专业咨询
致力推进中国医疗卫生信息化

读者来稿 | 和睦家医疗是如何开展钓鱼邮件测试演练的?

来源:HIT专家网 作者:楚春鹏

钓鱼邮件攻击是一种社会工程学手段,攻击者通过伪装成可信实体(如医疗机构的员工、患者或合作伙伴),诱骗受害者点击恶意链接、提供个人信息或下载恶意附件。常见的网络钓鱼攻击基本为无差别攻击,攻击者通常不会考虑企业所属行业、企业规模或企业地域等条件,当然也有极个别定向网络钓鱼攻击事件的发生。

目前网络钓鱼攻击已经演化成一种黑色产业链服务。在过去几年中,攻击者一直不断研究新型网络钓鱼攻击手段。攻击者常常利用人性的弱点,制造吸引人的假象,通过更有效、更逼真的方式来不断获取有价值的数据。

在医疗机构,保护患者敏感信息和维护医疗数据安全至关重要。在医疗信息化不断完善和提高的背景下,开展钓鱼邮件测试已经成为医疗机构的一项必要的安全措施,通过模拟钓鱼邮件攻击的方式,以识别容易受到此类攻击的员工,并提供培训和意识教育,提高员工对钓鱼攻击的识别和防范能力。

钓鱼邮件攻击的危害

对于医疗机构来说,钓鱼邮件攻击产生的危害包括:

1.数据泄露和隐私侵犯。通过钓鱼邮件攻击,攻击者可能获取医疗机构的患者数据、医生信息等敏感数据,导致数据泄露和隐私侵犯。

2.身份伪装和欺诈。攻击者伪装成医疗机构的员工或合作伙伴,向其他员工、患者或供应商发送虚假信息,导致欺诈行为。

3.网络入侵和恶意软件传播。钓鱼邮件中可能包含恶意链接或附件,一旦用户点击或下载,可能导致恶意软件的传播,从而对医疗机构的整体网络安全构成威胁。

4.服务中断。如果医疗机构的员工受到钓鱼邮件攻击,并泄露了登录凭证,攻击者可能利用这些凭证登录系统,导致重要业务系统和服务中断或系统被篡改。

5.声誉受损。若医疗机构频繁发生数据泄露或欺诈事件,其声誉将受到严重损害,甚至导致患者和合作伙伴的信任流失。

6.合规问题。医疗机构需要遵守相关法规和标准,保护患者数据的安全和隐私。如果发生数据泄露等安全事件,可能违反法律要求,带来合规性问题和罚款,发生严重安全事件时,相关责任人将面临行政处罚。

新风和睦家医疗的钓鱼邮件测试演练

作为新风医疗的一员,和睦家医疗在国内多地设有医院和诊所,为民众提供覆盖全生命周期的医疗服务,包括预防保健、诊断、治疗及康复。

目前,新风和睦家医疗内部使用统一的邮件系统,进行邮箱账号的管理。安全团队每月进行钓鱼邮件测试,测试范围覆盖所有具有邮箱的员工,且每次测试邮件为随时、随机发送至每一位员工,钓鱼测试邮件的内容基于企业内不同岗位、不同角色,贴合实时热点进行高度的定制化。钓鱼邮件测试的难度每季度不断提升,配合周期性防钓鱼安全意识培训工作循序渐进,通过培训+测试+行政管理等手段,提升员工安全意识,降低员工被“钓鱼”导致账号信息、系统信息、敏感信息等信息泄露风险。

新风和睦家医疗钓鱼邮件测试的执行部分由以下几个步骤组成:

1.制定测试计划安全团队制定详细的测试计划,确定测试的范围、目标和方法。

2.设计钓鱼邮件根据测试计划,安全团队设计钓鱼邮件。这些邮件通常冒充合法邮件,例如银行通知、社交媒体通知、系统升级、账号到期等主题,以吸引员工点击链接或执行某些操作。

3.发送钓鱼邮件安全团队将设计好的钓鱼邮件发送给组织内的员工,发送测试邮件时,设置好邮件发送频率,一是避免对邮件系统造成过大压力,二是确保每一位员工收到测试邮件的时间不尽相同,员工并不知道邮件是钓鱼测试,因此其反应是真实的。

4.监测和评估钓鱼测试邮件完成发送后,安全团队将通过钓鱼邮件测试平台来监测员工行为,例如邮件打开率、测试链接点击率、是否下载附件、是否启用附件中的宏、是否输入了账号密码信息等。这些数据将有助于评估医疗机构员工对钓鱼邮件的识别能力和安全意识。

5.分析和报告测试完成后,安全团队将分析测试数据并生成报告。报告可以按照科室、部门或院区等维度来统计每一个检测项的具体数据,并说明测试中的表现、弱点、建议或其他改进措施。最终报告将被提交给管理层,用于决定针对网络安全防御的培训和策略以及与行政管理手段进行挂钩,目的是降低医疗机构面对真实网络钓鱼时的员工层面风险。

钓鱼邮件测试效果

信息安全工作离不开管理层的领导与支持,新风和睦家医疗的管理层对信息安全问题非常重视,从2021年7月开始,对集团范围内所有医疗机构开展钓鱼邮件测试工作,首次测试的整体失败率为11.4%。

在对首次钓鱼邮件测试报告进行深入分析后,安全团队整理了一套行之有效的防钓鱼安全意识培训内容,通过线上和线下方式对全员开展防钓鱼安全意识培训。随着培训范围的不断扩大、参与培训人数的不断增加,钓鱼邮件测试任务的整体失败率呈下降趋势(如图1所示),失败率最低时为0。

根据Knowbe4(全球安全意识培训与模拟网络钓鱼平台提供商)发布的全球钓鱼数据统计来看,医疗及大健康行业近一年的钓鱼邮件中招率平均值为5.4%,而本机构的钓鱼测试失败率平均维持在1.9%左右。

图1

在当今数字化的医疗环境中,医疗机构应认识到钓鱼邮件测试的必要性和价值。通过评估员工的网络安全意识和组织的安全防护措施,医院能够预防数据泄露和网络攻击,保护患者隐私,并确保医疗服务的连续性。此外,钓鱼邮件测试还能帮助医院构建一个注重网络安全的文化,为全员参与的安全管理奠定基础。因此,医疗机构应该积极采取行动,将钓鱼邮件测试纳入其网络安全策略中,以确保信息安全的持续性和整体安全防护的强化。(本文作者为新风和睦家医疗信息安全经理)

此图片的alt属性为空;文件名为HIT%E4%B8%93%E5%AE%B6%E7%BD%91%E8%AE%A2%E9%98%85%E5%8F%B7.png
关注HIT专家网微信订阅号
精彩不容错过!
寻求“商务合作”请扫码填写需求
我们将尽快与您联系!

【责任编辑:晓青】

赞(32)

评论 抢沙发

评论前必须登录!

 


未经允许不得转载:HIT专家网 » 读者来稿 | 和睦家医疗是如何开展钓鱼邮件测试演练的?
分享到: 更多 (0)