Vse več napadov na izobraževalne ustanove
Univerze, fakultete in šole so relativno lahek plen za napadalce, sploh tiste brez lastnega IT-osebja in varnostnih strokovnjakov.
Izobraževalne ustanove po svetu so, sodeč po številu analiziranih napadov, tretja največja tarča kibernetskih napadalcev, ugotavlja povsem sveža Microsoftova raziskava Cyber Signals z letnico 2024. Očitno je, zakaj. V osnovnih, srednjih, poklicnih šolah ter visokošolskem izobraževanju se obdelujejo podatke, ki lahko vključujejo osebne, zdravstvene, finančne in druge podatke zaupne narave. Grožnje, ki jih Microsoft opaža v različnih panogah, so v izobraževanju še večje, akterji groženj pa so spoznali, da je ta sektor že po svoji naravi nadpovprečno ranljiv. S povprečno 2.507 poskusi kibernetskih napadov na teden so univerze glavne tarče za zlonamerno programsko opremo, spletne prevare in ranljivosti interneta stvari. Na kibernetska tveganja izobraževalnih organizacij vplivata tudi pomanjkanje varnostnega osebja in lastništvo sredstev IT. Šolski in univerzitetni sistemi se tako kot številna podjetja pogosto soočajo s pomanjkanjem virov IT in upravljajo mešanico sodobnih in starejših sistemov. Microsoft opaža, da je v ZDA v primerjavi z Evropo bolj verjetno, da bodo študenti in predavatelji pri izobraževanju uporabljali lastne naprave, ki niso nujno ustrezno (za)varovane.
Izjemno dragoceno in ranljivo okolje
Uporabniška zbirka izobraževalnega sektorja se zelo razlikuje od podjetij. V izobraževalnem okolju so »uporabniki« že učenci, stari šest let. V šolskih okrožjih in na univerzah je tudi veliko število zaposlenih, vključno z upravo, učitelji in s profesorji, z zdravstvenimi službami, s hišniki, strokovnjaki za prehrano in z drugimi. Številne dejavnosti, obvestila, informacijski viri, odprti sistemi elektronske pošte in študenti z vsega sveta ustvarjajo zelo spremenljivo okolje, v katerem lahko kibernetski napadi pridejo dobesedno od koderkoli.
Virtualno učenje in učenje na daljavo sta dodatno razširila izobraževanje – kar v gospodinjstva in pisarne. Osebne in večuporabniške naprave so povsod prisotne in jih pogosto ne upravlja oddelek IT. Poleg tega se številni, predvsem mlajši učenci ne zavedajo kibernetske (ne)varnosti ali tega, do česa dovolijo dostop svojim napravam oziroma aplikacijam na njih.
Ne čudi torej, da je panoga izobraževanja pogosto tista, kjer napadalci pravzaprav preizkušajo svoja orodja in tehnike. Po podatkih podjetja Microsoft Threat Intelligence je izobraževalni sektor tretja najbolj napadana panoga, največ groženj pa je bilo zabeleženih v Združenih državah Amerike.
Kibernetske grožnje izobraževanju pa niso problematične le v onkraj luže. Po podatkih britanskega ministrstva za znanost, inovacije in tehnologijo je 43 odstotkov visokošolskih ustanov v Združenem kraljestvu poročalo, da se vsaj enkrat tedensko srečujejo z vdorom ali napadom.
