Phishing: como os sistemas de saúde podem reavaliar o treinamento de segurança dos funcionários
Em meio a uma enxurrada de e-mails de phishing, o CISO da UC San Diego Health, Scott Currie, sabe que ataques bem-sucedidos são inevitáveis, então ele se concentra em minimizar os riscos por meio de tecnologia e treinamento.
Com cerca de 23.000 funcionários, o sistema de saúde recebe cerca de 30 milhões de e-mails por mês, metade dos quais são bloqueados por um gateway de e-mail seguro. Mas mesmo com uma taxa de sucesso de 99,9%, cerca de 15.000 e-mails potencialmente maliciosos ainda podem passar despercebidos. Cabe aos funcionários reconhecer essas ameaças, e é aí que a educação do usuário se torna crucial .
“É um problema complexo e, francamente, não é algo solucionável”, diz Currie. “É realmente uma questão de minimizar os riscos por vários meios para reduzir a probabilidade de um incidente de segurança. Estamos lidando com as pessoas principalmente como o vetor de ataque.”
Os ataques de engenharia social contra organizações de saúde estão se tornando cada vez mais sofisticados e difíceis de detectar, pois os invasores usam inteligência artificial para fazê-los parecer mais realistas e legítimos, dizem os líderes de TI da área de saúde.
Embora e-mails de phishing continuem sendo a ameaça mais comum , ataques de engenharia social por meio de manipulação humana se expandiram para incluir mensagens de texto (smishing) e phishing de voz (vishing).
Para combater essas ameaças em evolução, os provedores estão implantando tecnologias avançadas de segurança de e-mail e novos procedimentos de verificação (como exigir que os funcionários validem solicitações por meio de diferentes ferramentas de comunicação confiáveis) e programas de treinamento abrangentes para ajudar os funcionários a reconhecer comunicações suspeitas .
Preencha o formulário abaixo para ser redirecionado ao relatório exclusivo de pesquisa da CDW sobre Segurança Cibernética. Após o envio do formulário, você será incluído em nosso fluxo de e-mails sobre Segurança.
Atores mal-intencionados sabem que os funcionários são seu ponto de entrada mais fácil, afirma John Grady, analista do Enterprise Strategy Group.
“Os funcionários são, sem dúvida, o elo mais fraco, sem culpa alguma. Eles têm outras áreas de atuação, especialmente na área da saúde”, diz Grady. “Com o ransomware, basta um usuário clicar em algo por engano. Uma mudança fundamental de mentalidade precisa ocorrer, e a única maneira de fazer isso é por meio da educação do usuário.”
É certo que organizações de todos os setores observam que o treinamento inadequado dos usuários pode impactar a segurança cibernética: 31% dos tomadores de decisão de TI citaram o treinamento insuficiente ou ineficaz dos funcionários como uma grande preocupação para sua estratégia, de acordo com o Relatório de Pesquisa de Segurança Cibernética da CDW de 2024 .
Melhorando o treinamento para prevenir tentativas bem-sucedidas de phishingAssim como todos os campi da Universidade da Califórnia, o UC San Diego Health exige treinamento anual em segurança cibernética, realizado por meio de um sistema de gestão de aprendizagem. A organização complementa esse treinamento com simulações mensais de phishing, por exemplo, enviando e-mails falsos de phishing como teste.
Mais recentemente, Currie intensificou uma terceira experiência de treinamento: sessões presenciais personalizadas para departamentos específicos .
Isso é uma resposta a um estudo recente com funcionários do UC San Diego Health, que constatou que duas formas comuns de treinamento — treinamento anual de conscientização sobre segurança e simulações de ataques de phishing — oferecem valor limitado. De fato, nesses exercícios simulados de phishing, usuários treinados tiveram, em média, uma taxa de falha apenas 1,7% menor do que usuários não treinados.
Currie auxiliou o estudo porque queria entender a melhor maneira de treinar funcionários. Agora, ele está aumentando as sessões presenciais para aprimorar o treinamento. Ele realiza esses treinamentos específicos para cada departamento, presencialmente ou por videochamadas, e os adapta aos riscos específicos do trabalho.
Por exemplo, um parceiro comercial comprometido pode enviar um e-mail solicitando informações bancárias relacionadas ao pagamento de uma fatura. "Estamos tentando realizar mais dessas sessões presenciais. Acredito que essa seja, de longe, a maneira mais eficaz de fazer com que as pessoas entendam os riscos", afirma.
LEIA MAIS: Entenda o phishing personalizado na era da IA generativa.
Currie ainda vê mérito em exercícios simulados de phishing, então continua a praticá-los. "Mesmo que seja marginal ou insignificante, ainda há algum valor no treinamento porque, no mínimo, nos permite continuar conversando e conscientizando funcionários e professores ao longo do ano", diz ele.
O UC San Diego Health implantou o gateway de e-mail seguro da Proofpoint , que inspeciona e-mails e bloqueia spam e e-mails maliciosos. A Proofpoint também permite que Currie e sua equipe realizem simulações mensais de phishing.
