data die ze kunnen verzilveren."
Organisaties zouden met name een training op maat moeten aanbieden voor de helpdesk, waar kwaadwillenden zich vaker op richten, voegt Witt toe. Het komt vaak voor dat de helpdesk verzoeken ontvangt om authenticatiemethoden te resetten, bijvoorbeeld omdat iemand een nieuwe telefoon koopt. Hoe kan die helpdeskmedewerker verifiëren dat dit een legitiem verzoek is dat van binnen de organisatie komt?
"Ze willen graag helpen en dat is een eigenschap die je graag in je team terugziet. Maar een bedreigende actor kan daar misbruik van maken", zegt Witt.
Denk bijvoorbeeld aan een helpdeskmedewerker die een verzoek krijgt om het wachtwoord te wijzigen van iemand die zich voordoet als oncoloog op de spoedeisende hulp van een ziekenhuis. Die helpdeskmedewerker moet op zijn hoede zijn, want oncologen zijn doorgaans niet op de SEH aanwezig.
"Dat is het opleidingsniveau, op sectorniveau en op functieniveau, dat we nu proberen in te bouwen in ons eigen curriculum", zegt Witt. "Iemand die al lange tijd bij een zorginstelling werkt, kan die connectie misschien wel maken, maar hoe zit het met iemand die nieuw is bij de helpdesk en in het ziekenhuis? Dat moet dus onderdeel zijn van de training ."
Rolgebaseerde beveiligingstrainingen zouden ook personen met een publieke persoonlijkheid of een zichtbaar profiel moeten omvatten, zoals een bekende orthopedisch chirurg of een arts die vaak in de media verschijnt.
"De kwaadwillenden hebben ontdekt dat niet elk e-mailadres of elke persoon binnen een organisatie gelijk behandeld wordt of even kwetsbaar is", voegt Witt toe. "Er zijn bepaalde mensen binnen die organisaties en bepaalde afdelingen die exponentieel kwetsbaarder zijn."
Ryan Witt Vice President van Industry Solutions, Proofpoint
In plaats van een enorme jaarlijkse trainingsmodule te creëren die werknemers vaak tot het laatste moment uitstellen, stelt Witt voor om vaker kortere trainingen te plannen.
"We hebben een sterke verschuiving gezien naar deze korte trainingen", zegt hij. "Soms vinden ze zelfs in realtime plaats, gerelateerd aan een recente cyberaanval. Ze zijn een snelle opfrisser, waardoor de lessen veel relevanter en gemakkelijker te implementeren zijn."
Naarmate generatieve kunstmatige intelligentie en andere door AI ondersteunde strategieën steeds gebruikelijker worden, zal ook de rolgebaseerde beveiligingstraining verder moeten evolueren, zodat werknemers betere voorzorgsmaatregelen kunnen nemen.
Deepfake-video's zijn een tactiek die oplichters de laatste tijd vaker gebruiken in hun phishingpogingen. Witt zegt echter dat hij meer geïnteresseerd is in 'shallowfakes', oftewel content die op kleine schaal is aangepast, zodat de gebruiker denkt dat wat er wordt gezegd niet helemaal misplaatst of vreemd is.
GERELATEERD: Op maat gemaakte SOC-training verbetert cybervaardigheden en maakt groei mogelijk.
"Er moet misschien dieper over nagedacht en geanalyseerd worden. Misschien moet er sandboxtechnologie worden ingezet om iedereen even te laten nadenken en te zeggen: 'Laten we dit eens nader bekijken'", zegt hij.
Zelfs te midden van alle snelle technologische veranderingen blijven mensen een cruciaal onderdeel van cybersecurity. Het uitbuiten van zero-day-kwetsbaarheden vereist een bepaald niveau van technische vaardigheid, waardoor het voor een cybercriminele organisatie veel gemakkelijker is om een van haar aanvallers te wapenen om met minimale inspanning een phishingpoging te starten op een nietsvermoedende medewerker.
"Mensen zijn het doelwit, dus de sector erkent dat de training moet worden aangepast om die risico's te beperken", aldus Witt.
Voor zorginstellingen ondersteunt verbeterde cybersecuritytraining effectieve zorgverlening en voorkomt het schade aan patiënten. In het verleden was dat niet altijd de gedachte, en bestond de perceptie dat het leren van beveiligingstools en het geven van trainingen een negatieve invloed had op de workflow. Die scepsis bestaat misschien nog steeds, maar er is in ieder geval een groeiende cultuurverandering gaande.
"Ik heb een complete metamorfose gezien", zegt Witt. "Als je instelling niet over de juiste beveiligingsmaatregelen beschikt en je gedurende een bepaalde periode geen patiëntenzorg kunt bieden, voldoe je niet aan je missie."
healthtechmagazine
