الأمن السيبراني في التعليم العالي: المشاكل والحلول

تواجه مؤسسات التعليم العالي فيضانًا مستمرًا من الهجمات الإلكترونية. بعد حادثة وقعت في عام 2015 ، أخبر كيفين موروني - نائب رئيس سابق لتقنية المعلومات في جامعة ولاية بنسلفانيا - صحيفة نيويورك تايمز أن ولاية بنسلفانيا واجهت في المتوسط ​​20 مليون هجوم يوميًا ، وهو مبلغ "نموذجي لجامعة بحثية".

بدءًا من عينة صغيرة من الآثار المالية التي يمكن أن تحدثها مثل هذه التهديدات ، قدرت شركة الأدلة الجنائية الرقمية والأمن السيبراني LIFARS في تقرير عام 2016 أن هجمات Spear Phishing - المصممة للتسلل إلى مؤسسة وسرقة المعلومات الحساسة ، غالبًا عبر البريد الإلكتروني - تكلف الشركات في المتوسط 1.8 مليون دولار لكل حادث. في تقرير عام 2017 ، توقعت Cybersecurity Ventures أن الهجمات التي تنطوي على Ransomware - والتي تهدد بسرقة أو حظر أو نشر بيانات الضحية ما لم يتم دفع فدية - ستؤدي إلى ما يقرب من 5 مليارات دولار من الأضرار في عام 2017 ، ارتفاعًا من 325 مليون دولار في عام 2015.

حقق التعليم العالي أعلى معدل لهجمات برامج الفدية بين جميع الصناعات التي شملها الاستطلاع في تقرير عام 2016 الذي نشرته BitSight (شركة إدارة مخاطر الإنترنت) ، وثاني أعلى معدل في تقرير BitSight لعام 2017. وفقًا لذلك ، تعمل الجامعات على مدار الساعة لتعزيز دفاعاتها ضد هذه الخسائر المحتملة الفادحة. كما قال كيم ميلفورد ، المدير التنفيذي لمركز تبادل وتحليل معلومات شبكة البحث والتعليم بجامعة إنديانا في مقال كتبه عام 2016 بواسطة مركز التعليم الرقمي ، فإن الجامعات الآن "عالقة في سباق تسلح باهظ التكلفة" لأنها تستكشف طرقًا جديدة كل من مكافحة الهجمات الحالية ومحاولة البقاء متقدمًا بخطوة واحدة على الهجمات القادمة. يقول ميلفورد ، بغض النظر عما إذا كانت الهجمات الإلكترونية ناجحة أم لا ، فإنها تمثل مشكلة مكلفة ومستمرة على الدوام تضطر الجامعات إلى معالجتها.

تشكل الهجمات الإلكترونية ، التي ربما تكون أكثر أهمية من الخسائر المالية المحتملة ، تهديدًا خطيرًا لسمعة الجامعة وسلامة طلابها.

لكن المخاطر التي تشكلها الهجمات الإلكترونية تتجاوز الخسائر المالية لعالم التعليم العالي. في الواقع ، تحتوي الكليات والجامعات على قدر هائل من البيانات الحساسة ، من أرقام الضمان الاجتماعي للطلاب إلى الملكية الفكرية القيمة ، والتي إذا سُرقت أو تعرضت للاختراق ، يمكن أن تسبب أضرارًا كبيرة تتجاوز جدران الأكاديمية. ربما يكون الأمر الأكثر أهمية من الخسائر المالية المحتملة المذكورة أعلاه ، أن الهجمات الإلكترونية تشكل تهديدًا خطيرًا لسمعة الجامعة وسلامة طلابها.

