Press "Enter" to skip to content

Valutazione della suscettibilità dei dipendenti agli attacchi di phishing presso le istituzioni sanitarie statunitensi

Introduzione

La sicurezza dei dati e dei sistemi sanitari sta rapidamente emergendo come componente critica dell’infrastruttura ospedaliera e gli attacchi ai sistemi informativi ospedalieri hanno avuto conseguenze sostanziali, con pratiche chiuse, procedure chirurgiche annullate, ambulanze deviate, operazioni interrotte e reputazione danneggiata.1,2,3 Gli attacchi contro gli ospedali sono aumentati, con notevoli costi finanziari.4,5 In un recente esempio ben pubblicizzato, una grande rete ospedaliera è stata messa offline da un virus per quasi 2 settimane, con conseguente interruzione del servizio, confusione del paziente e ritardi nella radioterapia, tra le altre ripercussioni.6 L’erogazione dell’assistenza sanitaria è diventata sempre più dipendente da sistemi informativi integrati e complessi che sono soggetti a interruzioni. La messa in sicurezza dei nostri sistemi informativi sanitari è fondamentale per la fornitura di cure sicure ed efficaci ed è ora di interesse per la salute pubblica.7

Il phishing è la pratica di ingannare gli individui per indurli a rivelare informazioni personali sensibili o a cliccare su link che introducono software maligni attraverso una comunicazione elettronica ingannevole.8 Di solito effettuato via e-mail, il phishing è una strategia di attacco comune contro i dipendenti del sistema sanitario e può essere un modo straordinariamente accessibile, economico ed efficace per ottenere credenziali reali ai sistemi informativi sanitari o per indurre i dipendenti a cliccare su software maligni.9 Le e-mail di phishing possono essere realistiche e l’identità del mittente viene spesso falsificata, o deliberatamente contraffatta, in modo da sembrare inviata da un individuo o da un’organizzazione di fiducia. Una volta che un aggressore ha accesso a un sistema, può rubare informazioni di identificazione personale e venderle a scopo di lucro, interrompere la disponibilità del sistema, criptare un database e chiedere un pagamento di riscatto per sbloccarlo (“ransomware”), manipolare e falsificare dati clinici o eseguire altre attività dannose.7 Un recente rapporto indica che il 55% dei medici ha subito un attacco di phishing.10

La sensibilizzazione e la formazione dei dipendenti rappresentano una componente importante della protezione contro gli attacchi di phishing.5 Un metodo per generare consapevolezza e fornire formazione consiste nell’inviare e-mail di phishing simulate a un gruppo di dipendenti e successivamente indirizzare il materiale didattico a coloro che cliccano o inseriscono in modo inappropriato le proprie credenziali. A titolo di riferimento, nella eTabella 1 del supplemento sono elencati 2 esempi di e-mail di phishing. La prima e-mail è una simulazione di phishing e la seconda è una vera e propria e-mail di phishing ricevuta presso 1 degli istituti partecipanti. Come mostrato, le e-mail possono essere realistiche e spesso sembrano essere inviate da una persona di fiducia o da un membro dell’organizzazione del dipendente. La simulazione di phishing è comune in molti settori e viene utilizzata anche in ambito sanitario, tipicamente come iniziativa di formazione e miglioramento. Le e-mail simulate sono progettate per essere il più vicino possibile alle e-mail di phishing reali; se l’e-mail simulata viene cliccata, viene utilizzata come un’opportunità in tempo reale per fornire una breve formazione sul phishing al dipendente. Esistono diversi fornitori che offrono la simulazione di phishing come servizio (ad esempio, componendo e inviando le e-mail di simulazione, raccogliendo le risposte dei dipendenti, fornendo formazione sul phishing e riportando i tassi di clic alla direzione dell’ospedale). In questo contesto, abbiamo esaminato la pratica della simulazione di phishing e la misura in cui i dipendenti del settore sanitario sono vulnerabili alle simulazioni di phishing e abbiamo identificato i potenziali determinanti della vulnerabilità alle simulazioni di phishing via e-mail.

