Les responsables des soins aux personnes âgées doivent être conscients des vulnérabilités courantes
Outre le phishing et les informations d'identification volées ou compromises, d'autres causes notables de violations de données incluent une mauvaise configuration, la compromission de la messagerie professionnelle, les vulnérabilités Zero Day, les vulnérabilités connues non corrigées et les initiés malveillants. Et même si les initiés malveillants ne représentent qu’un faible pourcentage des vecteurs d’attaque (7 %, selon le rapport IBM), il s’agit de la forme d’attaque la plus coûteuse, avec un coût moyen de 4,99 millions de dollars.
Les organisations sont particulièrement vulnérables lorsqu'elles ne donnent pas la priorité à la formation du personnel, a déclaré Steven VanderVelde, directeur des partenariats pour les résidences pour personnes âgées chez ProviNET Solutions. Il a expliqué que de nombreuses organisations abandonnent tout simplement face aux initiatives d’ingénierie sociale basées sur l’intelligence artificielle. D’autres ont une absence de sensibilisation au phishing ou de signalement d’incidents dans leur organisation, ce qui ajoute à une culture de vulnérabilité.
« L'état d'esprit du type 'ça va arriver de toute façon' ou 'ce n'est pas de ma responsabilité' est quelque chose que nous voyons souvent », a-t-il déclaré.
Gleinig a ajouté que si le personnel n'est pas conscient des types de menaces auxquelles il est confronté, il sera alors difficile pour une organisation d'identifier ces menaces et de les atténuer.
Les e-mails de phishing générés par l’IA suppriment la barrière linguistique pour les acteurs malveillants et augmentent rapidement la vitesse à laquelle ils peuvent rédiger et envoyer des tentatives de phishing. Lorsqu'un employé clique sur le lien contenu dans l'un de ces e-mails, il peut être redirigé vers un site généré par l'IA qui semble professionnel et légitime. L’IA peut également être utilisée pour générer des deepfakes dans le cadre d’un exploit d’ingénierie sociale visant à inciter les gens à envoyer de l’argent ou à remettre des informations d’identification.
« La technologie de l'IA est si accessible qu'il n'est pas nécessaire d'être un génie de l'informatique pour utiliser les outils deepfake », explique VanderVelde. « C'est effrayant de penser à quel point c'est accessible. »
John DiMaggio, PDG de BlueOrange Compliance, une société qui fournit des services de piratage éthique, a expliqué que la plupart des attaques sont motivées par des raisons financières, tandis que d'autres visent à accéder à des informations sensibles. Pour ce faire, les mauvais acteurs demandent à un employé de leur donner leur mot de passe, devinent un mot de passe, trouvent un mot de passe sur le dark web ou profitent des paramètres de configuration du système. Les pirates savent également quelles vulnérabilités connues ne disposent pas encore de correctifs et comment tirer parti de ces points faibles.
Une fois dans le réseau d'une organisation de soins pour personnes âgées, ils peuvent obtenir un administrateur de domaine (un groupe de sécurité créé automatiquement dans Active Directory qui est comme la clé principale d'une maison) et parcourir le réseau pour obtenir des données précieuses ou installer un ransomware.
« Une statistique que j'ai rencontrée au cours de ma carrière est de 90 %, ce qui correspond au pourcentage de fois où des pirates informatiques obtiennent un administrateur de domaine », a déclaré DiMaggio. « C'est facile à faire, alors assurez-vous que vos défenses sont en place. »
« N'oubliez pas que cela représente également 90 % des personnes qui décident de faire un test d'intrusion », a ajouté Gleinig.
Comment mieux protéger les établissements de soins pour personnes âgées contre les cybermenaces
Une grande partie de la prévention des cybermenaces se résume à la création d'une culture de sécurité et à la mise en œuvre de bonnes pratiques, telles que ne pas utiliser de lecteurs partagés, ne pas envoyer d'informations importantes à un compte de messagerie personnel, ne pas partager les informations de connexion, utiliser votre propre appareil non sécurisé. politiques et politiques de mots de passe faibles. Gleinig a déclaré au public que les employés ne devraient pas utiliser les mêmes mots de passe au travail qu'à la maison.
Il a également mis en garde les professionnels de soins aux personnes âgées contre le fait de laisser des dossiers médicaux ou d'autres informations sensibles sur un écran d'ordinateur visible depuis une porte ou une fenêtre.
« Il y a des choses que nous voyons et acceptons dans une résidence pour personnes âgées et qui, si elles étaient observées dans un contexte de soins intensifs, entraîneraient des poursuites judiciaires », a déclaré Gleinig. « Nous devons avoir exactement la même mentalité que les organismes de soins actifs, car nous sommes tenus aux mêmes normes. Ce n’est pas parce que nous sommes dans une petite bulle communautaire qu’il n’y a personne qui ne devrait pas avoir accès à ces informations.
Les organisations doivent créer une culture dans laquelle n’importe qui peut signaler n’importe quoi. Gleinig a déclaré que plus tôt les gens signaleraient un e-mail suspect ou cliqueraient sur un lien suspect, mieux ce serait. Il a également souligné l’importance d’une formation continue sur la manière dont chaque rôle peut s’impliquer dans la cybersécurité. DiMaggio a ajouté qu'il devrait y avoir une formation spéciale pour l'équipe financière puisque son rôle est associé à l'argent et nécessite une formation spécialisée.