على الرغم من تطور التهديدات باستمرار ، يجب على الكليات والجامعات الاستمرار في الاستثمار في كل من المواهب والبنية التحتية اللازمة لمواجهة تحديات الأمن السيبراني في المستقبل. ستسلط هذه المقالة مزيدًا من الضوء على أهمية تطوير خبرة الأمن السيبراني لمؤسسات التعليم العالي وتقديم استراتيجيات لمواجهة هذه التحديات. بدءًا من فحص سبب تعرض الكليات والجامعات بشكل فريد للهجمات الإلكترونية ، سنسعى إلى فهم الاستراتيجيات التي يستخدمها المهاجمون لاستغلال هذه الثغرات والتوصل إلى مجموعة من التوصيات المصممة لتجهيز الكليات والجامعات بشكل أفضل لمواجهة التهديدات الإلكترونية في المستقبل.

لماذا التعليم العالي ضعيف؟

بينما تواجه كل صناعة رئيسية تقريبًا تحديات كبيرة في مجال الأمن السيبراني ، فإن التعليم العالي معرض للخطر بشكل خاص لعدد من الأسباب الرئيسية.

يتعلق المرء بثقافة الأوساط الأكاديمية الفريدة ، التي تفتخر بدرجة من الانفتاح والشفافية تفتقر إليها معظم الصناعات. كما ذكر فريد كيت ، مدير مركز جامعة إنديانا لأبحاث الأمن السيبراني التطبيقي ، في مقالة UniversityBusiness لعام 2013 ، ركزت الكليات والجامعات جهودًا تاريخية على التأكد من أن "أعضاء هيئة التدريس لدينا وطلابنا وعامة الناس والجهات المانحة لنا [يمكنهم] التواصل بشكل جميل بسهولة لنا. " وتقول المقالة إن هذا جعل شبكات الكمبيوتر في الكليات والجامعات "مفتوحة وجذابة مثل حرم جامعاتهم".

هناك سبب آخر يتعلق بالتاريخ - على وجه التحديد ، إلى متى كانت الكليات والجامعات متصلة بالإنترنت. قال أليكس هايد ، كبير مسؤولي الأبحاث في SecurityScorecard (شركة إدارة مخاطر تابعة لجهة خارجية) في مقال نشر في EducationDIVE عام 2016 أن الجامعات كانت دائمًا أهدافًا رئيسية للهجمات الإلكترونية إلى حد كبير لأن "الجامعات كانت واحدة من الأماكن الأولى التي كان لديها اتصال بالإنترنت ، ومع الوصول إلى الإنترنت لديك أشخاص يحاولون معرفة المدى الذي يمكن أن يصل إليه ذلك. " نظرًا لوجود إمكانية الوصول إلى الإنترنت لفترة طويلة نسبيًا ، كانت الكليات والجامعات أهدافًا مرئية منذ فترة طويلة ، وبالتالي من المحتمل أن تكون نقاط ضعفها معروفة جدًا ومفهومة من قبل المهاجمين عبر الإنترنت.

يستخدم المهاجمون الإلكترونيون تقنيات وأساليب متطورة لاستغلال الأنظمة الجامعية التي ، في بعض الحالات ، عفا عليها الزمن بشكل مؤسف وفاقت عليها.

نظرًا لأن الكليات والجامعات كانت مبكرة جدًا في تبني الأدوات والواجهات الرقمية (ونتيجة للمخاوف المالية والعملية الأخرى) ، لا تزال العديد من مؤسسات التعليم العالي تعتمد على الأنظمة القديمة المعرضة بشكل خاص للهجمات. قال هيد في المقالة المذكورة أعلاه: "تستخدم الكثير من الكليات أشياءً كتبت منذ سنوات". ببساطة ، يستخدم المهاجمون الإلكترونيون تقنيات وأساليب متطورة لاستغلال أنظمة الجامعات التي ، في بعض الحالات ، عفا عليها الزمن بشكل مؤسف وفاقت عليها.