Metodi

Partecipanti

In questa retrospettiva, studio multicentrico di miglioramento della qualità, abbiamo collaborato con un campione di 6 istituti sanitari statunitensi che eseguono simulazioni di phishing utilizzando strumenti software sviluppati da fornitori o personalizzati. Queste istituzioni rappresentano un insieme diversificato di organizzazioni che coprono l’intero spettro dell’assistenza e una serie di aree geografiche degli Stati Uniti, comprese le istituzioni delle 4 regioni di censimento dell’US Census Bureau; tutte hanno implementato un programma di sicurezza delle informazioni. Le identità delle specifiche istituzioni sono qui anonimizzate per motivi di sicurezza e di privacy. Alcuni partecipanti erano sistemi di assistenza sanitaria che gestiscono più ospedali; in questo caso, abbiamo definito un’istituzione come comprendente più ospedali. Ulteriori informazioni sulle istituzioni sono elencate nella eTabella 2 e nella eTabella 3 del supplemento. Il Partners Healthcare Institutional Review Board ha stabilito che lo studio è esente da revisione. Per lo studio non è stato richiesto il consenso informato scritto. Questo studio ha aderito alle linee guida per il reporting di eccellenza per il miglioramento della qualità(SQUIRE) 2.0.

Raccolta dei dati

I dati raccolti dalle istituzioni partecipanti comprendevano l’istituzione, il contenuto dell’e-mail di phishing, il numero di e-mail consegnate e il numero di clic. I collaboratori hanno fornito i loro dati per ogni campagna di phishing, dove una campagna è stata definita come un’e-mail con un contenuto specifico inviata a un gruppo di dipendenti. Mentre le caratteristiche dei singoli dipendenti non erano disponibili e le risposte dello stesso dipendente non erano collegate nel tempo, nessun dipendente è stato escluso dalle campagne di phishing. Tutti i dipendenti di tutti i tipi di ruoli ospedalieri (clinici e non clinici) erano idonei a ricevere le e-mail. Un’istituzione (sito 2) ha condotto diverse campagne contro piccoli sottoinsiemi mirati della popolazione (ad esempio, i professionisti della sicurezza informatica). Poiché queste campagne non erano campagne generali per i dipendenti, sono state escluse per aumentare la generalizzabilità.

Classificazione delle e-mail

Poiché è più probabile che vengano cliccate diverse e-mail di phishing in base al loro contenuto, abbiamo classificato tutte le e-mail in 1 delle seguenti 3 categorie: relative all’ufficio, personali o informatiche (IT). Queste categorie sono state generate dal consenso di 3 di noi (W.J.G., A.W. e A.B.L.). Le e-mail sono state poi classificate separatamente da 2 di noi (W.J.G. e A.W.) e i disaccordi sono stati risolti da un altro di noi (A.B.L.). Esempi di ogni categoria di email sono elencati nella Tabella 1.

Categoria e-mail Esempio esche N. (% Totale) di Campagne
Ufficio Avete ricevuto un nuovo fax… 37 (38.9)
Siete tenuti a rivedere questo documento su base annuale…
Formazione obbligatoria online sulla sicurezza sul lavoro…
Personale Qualcuno ti ha mandato una e-card di Halloween… 22 (23.2)
La tua nuova carta di credito è stata spedita…
Siamo lieti di annunciarvi che avete diritto a ricevere una doppia ricompensa…
IT La vostra casella di posta ha superato il limite di archiviazione, che è di 20 GB come impostato dal vostro amministratore… 36 (37.9)
Attualmente stiamo aggiornando il nostro database e il nostro centro di posta elettronica. Tutti gli account non utilizzati saranno cancellati…
Se state ricevendo questo messaggio, significa che il vostro indirizzo e-mail è stato messo in coda per la disattivazione…
a.Categoria e-mail e tassi di clic tra le 95 campagne di phishing simulatoa

