CISA 副助理主任为学校提供 5 条网络安全建议
美国各地针对学校的网络安全攻击日益频繁。 美国国土安全部下属网络安全和基础设施安全局(CISA)副助理局长特伦特·弗雷泽说:“这是一个目标丰富但资源匮乏的环境,里面实际上藏有一些最脆弱人群的极其敏感的信息。” 当这些攻击成功时 学生数据被泄露,它可以被用来勒索赎金,但对网络犯罪分子来说也具有双重价值,因为学生通常拥有完美的信用记录,并不担心身份盗窃。 网络安全现在是 学校领导最关心的问题。不过,好消息是,可以采取一些简单且廉价的措施,这将对网络安全产生巨大的积极影响,弗雷泽说。他提供了以下网络安全提示。 1. 不要不知所措 当听说网络攻击数量不断增加时,那些没有接受过网络安全培训的人可能会错误地认为无能为力。 “他们认为这是一个几乎无法克服的挑战,从事网络安全意味着获得第二学位并成为一名网络安全专家,”弗雷泽说。 事实上,最有效的网络保护形式通常是简单、常识、良好的网络安全最佳实践,我们大多数人都已经熟悉这些实践。他指出,虽然发生了更复杂的攻击,但大多数仍然是涉及基本任务的简单努力,例如破解弱密码。 改变教育的工具和想法。在下面注册。 通过消除网络安全系统中容易出现的问题,学校可以真正加强保护。“如果我们采取措施解决这些问题,我们就会给对手带来更多困难,迫使他们采取更具挑战性、坦率地说成本更高的攻击方式,攻击范围覆盖我们所有的基础设施社区,”他说。 2. 做好小事 Frazier 坚持认为小步骤可以对网络安全产生重大影响,他指出 保护我们的世界, CISA 最近针对学校和其他组织制定了一份 PSA,其中提供了四个易于实施的提示: 识别并举报网络钓鱼 使用强密码 启用多重身份验证 更新软件 3. 利用 CISA 资源 地区技术领导者应该意识到学校有很多 CISA 资源。 弗雷泽说:“我们在全国各地都有地区工作人员,可以帮助您评估系统内的漏洞。” 这些工作人员可以帮助学校领导确定优先事项,并规划如何最好地投资和建立更强大的网络安全系统。“我们开发了我们所谓的 网络安全绩效目标“这确实是一种必不可少的工具,它能帮助你确定投资的优先次序,然后最终开始进行这些投资,并随着时间的推移而发展,”弗雷泽说。 此外,CISA 还 K-12 教育的网络安全 资源,为学校提供各种建议。“应用这两种资源并与我们的人员互动将成为一种非常重要的工具,可帮助您确定最终需要设计的长期可持续项目方法,”弗雷泽说。 4.考虑增加全职网络安全资源 最近 CoSN报告 发现 66% 的 K-12 学区没有专职的网络安全资源。 增加这类全职员工是各学区应该考虑的一步,但并不总是需要雇用新员工。通常,现有的 IT 员工可以接受良好网络安全基础知识的培训。 “一旦你这样做了,这些人往往可以在帮助你建立网络安全计划的基础方面取得很大进展,”弗雷泽说。“一旦你达到了某种程度,那么开始寻找更有资格的网络安全专业人员就变得很有意义了,他们将能够在你的计划中实施更先进的缓解措施。” 但是,学校不必独自承担这一过程。“我强烈鼓励学校和学区考虑如何与当地政府和州政府机构合作,这些机构也可能为他们提供能力,”弗雷泽说。 5. 网络安全是一项团队运动 […]
针对政府和医院的 13 条网络安全建议
作为解决医疗保健行业高水平网络安全犯罪的起点,民主防御基金会向行政部门、国会和医疗保健生态系统提出了强有力的建议。尽管新报告强调增加第三方管理的 IT 服务(即使是资源不足的提供商组织的兼职服务)和增加员工网络卫生培训,但民主防御基金会的大多数建议都是针对政府的。 “美国人民的健康和福利取决于此,”作者在新报告中表示。 为何重要 FDD 在《医疗网络安全需要检查》报告中概述了政府和行业为防止医疗网络攻击所做的努力。事实证明,勒索软件攻击对服务破坏性最大,会冻结提供商的系统并窃取受保护的健康信息,但其后果并不总是很明显。 报告作者迈克尔·萨格登 (Michael Sugden) 和安妮·菲克斯勒 (Annie Fixler) 表示,针对这些事件之后的患者伤害的研究“可能低估了人员伤亡”。 在里面 报告他们的目标是引导关键行业走向更具抗攻击能力的未来,并强调服务于约 14% 美国人口的乡村医院面临的独特挑战。 他们表示:“这些医院的预算往往非常紧张,50% 的农村医院处于亏损状态。”因此,它们在预防或应对勒索软件攻击方面准备不足。 行政部门必须采取行动,更新该行业的战略。 萨格登和菲克斯勒表示:“提供路线图以确保关键的救生服务,纳入利益相关者对网络安全目标的反馈,并解决农村网络安全劳动力缺口问题。” “解决当前差距的办法不是通过合规寻求网络安全的被动监管。相反,该行业需要采取积极主动的协作方式,”他们补充道。 他们对政府的建议包括: 制定新的、长期的特定行业网络安全目标。 与业界合作,确定、优先考虑和确保救生服务。 不断更新网络安全绩效目标。 加速CPG合规激励计划的时间表。 打造农村医院网络安全队伍发展战略 重新评估系统重要性实体名单 建议政府重新评估 SIE 名单,在一定程度上是对 Change Healthcare 今年遭受的连锁网络攻击的反应。 作者还表示,该行业“必须在网络安全方面投入更多,包括适当配置安全团队、实施全组织网络卫生培训以及制定破坏性网络攻击的应急响应计划”。 虽然医疗保健提供商“必须确保拨出资金”来预防和应对网络事件,但许多资源不足的医院缺乏资金。为此,FDD 报告建议资源匮乏的提供商聘请网络安全资源,或聘请兼职网络安全人员,或许可以利用托管 IT 服务提供商。 他们对该行业的建议是: 在网络安全上投入更多。 为所有员工提供网络卫生培训。 为医疗保健提供者制定区域应急计划。 萨格登和菲克斯勒强调了员工网络安全培训的重要性,因为网络钓鱼仍然是最常见的攻击方式,并且随着大型语言模型的广泛使用,这种培训也获得了显著的帮助。他们指出,存在“免费或相对便宜”的程序,可以“防止可能让服务提供商损失数百万美元或危及患者生命或隐私的攻击”。 他们敦促国会为相关行政机构和项目提供资金,以更好地支持该行业,并指出美国卫生与公众服务部要求增加资源来扩大其在事件响应和缓解方面的劳动力和能力。 今年 3 月,美国卫生与公众服务部(HHS)负责关键基础设施保护的战略防范与响应管理局请求在 2025 财年额外拨款 500 万美元,以满足劳动力需求。 FDD […]