وبشكل أكثر تحديدًا ، غالبًا ما تتميز أنظمة تكنولوجيا المعلومات بالجامعة بأنها لامركزية ، ومن وجهة نظر هايد ، بناء عشوائي يمكن للمهاجمين استغلاله بسهولة. في منشور مدونة عام 2017 لإدارة مخاطر البيانات وشركة البرمجيات Code42 ، لاحظت آشلي جاروش أنه في حين أنه قد يكون من المنطقي من منظور تشغيلي للأقسام الفردية أن تعمل تحت هياكل تكنولوجيا المعلومات الخاصة بها (من المرجح أن يكون قسم الفيزياء الفلكية بالجامعة مختلفًا ، كما تقول. الاحتياجات التكنولوجية أكثر من قسم الأدب بالجامعة ، على سبيل المثال) ، هذا النوع من الإعداد المجزأ يخلق ثغرات أمنية واضحة في أمن المعلومات. كتب جاروش: "عبر عشرات (أو عشرات) الأقسام ، هناك فرصة جيدة على الأقل أن يكون لدى أحدهم مجموعة من الأجهزة القديمة ونظام التشغيل غير المصحح ، أو تصفية البريد الإلكتروني غير الكافية والمركبات المساعدة ، أو النسخ الاحتياطي للبيانات المعيبة ، أو عدم كفاية تدريب وسياسة المستخدم".

على الرغم من أنها ليست قضية خاصة بالتعليم العالي ، فإن النقص في مواهب الأمن السيبراني يمثل عقبة كبيرة يجب على الكليات والجامعات التغلب عليها لمعالجة المشكلات المذكورة أعلاه. تشير دراسة حديثة أجرتها شركة الاستشارات Frost & Sullivan إلى أنه سيكون هناك 1.8 مليون وظيفة شاغرة في مجال الأمن السيبراني بحلول عام 2020 ، وأن هذا النقص في المواهب موجود على نطاق عالمي ، حيث يقول ما يقرب من 70 في المائة من المهنيين على مستوى العالم أن هناك عددًا قليلاً جدًا من العاملين في مجال الأمن السيبراني على الموظفين . نظرًا لأن الطلب على مواهب الأمن السيبراني يفوق العرض كثيرًا ، غالبًا ما تدفع الشركات دولارات أعلى للحصول على خبرة في مجال الأمن السيبراني. من المحتمل أن يضع هذا الكليات والجامعات في وضع غير موات للغاية عند محاولة جذب هذه المواهب بعيدًا عن وظائف القطاع الخاص ذات الأجور المرتفعة في Alphabet و Facebook وما شابه ذلك.

من خلال فهم الأسباب الكامنة وراء ثغرات الأمن السيبراني في التعليم العالي ، يمكننا الآن استكشاف الطرق التي يتم بها استغلال هذه الثغرات الأمنية.

كيف يستغل المهاجمون نقاط الضعف

تستخدم الجهات الشريرة مجموعة متنوعة من التكتيكات والأدوات عند شن هجمات إلكترونية. يتم تحديد طريقتين من أكثر هذه الطرق شيوعًا أدناه. في حين أن هذه القائمة ليست شاملة بأي حال من الأحوال ، ولا تقتصر على الكليات والجامعات ، إلا أنها ستوفر فهمًا أكبر لكيفية استهداف المتسللين بالضبط لاستغلال الثغرات في الأمن السيبراني وإثبات فائدتها في النظر في أفضل السبل لوقف مثل هذه الهجمات في المستقبل.