Analisi statistica

Le istituzioni sono state rese anonime (dal sito 1 al sito 6). La serie di dati successiva non conteneva alcuna informazione identificabile per l’istituzione o la persona. Abbiamo effettuato statistiche descrittive sulle istituzioni e sulle campagne di phishing. Abbiamo aggregato i nostri dati per istituzione e per campagna e calcolato la percentuale di email che sono state cliccate dai dipendenti, nonché il tasso di clic mediano per ogni campagna. Regressione logistica multivariabile, con l’uso di un approccio di equazione di stima generalizzata,11 è stato utilizzato per calcolare i rapporti di probabilità (OR) con il 95% di IC per le probabilità che un’e-mail di phishing venga cliccata durante una campagna. Abbiamo utilizzato un approccio di stima generalizzata dell’equazione con una correlazione di lavoro indipendente per ottenere stime di varianza robuste, perché i tassi di clic della campagna all’interno di un’istituzione possono essere correlati. Le covariate includono l’anno (2011-2018, centrato sullo 0), il numero di campagne che l’istituto ha condotto prima dell’invio dell’e-mail di phishing (campagna istituzionale numero 1-5, 6-10 o >10), un indicatore per l’istituto reso anonimo, la categoria dell’e-mail (relativa all’ufficio, personale o informatica) e la stagione. Tutte le analisi sono state condotte utilizzando un programma software (R; R Foundation for Statistical Computing).

Risultati

Un campione di convenienza di 6 istituzioni sanitarie statunitensi ha fornito i dati per lo studio. Questi ospedali hanno condotto 101 campagne di phishing simulate e hanno inviato 2.975.019 e-mail dal 1° agosto 2011 al 10 aprile 2018. Dopo aver escluso 6 campagne mirate (3074 email), il nostro campione finale comprendeva 95 campagne e 2-945 email (Figura 1). Abbiamo classificato le email rimanenti in 1 di 3 categorie (37 relative all’ufficio, 22 personali e 36 relative all’IT). L’affidabilità dell’interlocutore per la categorizzazione è stata elevata (Cohen κ=0,746). Il tasso di click mediano variava per categoria di email, dal 12,2% (intervallo interquartile [IQR], 7,2%-20,7%) per l’ufficio relativo al 18,6% (IQR, 13,9%-25,6%) per l’IT related(Tabella 2).

Figura 1.Progettazione dello studio e acquisizione datiI dati raccolti per ogni campagna comprendevano l’anno della campagna, il numero della campagna istituzionale, le e-mail inviate, le e-mail cliccate e la categoria di e-mail.

Variabile Numero di campagne Tasso di click non regolato, mediano (IQR), %.
Riferimento 95 16.7 (8.3-24.2)
Anno (centrato su 0)
2011 12 23.5 (18.7-26.4)
2012 4 22.0 (15.2-30.8)
2013 Nessuno NA
2014 Nessuno NA
2015 18 19.1 (10.1-19.4)
2016 21 18.4 (10.3-25.0)
2017 33 9.9 (4.8-17.2)
2018 7 10.2 (7.3-15.7)
Campagna istituzionale n.
1-5 28 25.1 (13.8-31.1)
6-10 19 17.9 (10.4-22.2)
>10 48 13.4 (6.3-18.8)
Istituzione
Sito 1 (n = 19) 19 10.2 (5.3-18.3)
Sito 2 (n=33) 33 14.5 (8.0-22.6)
Sito 3 (n==3) 3 7.4 (5.8-9.6)
Sito 4 (n==9) 9 14.5 (8.3-21.0)
Sito 5 (n==26) 26 19.0 (15.6-25.6)
Sito 6 (n==5) 5 30.7 (25.2-34.4)
Categoria e-mail
Ufficio 37 12.2 (7.2-20.7)
Personale 22 15.9 (6.8-24.5)
Informatica 36 18.6 (13.9-25.6)
Stagione
Autunno 24 18.5 (13.4-22.2)
Inverno 30 16.4 (9.7-21.9)
Primavera 18 14.0 (8.1-25.5)
Estate 23 11.8 (5.7-28.1)
Tabella 2.Tassi di clic non corretti tra 95 campagne di phishing simulate in tutti i siti

