Instituțiile academice au un set unic de caracteristici care le face atractive pentru atacatori. Care este antidotul potrivit pentru riscul cibernetic?

Cu toții ne dorim cea mai bună educație posibilă pentru copiii noștri. Dar chiar și cele mai bune planuri pot fi dejucate atunci când se confruntă cu un adversar agil, persistent și viclean. Actorii sponsorizați de state și infractorii cibernetici reprezintă una dintre cele mai mari amenințări la adresa școlilor, colegiilor și universităților de astăzi. Sectorul educației a fost al treilea cel mai vizat în T2 2024, potrivit Microsoft.

Iar cercetătorii de amenințări ESET au observat grupuri APT sofisticate care vizează instituții de pe tot globul. În perioada aprilie-septembrie 2024, sectorul educației a fost în primele trei industrii cele mai atacate de grupurile APT afiliate Chinei, în primele două pentru grupările afiliate Coreei de Nord și în primele șase atât pentru răufăcătorii afiliați Iranului, dar și Rusiei.

Instituțiile academice au un set unic de caracteristici care le face atractive pentru atacatori. Dar, din fericire, cele mai bune practici universale de securitate rămân un antidot eficient împotriva riscului cibernetic.

De ce hackerii atacă școli și colegii?

În Marea Britanie, 71% dintre școlile secundare (liceale) și aproape toate (97%) universitățile au identificat o încălcare gravă a securității sau un atac în ultimul an, față de doar jumătate (50%) dintre companii, potrivit cifrelor guvernamentale. În SUA, cele mai recente cifre disponibile de la K12 Security Information Exchange (SIX) arată că, între 2016 și 2022, națiunea a suferit mai mult de un incident cibernetic per zi de curs.

Deci, de ce sunt instituțiile de învățământ o țintă atât de populară? Răspunsul ar putea fi pentru că reprezintă o combinație de rețele poroase, un număr mare de utilizatori, o sursă de date și cunoștințe foarte monetizabile și unitățile dispun de bugete limitate alocate securității digitale. Să analizăm mai în detaliu:

• Buget și cunoștințe de specialitate limitate: sectorul educației pur și simplu nu poate concura cu întreprinderile private cu buzunare adânci când vine vorba de specialiști în securitate cibernetică. Și aceeași presiune bugetară înseamnă că, de obicei, instituțiile nu au mult de cheltuit pe instrumente de securitate. Acest lucru poate crea lacune periculoase în acoperire și capacitatea de răspuns la incidente. Cu toate acestea, astfel de preocupări monetare fac și mai importantă atenuarea riscului cibernetic. Un raport susține că atacurile ransomware asupra școlilor și colegiilor din SUA, începând cu 2018, le-au costat 2,5 miliarde de dolari ca pierderi pentru timpul de nefuncționare.
• Dispozitive personale: Potrivit Microsoft, BYOD este un lucru obișnuit în școlile din SUA, în timp ce la universitate, studenții de pretutindeni vor trebui să-și utilizeze propriile laptopuri și dispozitive mobile. Dacă li se permite să se conecteze la rețelele școlare fără verificări de securitate adecvate, aceste dispozitive ar putea oferi, involuntar, atacatorilor o cale de acces către date și sisteme sensibile.
• Utilizatori vulnerabili: oamenii rămân una dintre cele mai mari provocări pentru personalul de securitate. Iar numărul mare de personal și studenți din mediile educaționale îi face o țintă populară pentru phishing. Trainingurile de conștientizare sunt esențiale. Dar, în Marea Britanie, de exemplu, doar 5% dintre universități fac acest lucru obligatoriu pentru studenți.
• O cultură deschisă: școlile, colegiile și universitățile nu sunt ca afacerile tipice. O cultură a schimbului de informații și deschiderea către colaborarea externă pot invita la risc și oferă oportunități pentru ca actorii amenințărilor să le compromită. Ar fi de preferat controale mai stricte, în special pentru comunicațiile prin e-mail. Dar asta este dificil atunci când există atât de multe părți terțe conectate – de la absolvenți până la organizații de caritate și furnizori.
• O suprafață largă de atac: lanțul de aprovizionare pentru educație este doar o fațetă a unei suprafețe de atac cibernetic în creștere, care s-a extins în ultimii ani odată cu apariția cursurilor online și a muncii la distanță. De la servere cloud la dispozitive mobile personale, rețele de acasă și un număr mare și fluid de personal și studenți, există o mulțime de ținte pe care să le vizeze actorii amenințărilor. Nu ajută cu nimic faptul că multe instituții de învățământ rulează software și hardware vechi care ar putea fi neactualizat și fără suport.
• PII și IP: școlile și universitățile stochează, gestionează și procesează volume mari de informații de identificare personală (PII) despre personal și studenți, inclusiv date de sănătate și financiare. Acest lucru le face o țintă atractivă pentru actorii de ransomware și escrocii motivați financiar. Dar nu se termină aici. Cercetările în domenii sensibil realizate de multe universități le evidențiază, de asemenea, în rândul actorilor statali. Directorul general al MI5 i-a avertizat pe șefii principalelor universități din Marea Britanie despre acest lucru în aprilie 2024.