SQL Injections: وصفها البعض بأنها "أكثر المشكلات التي تواجه تطبيقات الويب خطورة" ، فإن SQL Injections (SQLi) هي ، بعبارات بسيطة ، هجمات مصممة لتجاوز حماية كلمة المرور من خلال استغلال قواعد البيانات التي تكمن وراء تطبيقات معينة. SQL (لغة الاستعلام القياسية) هي لغة تدير قواعد البيانات وتتواصل معها. تعمل SQL Injections من خلال استغلال نقاط الضعف في صفحات إدخال التعليمات البرمجية الأساسية (مثل صفحات تسجيل الدخول باسم المستخدم وكلمة المرور ، على سبيل المثال) وإجبار قاعدة بيانات معينة على إرجاع معلومات حساسة. على سبيل المثال ، عند مواجهة اسم مستخدم وكلمة مرور بصفحة تسجيل دخول ، يمكن للمهاجم إدخال ("حقن") جزءًا من كود SQL في قسم كلمة المرور. إذا كانت التعليمات البرمجية لقاعدة البيانات الأساسية عرضة للخطر ، فيمكن أن تقوم تعليمات SQL البرمجية هذه بتعديل قاعدة البيانات الأساسية وإجبار التطبيق الذي تتحكم فيه قاعدة البيانات على السماح للمخترق بالوصول.

تمتلك الكليات والجامعات عددًا لا يحصى من التطبيقات المحمية بكلمة مرور عبر الإنترنت ، من تقارير درجات الطلاب إلى معلومات التوظيف في هيئة التدريس ، والتي يمكن نظريًا تقسيمها إلى استخدام حقن SQL. حدث أحد هذه الهجمات على التعليم العالي في فبراير 2017 ، عندما استخدم متسلل روسي أو مجموعة قراصنة روسية SQL Injections لسرقة البيانات من عشرات الكليات والجامعات الأمريكية ، بما في ذلك جامعة كورنيل وجامعة نيويورك. طالما استمرت مؤسسات التعليم العالي في الحصول على نقاط ضعف مكتوبة في قواعد البيانات الأساسية الخاصة بها ، فمن المحتمل أن تظل SQL Injections شائعة ويسهل على المتسللين توظيفها.

التصيد الاحتيالي: كما ذكرنا في بداية هذه المقالة ، تتميز هجمات التصيد الاحتيالي برسائل البريد الإلكتروني أو صفحات الويب المصممة لخداع المستخدمين لإدخال بيانات حساسة ، مثل كلمات المرور أو معلومات بطاقة الائتمان. يوفر مكتب أمن المعلومات بجامعة برينستون نظرة عامة مفيدة حول كيفية ظهور مثل هذه الهجمات عادةً:

"عادةً ما يرسل المخادع رسالة بريد إلكتروني إلى مجموعة كبيرة من الأفراد الذين استحوذ على عناوينهم من دفاتر العناوين والمواقع عبر الإنترنت. قد تدعي الرسالة ، التي عادة ما تكون جيدة الصياغة وذات مظهر رسمي ، أنها من مؤسسة مالية أو مقدم خدمة أو أي مؤسسة أخرى يعرفها المستلم ... في كثير من الأحيان ، يُطلب من المستلم تقديم المعلومات عن طريق النقر فوق ارتباط موقع ويب في البريد الإلكتروني. ولكن في حين أن الرابط المؤدي إلى موقع الويب قد يبدو شرعيًا ، فإن الرابط المعروض ليس بالضرورة الموقع الفعلي الذي تزوره عند النقر فوقه ".

وقع 30 في المائة من المستخدمين في صناعة التعليم في عمليات التصيد الاحتيالي التي تتظاهر بأنها اتصالات مؤسسية ، أي ضعف معدل عامة السكان ، في العام الماضي.

يمكن أن يكون لهجمات التصيد الاحتيالي مجموعة واسعة من الأهداف النهائية ، من سرقة بيانات المستخدم إلى تثبيت برامج الفدية على كمبيوتر الضحية واستخراج المدفوعات المالية. في حين أن هذه الهجمات قد تبدو واضحة ويسهل تجنبها ، فقد أظهرت الدراسات أن الغالبية العظمى من الشركات كانت ضحايا عمليات التصيد الاحتيالي. أثبتت صناعة التعليم أنها حساسة بشكل خاص ، حيث وجدت شركة Wombat Security - وهي شركة برمجيات مكرسة لمساعدة الشركات على مكافحة هجمات التصيد الاحتيالي - في تقرير عام 2017 أن 30 بالمائة من المستخدمين في صناعة التعليم قد نقروا على عمليات التصيد الاحتيالي التي تمثل اتصالات مؤسسية ، معدل السكان عامة ، في العام الماضي.

