近幾年,駭客攻擊手法不斷推陳出新,國際間醫療機構頻頻遭受攻擊,台灣醫療領域也成鎖定目標。2020年八月,全台超過60家醫療院所同時遭到勒索軟體攻擊,此新聞一出造成轟動,事關千萬人的個資安全,主管機關衛服部呼籲各醫院要提高資安防護意識,未來將在醫院評鑑制度中,納入相關資安要求,以降低醫院資安風險。
上班族日常,第一件事情就是打開電子郵件,而電子郵件正是企業與駭客攻防的前哨。從幾個國際重大資安事件來看,讓企業損失慘重的BEC(Business Email Compromise)商務電子郵件詐騙、勒索軟體、APT(Advanced Persistent Threat)進階持續性滲透攻擊,以及銀行遭駭盜轉18億等事件,都是由一封釣魚郵件開始!駭客透過高度偽裝的釣魚郵件,誘導受害者執行釣魚郵件中指示的動作,進而對企業發動攻擊。
客戶背景與需求
C醫院名列國際一流的大學醫學中心,醫學專業領域獲國內外多項榮譽肯定,對於推動高科技醫療也不遺餘力,院內管理要求嚴謹,對於資訊安全更是重視。也因C醫院曾經遭受釣魚郵件攻擊之苦,知道其嚴重性,了解員工疏忽、缺乏資安意識就是最大的隱憂,當精誠團隊跟C醫院談到社交工程演練,馬上引起共鳴。
解決方案
精誠顧問與C醫院討論後,提出訓練和演練兩個面向的規劃:
- 教育訓練:依行業背景需求編列課程內容,安排教育訓練,員工除了上課還須通過資安測驗。
- 釣魚郵件演練:與C醫院共同討論出郵件內容,設置專案排程,排定發送郵件時間與頻率,收集員工點閱行為,彙整分析,並提出社交工程演練總結報告。
釣魚郵件的設計非常關鍵,學習駭客思維,藉由吸引注意之標題及內容,誘使員工開啟信件,設計方向搭上時事話題,針對不同類型員工設計出他們感興趣的議題內容,例如中秋節月餅團購、iphone12限量搶購等,才能營造出真實感。
醫院內員工人數眾多且角色多元,要有效的落實資安訓練與建立資安意識培訓確實不容易,透過社交工程演練,C醫院清楚掌握了「哪些部門」或「哪些人」的連結點擊率太高,或附件開啟率太高,針對這群資安意識較弱族群,設計下一步應採取哪些改善措施;也發現到有些員工根本不開郵件,代表他們對於公司政令宣導的郵件漠不關心,將考量未來公司訊息的發布應加入互動機制,否則會影響宣導效果。
創造價值
儘管個資法與資安法中,都明確要求各機關安排全員工資安訓練及建立資安意識培訓,但大多數企業仍容易疏忽此項資安檢核,原因是沒有好的執行方法,通常耗費大量時間人力卻效果不佳,而且無法有效追蹤後續改善成效。
C醫院採用訂閱式服務,由精誠來協助執行社交工程演練,不僅省下購買軟硬體設備的成本,亦減少IT單位作業負擔,還能獲得精誠資安專家提供專業建議,未來定期執行更能追蹤內部資安意識提高成效。
一直以來,C醫院對精誠的業務同仁印象深刻,因為精誠總是在C醫院面臨棘手問題時,幫助他們在最短時間內找到解決方案,協助檢視所有的資安防護機制,幫助看到資安缺口,找到更好的因應方式,讓C醫院再次肯定精誠是從客戶立場思考,真正幫助他們解決問題的好夥伴。