“Aqueles que clicam são direcionados a uma explicação sobre o que deveria tê-los alertado de que se tratava de uma tentativa falsa de phishing”, diz ele.
O aumento da cobertura da mídia sobre violações e as experiências pessoais dos funcionários com tentativas de engenharia social ajudam a reforçar o treinamento formal, acrescenta Currie. Como resultado, mais funcionários agora encaminham e-mails suspeitos para a equipe de segurança de TI, o que foi recomendado no treinamento.
"Vamos analisar e dar um veredito", diz ele. "Nunca vamos dar um tapa na sua mão. Vamos parabenizá-lo por ser cauteloso."
Na Strive Health , uma empresa de tratamento renal que cresceu de 100 funcionários em 2020 para 650 atualmente, os executivos de TI incorporaram o treinamento em segurança cibernética à cultura da empresa desde o início. Como parte do processo de integração, os novos contratados devem concluir um módulo de treinamento de 20 minutos sobre phishing antes de receberem acesso ao computador.
“Temos feito treinamentos desde o início, então conseguimos começar do zero com uma força de trabalho preocupada com a segurança”, diz Gabe Stapleton, CISO da Strive Health.
Os médicos e enfermeiros da empresa sediada em Denver trabalham remotamente, oferecendo principalmente consultas de telemedicina aos pacientes. O treinamento de segurança da Strive Health inclui treinamento anual obrigatório em vídeo para todos os funcionários e testes regulares de phishing que Stapleton e sua equipe realizam usando software de segurança de e-mail.
A equipe de TI foca em diferentes áreas da empresa todos os meses para reforçar bons hábitos de segurança . Para se manter à frente dos invasores, eles também testam os funcionários com spear phishing, em que o ataque é mais personalizado.
"O treinamento anual tem um limite. As pessoas esquecem depois de algumas semanas. Não podemos esperar que um clínico se lembre de um treinamento de 20 minutos que acontece anualmente", diz ele.
Quando os funcionários são reprovados nesses testes, recebem um feedback da equipe de TI com um breve treinamento corretivo. "Enviamos uma mensagem para eles e pedimos para ficarem atentos. Era assim que você poderia saber que era um teste", diz Stapleton.
A empresa complementa o treinamento com ferramentas de segurança. Ela utiliza autenticação multifator e uma ferramenta de gerenciamento de postura de segurança de dados que categoriza os dados do provedor para que possam ser aplicadas políticas de segurança adequadas, afirma ele.
Clique no banner abaixo para se inscrever no boletim informativo semanal da HealthTech.
Os help desks de TI são os principais alvos de ataques de engenharia social, por isso a Luminis Health, sediada em Maryland, fornece treinamento adicional para sua equipe de help desk, diz o CIO Ron Nolte.
Os funcionários do help desk naturalmente querem ajudar os colegas, diz ele. No entanto, hackers podem se passar por cirurgiões e entrar em contato com solicitações urgentes, como a necessidade de redefinir suas senhas porque há um paciente na sala de cirurgia.
DESCUBRA: Como o IAM aborda os desafios de ambientes de TI cada vez mais complexos?
Para evitar a detecção, hackers que se passam por médicos da Luminis podem enviar e-mails, fazer ligações ou desfocar suas câmeras durante videoconferências. Para evitar esses cenários, a Nolte implementou protocolos rigorosos de verificação de identidade para redefinições de senhas.
A Luminis Health registra cada vez mais ataques por meio de diversas ferramentas de comunicação, como mensagens de texto. A equipe de TI treina a equipe para verificar mensagens suspeitas usando formas de comunicação conhecidas. Se uma mensagem de texto alega ser de um colega com um novo número de telefone, os funcionários são treinados para ligar para o número original da pessoa ou verificá-lo por e-mail ou pelo Microsoft Teams , acrescenta.
Em um estudo de e-mails de phishing personalizados, a porcentagem de e-mails de phishing gerados por IA que foram clicados, em comparação com 12% dos e-mails de spam de um banco de dados online
A Luminis Health conta com um gateway de e-mail seguro para bloquear e-mails maliciosos e autenticação multifator para proteger identidades. A organização também exige treinamento em segurança cibernética para novos funcionários e treinamento anual para toda a equipe. A TI também realiza testes mensais de simulação de phishing.
Se a equipe clicar neles, verá imediatamente uma página inicial explicando o erro. "Acreditamos fortemente em treinamento microtransacional e just-in-time", diz Nolte.
Se um funcionário for reprovado em um teste de phishing três vezes, o departamento de TI notifica o funcionário e seu supervisor. Após cinco reprovações, ele deve realizar um treinamento obrigatório em vídeo com exercícios.
O objetivo é treinar a equipe para que ela seja extremamente cética. Embora o estudo da UC San Diego Health possa indicar que o treinamento não funciona, Nolte argumenta que vale a pena.
“O treinamento é absolutamente crucial”, diz ele. “Trata-se de gerenciar riscos. Não se trata de absolutos. Você está treinando seus usuários como sua última linha de defesa.”
healthtechmagazine
