Les gens sont la ligne de front et le point d'échec le plus courant
Les petits hôpitaux et les systèmes de santé sont souvent ciblés par des cybercriminels car ils sont vulnérables, ont des informations précieuses en jeu et sont invoquées pour les soins intensifs. Il n'est pas inhabituel pour une personne ou un petit nombre de personnes dans le bureau des finances pour gérer la facturation. Si cette personne est ciblée avec une fausse facture convaincante ou un e-mail usurpé d'un «fournisseur», les chances d'une erreur sont élevées, surtout s'il n'y a pas de politique nécessitant une deuxième étape de vérification.
C'est pourquoi la formation à la sensibilisation est si critique. Il apprend aux gens à ralentir, à poser des questions et à vérifier. Les programmes de formation les plus efficaces sont légers, récurrents et adaptés au personnel. Plutôt que de nécessiter une longue session d'information une fois par an, il peut fournir des modules de 10 minutes par mois ou trimestre.
Les simulations de cyberthètes peuvent également ajouter de la valeur. Par exemple, les outils de Trend Micro et Proof Point offrent des campagnes de simulation de phishing où les organisations de soins de santé peuvent tester leur personnel avec des scénarios du monde réel, tels que le phishing, et ajuster en fonction des résultats. Avec des exemples et des plateformes générés par l'IA qui soutiennent la personnalisation, ces opportunités de formation deviennent plus pertinentes et donc plus efficaces.
La politique et les processus comptent autant que la formation
La formation à la sensibilisation à la cybersécurité n'existe pas dans le vide. Il ne fonctionne que lorsqu'il est associé à des politiques claires et appliquées. À bien des égards, les politiques sont la réponse à la question: «Que les formons-nous à faire?»
Un excellent exemple de politique au travail serait de traiter les processus basés sur le courrier électronique comme nous traitons les connexions du compte: avec vérification à deux facteurs. De la même manière que l'authentification multifactrice protège votre connexion, votre flux de travail doit avoir une deuxième couche de vérification. Par exemple, les factures sur un certain montant devraient déclencher un appel téléphonique jugé ou une confirmation en personne.
Trop souvent, les petites organisations de soins de santé ne documentent pas du tout les flux de travail, et encore moins mettre en œuvre des contrôles qui les gouvernent conformément à une politique claire. Lorsqu'une demande semble suffisamment plausible, le personnel peut faire défaut à la confiance plutôt qu'en protocole, et c'est à ce moment que les choses peuvent mal tourner.
Tout le monde, du bureau des finances aux cliniciens, devrait connaître les drapeaux rouges à surveiller et quelles étapes à prendre si quelque chose se sent. Combinez cela avec une formation régulière et vous créez non seulement la sensibilisation à la cybersécurité, mais la vraie cyber-résilience.
Autres outils qui font la différence sans se ruiner
Au-delà de la sensibilisation et des politiques, les hôpitaux ruraux, indépendants et communautaires doivent savoir qu'il existe des outils abordables pour soutenir et appliquer des comportements d'utilisateurs plus sûrs, notamment:
- Gestion de l'accès privilégié. Lorsque les attaquants entrent, les dégâts dépend des comptes auxquels ils peuvent accéder. Les connexions administratrices partagées et les mots de passe réutilisés sont courants dans les petites équipes, ce qui facilite le mouvement latéral pour les attaquants. Des outils tels que Fortinet offrent des options PAM à faible coût pour aider à prévenir cela.
- Outils antiphishing. Les passerelles par courrier électronique telles que le point de contrôle, la sécurité anormale, la tendance micro et le mimecast offrent une bien meilleure protection que les défenses du système d'exploitation natives. Bloquer des e-mails malveillants avant même de frapper la boîte de réception est le meilleur cas de cas.
Il convient également de noter que de nombreuses polices de cyber-assurance obligent les organisations de santé à mettre en œuvre des contrôles de sécurité tels que PAM et MFA. Rendre ces normes peut parfois réduire les primes et, plus important encore, empêcher une situation où une réclamation est refusée car une exigence n'a pas été remplie.
La cybersécurité ne doit pas nécessairement être coûteuse pour être efficace, mais elle doit être intentionnelle. La formation des gens, la création de bonnes politiques et l'investissement dans quelques garanties critiques peuvent grandement contribuer à protéger même la plus petite organisation des cyber-starts de plus en plus sophistiqués d'aujourd'hui.
