Sicherheitspflichten der Mitarbeiter

What Is Sicherheitspflichten der Mitarbeiter?

Jeder Mitarbeiter in Ihrem Unternehmen hat spezifische Sicherheitsverantwortungen, unabhängig davon, ob „Sicherheit“ irgendwo in seiner Berufsbezeichnung vorkommt oder nicht. Diese Übung versetzt Sie in alltägliche Situationen am Arbeitsplatz, in denen Ihre Entscheidungen sich direkt auf die Sicherheit der Organisation auswirken. Sie kümmern sich um Szenarien wie den Erhalt einer Anfrage, Ihre Zugangsdaten mit einem Kollegen zu teilen, der ausgesperrt ist, das Auffinden eines sensiblen Dokuments, das auf einem gemeinsam genutzten Drucker zurückgelassen wurde, das Bemerken eines Fremden, der durch eine Ausweistür hereinstürmt, und die Entscheidung, was gemeldet werden soll, wenn sich etwas unangenehm anfühlt, Sie sich aber nicht sicher sind, ob es sich um einen Vorfall handelt. Jedes Szenario zwingt Sie zu einer Wahl, und die Simulation zeigt Ihnen die tatsächlichen Konsequenzen sowohl des sicheren Wegs als auch der riskanten Abkürzung. Sie erfahren, wo Ihre persönlichen Sicherheitsverantwortungen beginnen und enden, wie Sie Bedenken über die richtigen Kanäle eskalieren und warum kleine tägliche Gewohnheiten wie das Sperren Ihres Bildschirms und das Überprüfen von Anfragen die Grundlage der organisatorischen Verteidigung bilden. Die Übung macht deutlich, dass Sicherheit nicht das Problem eines anderen ist.

What You'll Learn in Sicherheitspflichten der Mitarbeiter

• Wenden Sie bei der täglichen Arbeit das Prinzip der geringsten Rechte an, indem Sie die Weitergabe von Anmeldeinformationen verweigern und den Datenzugriff auf das beschränken, was Ihre Rolle erfordert
• Identifizieren Sie physische Sicherheitslücken, einschließlich Tailgating, unbeaufsichtigte Dokumente und ungesicherte Arbeitsplätze, und reagieren Sie darauf
• Nutzen Sie die Meldekanäle Ihrer Organisation für Vorfälle, um verdächtige Aktivitäten zu eskalieren, selbst wenn Sie unsicher sind, ob es sich um einen Vorfall handelt
• Erkennen Sie die spezifischen Sicherheitsverpflichtungen, die mit Ihrer Rolle verbunden sind, einschließlich des akzeptablen Umgangs mit Anmeldeinformationen, Geräten und vertraulichen Informationen
• Unterscheiden Sie zwischen hilfreicher Zusammenarbeit und Sicherheitsverstößen, wenn Kollegen Zugriff, Dateien oder Workarounds anfordern

Sicherheitspflichten der Mitarbeiter — Training Steps

1. Ein normaler Montag bei Meridian Healthcare

   Es ist ein ganz normaler Montagmorgen. Sie haben es sich gerade mit Ihrem Kaffee gemütlich gemacht und sich im Patientenverwaltungsportal angemeldet.

2. Ein dringender Anruf

   Alices Telefon klingelt. Die Anrufer-ID zeigt „Dr. Rajan Mehta – Kardiologie“. Die Stimme eines Mannes ertönt – eindringlich, fast panisch. Er sagt, ein Patient programmiere in der Notaufnahme und er brauche dringend Zugriff auf seine Unterlagen, aber sein Portalkonto sei gesperrt.

3. Der Verifizierungstrick

   Der Anrufer bietet an, seine Identität zu „verifizieren“. Er gibt Alice die ersten paar Ziffern seines Mitarbeiterausweises und bittet sie, nachzuschauen und den Rest noch einmal vorzulesen. Es fühlt sich wie ein Beweis an – aber er hat Alice nur dazu gebracht, seine Identität für ihn zu vervollständigen.

4. Weiterleitung zum „Quick-Reset Tool“

   Da Alice nun davon überzeugt ist, dass der Anrufer legitim ist, verweist er sie auf ein „IT-Schnell-Reset-Tool“ unter meridianhc-portal.net/reset. Er sagt, dass sie ihre eigenen Anmeldedaten eingeben muss, um das Zurücksetzen seines Kontos zu autorisieren.

5. Anmeldedaten auf der Phishing-Seite eingeben

   Alice öffnet die vom Anrufer angegebene URL. Die Seite sieht aus wie ein IT-Tool von Meridian Healthcare – aber die Domain ist meridianhc-portal.net und nicht die echte meridianhc.com. Sie bemerkt den Unterschied in ihrer Eile, dem „sterbenden Patienten“ zu helfen, nicht.

6. „Bearbeitung“ der Autorisierung

   Auf der Seite wird die Meldung „Verarbeitungsautorisierung“ angezeigt und angegeben, dass Alice innerhalb von 24 Stunden eine Bestätigungs-E-Mail erhalten wird. Es sieht routinemäßig aus – aber ihre Anmeldedaten wurden gerade vom Angreifer erbeutet.

7. Konsequenzen enthüllt

   Drei Stunden später kommt eine dringende E-Mail vom CISO. Auf dem Patientenverwaltungssystem wurde ein unbefugter Zugriff festgestellt. 2.300 Patientenakten – Namen, Sozialversicherungsnummern, Versicherungsdaten, Krankengeschichten – wurden auf einen externen Server exportiert. Die verwendeten Anmeldeinformationen: Alice.

8. Die Untersuchung des Verstoßes

   Alices Magen dreht sich um. Sie klickt auf den Link zum Dashboard für die Untersuchung von Verstößen und meldet sich an, um das gesamte Ausmaß des Schadens zu sehen.

9. Die Angriffskette verstehen

   Das Breach-Dashboard zeigt die gesamte Angriffskette. Jeder Schritt wird dargelegt: die gefälschte Anrufer-ID, der gefälschte Verifizierungstrick, die Phishing-URL auf einer externen Domain und die Erfassung der Anmeldeinformationen.

10. Was hätte Alice tun sollen?

    Da nun die gesamte Angriffskette sichtbar ist, lasst uns über den kritischen Moment nachdenken, in dem Alice dies hätte stoppen können.