Amenințarea este reală

Acestea nu sunt amenințări teoretice. K12 SIX a catalogat 1.331 de incidente cibernetice școlare divulgate public care afectează districtele școlare din SUA începând cu 2016. Și ENISA, agenția de securitate a UE, a documentat peste 300 de incidente care au afectat sectorul între iulie 2023 și iunie 2024. Multe altele vor rămâne neraportate. Universitățile sunt în mod continuu atacate de către actori de ransomware, uneori cu un efect devastator.

TTP-uri tipice ale atacatorilor cu care se confruntă sectorul educațional

În ceea ce privește tacticile, tehnicile și procedurile (TTP) utilizate pentru a viza instituțiile din sectorul educațional, acestea variază în funcție de obiectivul final și de actorul amenințării. Atacurile statale sunt adesea sofisticate, cum ar fi cele ale grupului Ballistic Bobcat (alias APT35, Mint Sandstorm), afiliat Iranului. Într-unul din cazuri, ESET a observat actorul încercând să ocolească software-ul de securitate, inclusiv EDR, prin injectarea de cod rău intenționat în procese inofensive și folosind mai multe module pentru a evita detecția.

În Marea Britanie, ransomware-ul este văzut de universități ca fiind amenințarea cibernetică numărul unu pentru sector, urmată de inginerie socială/ phishing și vulnerabilități fără patch-uri actualizate. Și în SUA, un raport al Departamentului de Securitate Internă susține că: „Districtele școlare K-12 au fost o țintă aproape constantă pentru atacuri ransomware din cauza constrângerilor bugetare IT ale sistemelor școlare și a lipsei de resurse dedicate, precum și a succesului actorilor de ransomware în a obține plata de răscumpărare de la unele școli care trebuie să funcționeze în anumite date și ore.”

Dimensiunea în creștere a suprafeței de atac, inclusiv dispozitivele personale, tehnologia învechită, un număr mare de utilizatori și rețelele deschise, fac munca atacatorului mult mai ușoară. Microsoft a avertizat chiar despre o creștere a eforturilor bazate pe coduri QR. Acestea sunt concepute pentru a sprijini campaniile de phishing și malware prin coduri rău intenționate în e-mailuri, flyere, permise de parcare, formulare de ajutor financiar și alte comunicări oficiale.

Cum pot școlile și colegiile să atenueze riscul cibernetic?

Poate exista un set unic de motive pentru care actorii amenințărilor vizează școli, colegii și universități. Dar, în linii mari, tehnicile pe care le folosesc pentru a face acest lucru sunt încercate și testate. Asta înseamnă că se aplică regulile obișnuite de securitate. Concentrați-vă pe oameni, proces și tehnologie, având în vedere câteva dintre următoarele sfaturi:

• Implementați parole puternice și unice și autentificarea cu mai mulți factori (MFA) pentru a proteja conturile
• Practicați o bună igienă cibernetică cu corecții prompte, backup-uri frecvente și criptare a datelor
• Dezvoltați și testați un plan robust de răspuns la incident pentru a minimiza impactul unei încălcări a datelor
• Educați personalul, studenții și administratorii cu privire la cele mai bune practici de securitate, inclusiv cum să detecteze e-mailurile de phishing
• Partajați cu studenții o politică detaliată de utilizare BYOD (Bring Your Own Device), inclusiv ce soluții de securitate vă așteptați să preinstaleze pe dispozitivele personale
• Colaborați cu un furnizor reputat de securitate cibernetică care protejează endpoint-urile, datele și proprietatea intelectuală ale organizației dvs.
• Luați în considerare utilizarea sistemului de detecție și răspuns gestionat (MDR) pentru a monitoriza activitățile suspecte 24/7 și pentru a ajuta la capturarea și limitarea amenințărilor înainte ca acestea să afecteze organizația.

Sistemul educațional se confruntă deja, la nivel global, cu o mulțime de probleme, de la lipsa de personal până la provocări de finanțare. Dar ignorarea amenințării cibernetice nu le va face să dispară. Dacă sunt lăsate să escaladeze, breșele pot cauza daune financiare și reputaționale uriașe, care, în special pentru universități, ar putea fi dezastruoase. În cele din urmă, breșele de securitate diminuează capacitatea instituțiilor de a oferi cea mai bună educație posibilă. Iar asta este ceva care ar trebui să ne îngrijoreze pe toți.