Il tasso di click complessivo in tutte le istituzioni e le campagne è stato del 14,2% (422-062 click per 2-945 email). Il tasso di click mediano istituzionale per le campagne variava dal 7,4% (IQR, 5,8%-9,6%) per il sito 3 al 30,7% (IQR, 25,2%-34,4%) per il sito 6, con un tasso di click mediano complessivo del 16,7% (IQR, 8,3%-24,2%) per tutte le campagne e le istituzioni(Tabella 2 e Figura 2).

Figura 2.Boxplot del tasso di clic della campagna tra le 95 campagne di phishing simulate, per sitoLa distribuzione del tasso di click viene mostrata per sito. Ogni sito è un’istituzione anonima. Il tasso di clic è calcolato in proporzione (il totale delle e-mail inviate diviso per il totale delle e-mail consegnate) per ogni campagna. I baffi indicano i valori minimo e massimo per ogni istituzione. I bordi inferiore e superiore della casella rappresentano rispettivamente il primo e il terzo quartile, mentre la linea nella casella rappresenta la mediana.

Abbiamo scoperto che le campagne di phishing ripetute sono state associate a una diminuzione delle probabilità di cliccare su una successiva e-mail di phishing (OR corretto, 0,511; 95% di IC, 0,382-0,685 per 6-10 campagne; OR corretto, 0,335; 95% di IC, 0,282-0,398 per >10 campagne). L’anno non ha avuto un’associazione significativa con i tassi di click (OR corretto, 0,965; 95% CI, 0,841-01,107). I tassi di click variano a seconda dell’istituzione, da un OR corretto di 0,302 (95% CI, 0,225-0,406) rispetto a un OR corretto di 1,463 (95% CI, 1,299-1,648). Le e-mail correlate all’ufficio non sono state associate in modo significativo ai tassi di clic (OR corretto, 1,354; 95% CI, 0,865-2,120) rispetto a quelle correlate all’IT (riferimento), ma le e-mail personali sono state associate in modo significativo ai tassi di clic più elevati (OR corretto, 1,505; 95% CI, 1,128-2,007) rispetto a quelle correlate all’IT. Infine, alcune stagioni sono state associate a tassi di click. Ad esempio, sia le campagne primaverili (OR corretto, 0,842; 95% CI, 0,735-0,964) che quelle estive (OR corretto, 0,751; 95% CI, 0,624-0,905) sono state associate a un minor numero di clic rispetto alle campagne autunnali, mentre l’inverno non è stato associato in modo significativo ai tassi di clic (OR corretto, 1,175; 95% CI, 0,972-1,420). I risultati completi sono elencati nella tabella 3.

Variabile Modello OR (95% CI) P Valore
Riferimento 0.279 (0.197-0.396) <.001
Anno (centrato su 0) 0.965 (0.841-1.107) .61
Campagna istituzionale n.
1-5 1 [Riferimento] NA
6-10 0.511 (0.382-0.685) <.001
>10 0.335 (0.282-0.398) <.001
Istituzione
Sito 1 (n = 19) 0.788 (0.651-0.954) .02
Sito 2 (n=33) 1 [Riferimento] NA
Sito 3 (n = 3) 0.302 (0.225-0.406) <.001
Sito 4 (n = 9) 0.557 (0.474-0.654) <.001
Sito 5 (n = 26) 0.584 (0.393-0.868) .008
Sito 6 (n = 5) 1.463 (1.299-1.648) <.001
Categoria e-mail
Ufficio 1.354 (0.865-2.120) .19
Personale 1.505 (1.128-2.007) .005
IT correlato 1 [Riferimento] NA
Stagione
Autunno 1 [Riferimento] NA
Inverno 1.175 (0.972-1.420) .10
Primavera 0.842 (0.735-0.964) .01
Estate 0.751 (0.624-0.905) .003
Tabella 3.Modello di regressione logistica (con l’uso di equazioni di stima generalizzate) per le probabilità di clic su 95 campagne di phishing simulate

Figura 1.Progettazione dello studio e acquisizione datiI dati raccolti per ogni campagna comprendevano l’anno della campagna, il numero della campagna istituzionale, le e-mail inviate, le e-mail cliccate e la categoria di e-mail.

