E-mailbeveiliging voor de gezondheidszorg: Tijd voor een checkup?

Elke regelmatige lezer van de blogsite Cyber Resilience Insights van Mimecast is waarschijnlijk mijn driemaandelijkse blogs Email Security Risk Assessment (ESRA) tegengekomen. In deze blogs worden de geaggregeerde ESRA-testresultaten die we hebben verzameld, samengevat en worden conclusies getrokken.

Tot nu toe heb ik de testresultaten echter niet geanalyseerd vanuit het oogpunt van een bepaalde bedrijfstak. In deze blog geef ik analyses die specifiek afkomstig zijn van ESRA-tests van organisaties in de gezondheidszorg en vergelijk ik die resultaten met de volledige reeks ESRA-gegevens.

Wat denk je dat ik gevonden heb? Zijn organisaties in de gezondheidszorg beter of slechter beschermd tegen bedreigingen door e-mail in vergelijking met een grote dwarsdoorsnede van andere sectoren? Lees verder om erachter te komen!

Hoe werkt de EAVO?

De analyse van de gezondheidszorg is ontleend aan dezelfde geaggregeerde gegevensreeks die we hebben gepubliceerd in de ESRA-release van december 2018 .

Bij een ESRA-test inspecteert de Mimecast-dienst opnieuw de e-mails van een deelnemende organisatie die door hun bestaande e-mailbeveiligingssysteem als veilig werden beschouwd. Dit is gebaseerd op werkelijk inkomend e-mailverkeer naar die organisatie, niet op bewerkte of testmail. Veel "echter" dan dat kan het niet worden! Mimecast voert deze test gedurende een bepaalde periode uit, meestal tussen een week en een maand bij elke deelnemende organisatie.

Een ESRA-test van Mimecast inspecteert passief de resultaten van echte e-mails die zijn afgeleverd bij de medewerkers van een organisatie, legt deze vast en bepaalt of deze legitiem of ongewenst zijn (spam, phishing, imitaties of malware). In beveiligingstermen is een ESRA-test een initiatief om op vals-negatieve berichten te jagen, waarbij de e-mailbeveiligingsdienst van Mimecast afgeleverde e-mails inspecteert op zoek naar de ongewenste e-mails die door het bestaande e-mailbeveiligingsnet zijn gekomen en bij de organisatie terecht zijn gekomen. Het laatste rapport van december is te vinden op hier .

Maar wat niet in het rapport van december staat, is een deel van de gegevens dat specifiek afkomstig is van tests die bij organisaties in de gezondheidszorg worden uitgevoerd. Dit is wat ik vond toen ik die gegevens opzocht:

Wat zeggen de resultaten over cyberbeveiliging in de gezondheidszorg?

Zijn organisaties in de gezondheidszorg beter of slechter beschermd tegen e-mailbedreigingen dan de rest van de geteste organisaties? Misschien worden zij meer aangevallen dan de gemiddelde organisatie, en zou dit hun hogere percentage valse positieven verklaren?

Mijn gevoel, gebaseerd op deze tests en mijn eigen gefundeerde gok op basis van jaren beveiligingservaring, is dat organisaties in de gezondheidszorg niet meer of minder worden aangevallen via e-mail dan andere organisaties, maar dat hun e-mailbeveiliging, om wat voor reden dan ook, achterloopt op die van anderen - hoewel een fout-negatief percentage van 11,7% voor de hele testgroep niets is om trots op te zijn!

Hier volgt een actieplan: organisaties in de gezondheidszorg die hun beveiligingscontroles voor e-mail in het afgelopen jaar of de afgelopen twee jaar niet serieus hebben doorgelicht, moeten daar een hoge prioriteit aan geven! Zowel aanvallers als best practices op het gebied van e-mailbeveiliging zijn de afgelopen jaren ver vooruitgegaan. Het is belangrijk dat de verdedigers in de gezondheidszorg hetzelfde doen.