QR-kode so nov raj za prevarantske napade
Danes so t. i. QR-kode prisotne malodane povsod, kar vodi do povečanega tveganja za prevarantske napade, namenjene pridobivanju dostopa do sistemov in podatkov. Slike v e-poštnih sporočilih, letaki z informacijami o dogodkih v šoli, oznake parkirnih mest, najrazličnejši obrazci in druga uradna gradiva ter sporočila pogosto vsebujejo kode QR. Fizični in virtualni izobraževalni prostori so morda najbolj »letakom prijazna« in s QR-kodami obremenjena okolja. Glede na to, kako veliko vlogo imajo letaki, fizične in digitalne oglasne deske ter druga priložnostna korespondenca, ki je na voljo študentom, vajenim skeniranja QR-kod in odpiranja povezav v njih, bo potrebnega veliko osveščanja o prepoznavanju lažnih spletnih strani in vsebin. QR-kode so več kot le privlačno ozadje za zlonamerne akterje, ki lahko merijo na uporabnike, ki s hitrim skeniranjem slik poskušajo prihraniti čas.
Ameriška zvezna komisija za trgovino je pred kratkim izdala opozorilo za potrošnike o vse večji nevarnosti zlonamernih QR-kod, ki se uporabljajo za krajo prijavnih podatkov ali prenos zlonamerne programske opreme. Telemetrija programa Microsoft Defender za Office 365 kaže, da je dnevno že več kot 15.000 sporočil z zlonamernimi QR-kodami ustvarjenih za uporabnike v izobraževalnem okolju (vključno s prevarami, z neželeno pošto in zlonamerno programsko opremo).
Težava je tudi v tem, da so uporabniki QR-kod vajeni videti »čudne« URL-povezave, saj jih ustvarja tudi legitimna programska oprema za generiranje teh kod. Poleg tega slike QR-kod tradicionalne varnostne rešitve za elektronsko pošto težko preberejo, zato je še toliko bolj pomembno, da učenci in študenti uporabljajo naprave in brskalnike s sodobnimi spletnimi zaščitami.
Čeprav je zaščita pred prevarami vgrajena v vrsto varnostnih programov za operacijske sisteme Android, iOS in Windows, marsikateri uporabniki še vedno uporabljajo osebne naprave brez ustrezne zaščite. Dodatna težava je v tem, da QR-kode uporabniki berejo predvsem z mobilnimi napravami, na katerih imajo nameščene tudi bančne aplikacije ali plačilne podatke in druge poverilnice, do katerih se lahko napadalci v primeru neustrezno zaščitenih naprav dokopljejo in jih zlorabijo.
Najboljša obramba pred napadi z zlorabljenimi QR-kodami je pozornost uporabnika. A ker je od učencev in študentov iluzorno pričakovati, da se bodo za hip ustavili in preverili URL-naslove, preden jih odprejo, in ne bodo odpirali QR-kod iz nenavadnih virov, velja razmisliti o storitvah zaščite imenika domen. Na voljo so tudi brezplačni DNS-strežniki, ki filtrirajo škodljive naslove in tako pomagajo preprečevati izsiljevalsko programsko opremo in druge kibernetske napade z blokiranjem povezovanja računalniških sistemov s škodljivimi spletnimi mesti.
Usklajevanje različnih informacijskih tehnologij in varnostnih tveganj
Izobraževalni sistemi in ustanove po vsem svetu se soočajo z najrazličnejšimi finančnimi in operativnimi omejitvami, kar pomeni, da marsikje sodobni digitalni prostori za pouk obstajajo skupaj s starejšimi aplikacijami in z drugimi IT-rešitvami, ki so ranljive. Izzive oteženega centraliziranega upravljanja in zaščite dodatno potencirajo še težave pri ohranjanju nadarjenih kadrov za kibernetsko varnost v tej panogi, kar povzroča vrzeli, zaradi katerih so šolski sistemi še bolj izpostavljeni napadom.
Oportunistični kibernetski izsiljevalci se zavedajo tudi občutljivih in reguliranih podatkov, ki jih upravljajo šole, ter njihovih pooblastil za odprtost in dostopnost, kar motivira napadalce v najrazličnejše izsiljevalske napade s ciljem hitre monetizacije.