Figura 2.Figura 2. Boxplot del tasso di clic della campagna tra 95 campagne di phishing simulate, per sitoLa distribuzione del tasso di click viene mostrata per sito. Ogni sito è un’istituzione anonima. Il tasso di clic è calcolato in proporzione (il totale delle e-mail inviate diviso per il totale delle e-mail consegnate) per ogni campagna. I baffi indicano i valori minimo e massimo per ogni istituzione. I bordi inferiore e superiore della casella rappresentano rispettivamente il primo e il terzo quartile, mentre la linea nella casella rappresenta la mediana.

Discussione

In questo studio sulle istituzioni sanitarie statunitensi che eseguono simulazioni di phishing, il tasso di click complessivo variava a seconda dell’istituzione, ma era notevolmente elevato: in media, quasi 1 email simulate su 7 inviate sono state cliccate dai dipendenti. Nei modelli corretti per diversi potenziali fattori di disturbo, tra cui l’anno, il numero di campagne istituzionali, l’istituzione e la categoria di e-mail, le probabilità di clic su un’e-mail di phishing erano di 0,511 in meno per 6-10 campagne presso un’istituzione e di 0,335 in meno per più di 10 campagne presso un’istituzione. Abbiamo anche rilevato che vi erano importanti differenze istituzionali nei tassi di click, così come differenze nei tassi di click tra la categoria di email e la stagione.

Il nostro studio dimostra che, in modo simile ad altri settori industriali,12 Le istituzioni sanitarie conducono simulazioni di phishing per aumentare la consapevolezza e identificare i dipendenti che possono trarre beneficio dall’istruzione e dalla formazione. Qui dimostriamo che, sotto forma di simulazione, un gran numero di dipendenti clicca sulle e-mail di phishing, in linea con i risultati ottenuti in altri settori, dove il tasso di clic può variare dal 13% al 49%, a seconda del settore.13 Abbiamo scoperto che le probabilità di cliccare su un’e-mail di phishing sono diminuite con una maggiore esperienza istituzionale, che ipotizziamo possa essere dovuta al vantaggio di eseguire campagne di simulazione di phishing per la formazione e la sensibilizzazione dei dipendenti. Inoltre, notiamo che esiste un’ampia gamma di tassi di click tra le campagne simulate. Ipotizziamo che la gamma di tassi di click sia dovuta a una serie di fattori, tra cui l’esposizione precedente dei dipendenti a simulazioni di phishing (ad esempio, dal precedente impiego), la complessità delle singole e-mail di phishing, la tempistica delle e-mail e fattori istituzionali (ad esempio, la messaggistica), oltre a fattori individuali, a livello di dipendenti, per i quali non siamo stati in grado di raccogliere o controllare, che richiederanno ulteriori studi.

I sistemi sanitari sono stati sempre più presi di mira dai cyberattack, sia come parte di grandi eventi internazionali (ad esempio, WannaCry o NotPetya).1,7,14 o come bersagli diretti.2 Le organizzazioni che forniscono assistenza sanitaria sono infrastrutture critiche e sono obiettivi interessanti per i criminali informatici per diversi motivi, tra cui il valore dei dati sanitari personali (che vanno da 10 a 1000 dollari per record nei mercati online, a seconda della completezza15,16), la criticità dei servizi forniti dagli ospedali,17 e una generale mancanza di processi di sicurezza delle informazioni.18 Il phishing è una strategia di attacco facilmente implementabile, soprattutto perché la posta elettronica è un punto di accesso facile per i dipendenti dell’ospedale, molti dei quali dispongono di credenziali per diversi sistemi informativi interni (ad esempio, cartelle cliniche elettroniche). Secondo la nostra esperienza, gli indirizzi e-mail sono facili da accertare, sia da risorse pubblicate (articoli di riviste, siti web pubblici e social media) sia tramite congetture (ad esempio, nome_cognome[at]hospital[dot]org). Inoltre, le e-mail vengono aperte frequentemente, indipendentemente dal mittente. Ad esempio, più di un terzo delle email di vendita e di marketing vengono aperte.19 Il tasso di apertura può essere ancora più alto per le email che non sono legate alle vendite.

