NHS网络技能和培训支出中的巨大差异
NHS信任缺乏足够的内部网络安全专业知识,员工网络安全培训和信托之间的支出存在广泛的不平衡,信息自由(FOI)请求揭示。
根据安全公司Redscan的三个月FOI运动的调查结果,许多信托也可能未能满足关于信息治理的培训目标。
政府在2017年卫生袭击事件发生武器袭击事件后,政府承诺在网络安全上额外花费150万英镑,并审查了从2018年2月发表的vannacry袭击的经验教训,要求当地的NHS组织和国家机构改进他们的网络安全技能和弹性。
FOI要求显示,NHS信任缺乏内部安全人才,平均只有一名员工,每位2,628名员工专业安全凭证。
一些大型信托(最多16,000名员工)根本没有正式合格的安全专业人士,数据显示。
雇用没有合格的网络安全专业人员的若干NHS组织在获得有关安全资格的过程中有员工在获得相关的安全资格的过程中,这也许是招聘培训的专业人士困难的迹象。
这些数据显示网络安全和数据保护培训是拼凑的,在过去的12个月中,网络安全培训支出范围从不到250英镑到每次信赖的近80,000英镑,在信托和金钱的规模之间没有明显的联系。
平均而言,NHS信托在数据安全培训上花费了5,356英镑,虽然没有成本或仅使用免费的NHS数字培训工具,但在内部进行了大量比例进行了大量比例。
大量信托比例对工作人员的专业网络安全或GDPR(一般数据保护法规)培训来说,只需要所有员工完成NHS Digital提供的免费信息治理(IG)培训。
但是,与GDPR相关的培训是为员工采购的最常见的课程类型。被引用的其他培训计划包括BCS从业者证书,数据保护,高级信息风险所有者和ISO27001从业者。
总的来说,数据显示信任缺乏培训目标。NHS Digital的强制性IG培训要求状态,所有工作人员的95%必须每12个月传递IG培训,但目前只有12%的信托符合该目标。四分之一的信托培训了培训不到80%的员工,而有些人报告过不到一半的训练。
“这些发现在NHS的网络安全失败中闪耀着亮点,这在困难的情况下,正在努力实施凝聚力的安全战略,”网络安全AR Redscan总监Mark Nicholls说。
“史奇信任缺乏内部网络安全人才,许多人正在缺乏培训目标。同时,安全和数据保护培训的投资充其量是零枝。差异的程度是令人担忧的,因为一些NHS组织远远更好地资源,资助和培训比其他组织更好。“
Nicholls指出,2017年,Wannacry严重扰乱了全国各地的关键医疗服务,估计为9200万英镑。
“政府随后在NHS中增加了网络安全的资金1500万英镑,同时介绍了一些新的安全政策,”他说。“肯定有绿色的进步,但这并没有掩盖NHS在巨大的经济压力下,正在努力招募它所需的技能,必须继续改善英国的网络安全战略。”
尼科尔斯表示缺乏内部网络安全技能,表示技能差距继续增长。“所有部门的组织都非常努力地找到足够的人具有正确的知识和经验,”他说。“NHS甚至更加强硬,必须与私营部门的保险杠工资竞争 - 更不用说传统技术中心的信任,如伦敦和剑桥的传统技术中心都有一个较小的人才库,可以选择。
“确实,NHS信任向NHS数字和其他第三方专家外包关键安全功能,但我仍然希望看到更多的安全专业人士在内部使用。如果您认为具有安全资格的员工是负责远远超过网络安全的IT团队的一部分,毫无疑问,仍处于紧张的资源。“
单独的FOI请求被发送到NHS Digital,拒绝提供有关多少信托的数据,或者有多少IT工作人员和董事会成员已完成专用培训。
然而,NHS数字确实揭示了139个信托现在在2018年7月的迄今为止,从截至2018年7月的60人进行了数据安全性评估,表明NHS信任更加认真地对这些评估进行了评估,并在信托级别实施这些措施。
“这些数字肯定更有希望,我相信过去五年中的安全培训有明显的改善,特别是自佛教徒以来,”尼科尔斯说。
“但是,重要的是要注意差距仍然存在。人们仍然是网络安全链中最薄弱的联系。尽管IG培训提高了对安全风险和普通陷阱的认识,但您永远无法完全减轻员工的风险,以便为社会工程诈骗而堕落。
“为了有效地识别和回应最新的威胁,组织需要更好地了解黑客战术,技术和程序。只有专业的专业人士,密切评估和监控威胁景观日期,并妥善了解组织的基础设施是如何攻击的,可以开始解决如何缓解不断发展的风险。“