Univerze imajo dodatne edinstvene izzive. Velik del univerzitetne kulture namreč temelji na sodelovanju in izmenjavi znanj, gradiv in virov, kar spodbuja raziskave in inovacije. Profesorji, raziskovalci in drugi učitelji delujejo v skladu s prepričanjem, da je treba te stvari deliti. Če se jim po elektronski poti oglasi nekdo, ki se predstavi kot študent ali učitelj/profesor, so pogosto pripravljeni razpravljati o potencialno občutljivih temah, ne da bi natančno preverjali vir oziroma osebo na drugi strani.
Kombinacija vrednosti podatkov in informacij ter ranljivosti izobraževalnih sistemov je doslej že pritegnila pozornost različnih napadalcev – od kriminalcev, ki uporabljajo nove tehnike zlonamerne programske opreme, do državnih akterjev, ki se ukvarjajo z vohunskimi obrtmi stare šole. Na kaj oboji merijo?
Šolski e-poštni sistemi so največja tarča
Sproščena higiena šolske ali univerzitetne elektronske pošte je raj za napadalce. Ti sistemi nimajo le veliko uporabnikov, temveč so tudi brez resnega nadzora, saj morajo biti odprti za diplomante, donatorje, sodelovanje zunanjih uporabnikov in številne druge primere uporabe. Izobraževalne ustanove običajno delijo veliko obvestil v elektronski pošti, denimo informacijske diagrame o lokalnih dogodkih in šolskih virih. Običajno dovolijo zunanjim pošiljateljem iz sistemov za množično pošiljanje, da delijo vsebine v svojih okoljih. Ta kombinacija odprtosti in pomanjkanja nadzora ustvarja plodna tla za kibernetske napade na nič hudega sluteče uporabnike.
Napadalci kradejo tudi znanje!
Najbolj nevarni so pravzaprav hekerji, ki jih sponzorirajo države. Ti v univerzitetnih sistemih iščejo dragoceno intelektualno lastnino in povezave na visoki ravni. Univerze, ki se ukvarjajo z raziskavami, pogosteje tesno sodelujejo z obrambnimi, s tehnološkimi in z drugimi industrijskimi partnerji v zasebnem sektorju, zato so vse pogosteje tarča vohunjenja. Pred desetletji so se univerze osredotočale na očitne fizične znake vohunjenja. Vedele so, da je treba iskati ljudi, ki se pojavljajo v njihovih prostorih in fotografirajo stvari ali poskušajo pridobiti dostop do laboratorijev. Ta tveganja so še vedno prisotna, vendar je danes dinamika digitalne identitete in socialnega inženiringa močno razširila nabor vohunskih orodij (in operacij).
Univerze so pogosto epicentri zelo občutljive intelektualne lastnine. Na njih se lahko izvajajo prebojne raziskave. Delajo lahko pri projektih visoke vrednosti ali drugih občutljivih temah.
Za napadalce je lažje najprej zlorabiti nekoga v izobraževalnem sektorju, ki je povezan z obrambnim sektorjem, in nato njegov dostop uporabiti za prepričljivejši napad višje vrednosti.
Univerze imajo tudi strokovnjake s področja zunanje politike, znanosti, tehnologije in drugih dragocenih disciplin, ki premorejo tajne podatke. Na te posameznike napadalci merijo s prevarami v napadih socialnega inženiringa z uporabo lažnih ali ukradenih identitet vrstnikov in drugih oseb, za katere se zdi, da so v posameznikovih omrežjih ali med zaupanja vrednimi stiki. Zlorabljeni računi univerzitetnih uslužbencev lahko postanejo odskočna deska za nadaljnje kampanje proti širšim vladnim in industrijskim ciljem.
Kaj lahko šole in univerze pravzaprav storijo? Učence, študente in osebje poučite o varnostni higieni in jih spodbudite k uporabi večfaktorske avtentikacije. Študije so pokazale, da je verjetnost zlorabe uporabniškega računa ob uporabi večfaktorske avtentikacije za več kot 99,9 odstotka manjša kot pri klasični rabi uporabniškega imena in gesla.