Anche i sistemi sanitari sono particolarmente vulnerabili agli attacchi di phishing. Il turnover dei dipendenti negli ospedali è elevato,20 e c’è un costante afflusso di nuovi dipendenti (ad esempio, tirocinanti) che possono non avere una precedente formazione in materia di sicurezza informatica, il che crea un flusso continuo di nuovi dipendenti suscettibili. I sistemi ospedalieri sono vulnerabili a causa della notevole complessità dei punti finali, termine utilizzato per descrivere il gran numero di dispositivi IT che potrebbero essere presi di mira in un attacco. Ad esempio, ogni smartphone dei dipendenti connesso alla rete è un rischio potenziale, così come altri dispositivi collegati in rete (ad esempio, monitor paziente, postazioni di lavoro cliniche, tablet e tutti i sistemi informativi di base già in uso).21 Inoltre, i sistemi informativi ospedalieri sono altamente interdipendenti. Una cartella clinica elettronica dipende da un sistema informativo di laboratorio per la visualizzazione dei risultati clinici. Il sistema informativo di laboratorio, a sua volta, dipende da una connessione di rete al sistema dell’analizzatore di laboratorio per elaborare i risultati. L’attacco di un sistema 1 potrebbe influenzare significativamente più sistemi a valle. Infine, il blocco dei sistemi informativi è difficile. In un grande sistema sanitario, ci sono tipicamente un vasto, eterogeneo e distribuito insieme di utenti che hanno bisogno di accedere (ad esempio, pratiche affiliate, scambi di informazioni a livello statale e agenzie di segnalazione). Basta una sola e-mail di phishing di successo, inviata a un solo utente, per chiudere un sistema critico, potenzialmente in grado di disturbare l’assistenza di un’intera organizzazione.

Esistono molte strategie per prevenire o ridurre al minimo le conseguenze degli attacchi di phishing. Una strategia consiste nell’impedire che le e-mail di phishing vengano ricevute o lette in primo luogo (ad esempio, utilizzando la tecnologia per filtrare le e-mail in base a modelli sospetti per il phishing o modificando le e-mail per indicare che provengono da mittenti esterni). Una seconda strategia è quella di minimizzare il valore di username e password, richiedendo l’autenticazione multifattore (ad esempio, un codice univoco generato da un’applicazione per smartphone che deve essere inserito per accedere) o richiedendo controlli di accesso speciali per sistemi specifici, in modo che le credenziali siano meno utili anche se ottenute. Una terza strategia è quella di promuovere la consapevolezza e la formazione dei dipendenti, e i nostri risultati suggeriscono che includere campagne di simulazione di phishing come parte della consapevolezza o della formazione dei dipendenti può essere utile. Ci sono state diverse iniziative di sensibilizzazione a livello di istituzione attuate in concomitanza con le campagne di simulazione del phishing. Alcuni esempi includono la distribuzione di decalcomanie per laptop antiphishing e di poster multilingue antiphishing, nonché la sensibilizzazione al phishing nei programmi annuali di formazione dei dipendenti. Questi sono solo alcuni dei componenti di un programma di sicurezza delle informazioni e un piano solido deve includere diversi approcci.

Limitazioni

Ci sono diversi limiti al nostro studio. In primo luogo, abbiamo utilizzato un campione di convenienza di istituzioni, tutte dotate di un’organizzazione per la sicurezza delle informazioni sufficientemente matura per condurre simulazioni di phishing. Pur non essendo rappresentativi dell’intero sistema sanitario statunitense, non abbiamo motivo di credere che le tendenze qui descritte siano diverse in altre istituzioni. Inoltre, le stime del tasso di clic possono essere prudenti perché i sistemi con programmi di sicurezza dell’informazione robusti avrebbero probabilmente tassi di clic inferiori rispetto ad altre istituzioni. In secondo luogo, non abbiamo avuto accesso ai dati a livello di dipendenti (ad esempio, per esaminare le tendenze in base al reparto, ai singoli dipendenti o alle caratteristiche dei dipendenti come l’età, il sesso o il ruolo all’interno dell’organizzazione o per esaminare le correlazioni tra gli individui, perché non tutti i dipendenti hanno ricevuto tutte le e-mail di simulazione di phishing). In terzo luogo, non abbiamo tenuto conto di ulteriori fattori che potrebbero influenzare il tasso di clic, come la complessità della campagna, la tempistica e altri fattori istituzionali come i programmi di formazione inter-campagna o gli sforzi di sensibilizzazione informale. In quarto luogo, non siamo nemmeno sicuri della sostenibilità dei miglioramenti del tasso di clic nel tempo.

Conclusioni

In sintesi, gli attuali tassi di clic nelle simulazioni di phishing presso le organizzazioni sanitarie statunitensi indicano un rischio maggiore per la sicurezza informatica. Questi tassi di clic evidenziano l’importanza delle e-mail di phishing come vettore di attacco e la sfida della sicurezza dei sistemi informatici. Le campagne ripetute sono state associate a tassi di clic migliori, suggerendo che le campagne di phishing simulate sono una componente importante di un approccio proattivo alla riduzione del rischio. È necessario che tutti i membri della comunità sanitaria comprendano questo rischio, soprattutto perché la fornitura di assistenza sanitaria sicura ed efficace diventa sempre più dipendente dai sistemi informativi.

References

  1. Cyberattack on Britain’s National Health Service: a wake-up call for modern medicine. N Engl J Med. 2017; 377(5)DOI | PubMed
  2. When “hacktivists” target your hospital. N Engl J Med. 2014; 371(5):393-395. DOI | PubMed
  3. Hospital risk of data breaches. JAMA Intern Med. 2017; 177(6):878-880. DOI | PubMed
  4. Publisher Full Text
  5. Publisher Full Text
  6. 2016. Publisher Full Text
  7. Threats to information security: public health implications. N Engl J Med. 2017; 377(8):707-709. DOI | PubMed
  8. 2013. Publisher Full Text
  9. The big phish: cyberattacks against U.S. healthcare systems. J Gen Intern Med. 2016; 31(10):1115-1118. DOI | PubMed
  10. Publisher Full Text
  11. Statistical analysis of correlated data using generalized estimating equations: an orientation. Am J Epidemiol. 2003; 157(4):364-375. DOI | PubMed
  12. Publisher Full Text
  13. Publisher Full Text
  14. Hardly ever a dull moment: the ongoing cyberthreats of 2017. Biomed Instrum Technol. 2017; 51(5):431-433. DOI | PubMed
  15. 2014. Publisher Full Text
  16. 2018. Publisher Full Text
  17. Publisher Full Text
  18. Publisher Full Text
  19. Publisher Full Text
  20. A ministudy of employee turnover in US hospitals. Health Care Manag (Frederick). 2015; 34(1):23-27. DOI | PubMed
  21. Cybersecurity in hospitals: a systematic, organizational perspective. J Med Internet Res. 2018; 20(5):e10059. DOI | PubMed

Fonte

Gordon WJ, Wright A, Aiyagari R, Corbo L, Glynn RJ, et al. (2019) Assessment of Employee Susceptibility to Phishing Attacks at US Health Care Institutions. JAMA Network Open 2(3): e190393. https://doi.org/10.1001/jamanetworkopen.2019.0393