بينما أثبتت التكتيكات المذكورة أعلاه فعاليتها ، سنرى أنه يمكن منعها.

كيفية منع الهجمات: كود أفضل ويقظة أكبر

يوجد عدد من الاستراتيجيات لمكافحة الهجمات الإلكترونية الموضحة أعلاه. يتضمن بعضها استراتيجيات يجب على محترفي تكنولوجيا المعلومات في التعليم العالي توظيفها بأنفسهم ، بينما يتضمن البعض الآخر استراتيجيات يجب على كل فرد في مجتمع التعليم العالي ، بما في ذلك المستخدمين النهائيين ، تنفيذها:

وقف هجمات SQLi من خلال البيانات المعدة والإجراءات المخزنة والتحقق من صحة الإدخال

لقد كتب الكثير عن كيفية منع هجمات حقن SQL ، والإجماع على أن القيام بذلك قد لا يكون في الواقع صعبًا بشكل خاص. يوفر مشروع أمان تطبيق الويب المفتوح (OWASP) نظرة عامة حول كيفية تجنب هجمات SQLi. تستشهد أواسب بثلاث استراتيجيات أساسية للقيام بذلك:

البيانات المعدة: يجب على الكليات والجامعات إنشاء قواعد البيانات الأساسية الخاصة بها مع البيانات المعدة. كما يقول OWASP ، "تضمن العبارات المعدة أن المهاجم غير قادر على تغيير هدف الاستعلام ، حتى إذا تم إدخال أوامر SQL من قبل المهاجم." بشكل أساسي ، يمكن أن تجعل العبارات المعدة أوامر SQL التي تتظاهر بأنها بيانات إدخال للمستخدم (أسماء المستخدمين وكلمات المرور) عاجزة.

الإجراءات المخزنة: وفقًا لـ OWASP ، يمكن أن يكون للإجراءات المخزنة نفس تأثير العبارات المعدة ، والفرق الأساسي هو أن "رمز SQL للإجراء المخزن يتم تعريفه وتخزينه في قاعدة البيانات نفسها ، ثم يتم استدعاؤها من التطبيق." كما كتب OWASP وآخرون ، قد لا تكون الإجراءات المخزنة مناسبة دائمًا للدفاع ضد هجمات SQLi ، ولكنها تظل خيارًا قابلاً للتطبيق للكليات والجامعات عند كتابتها وتنفيذها بشكل صحيح.

التحقق من صحة الإدخال: تستغل هجمات حقن SQL التطبيقات وقواعد البيانات التي لا تقوم بمراجع تبادلية وتتحقق من صحة البيانات المدخلة. لذلك ، فإن الخطوة المنطقية نحو منع هذه الهجمات هي التأكد من أن قاعدة البيانات التي يتم إنشاؤها تتطلب التحقق من صحة الإدخال. تستشهد Microsoft أيضًا بالتحقق من صحة الإدخال كأسلوب رئيسي لتجنب هجمات SQLi داخل نموذج تطوير الويب ASP.net.

منع التصيد الاحتيالي من خلال التدريب وزيادة الشكوك

على عكس منع هجمات SQLi ، والذي يمكن القيام به من خلال الإصلاحات الفنية الداخلية ، فإن منع عمليات التصيد الاحتيالي تعتمد بشكل كبير على المستخدمين النهائيين - أعضاء هيئة التدريس والموظفين والطلاب. هناك العديد من الخطوات التي يجب على الكليات والجامعات اتخاذها لضمان توخي الحذر عند جميع المستخدمين النهائيين:

عوامل تصفية البريد الإلكتروني: كخطوة أولية بسيطة ، يجب على الكليات والجامعات إعداد عوامل تصفية البريد الإلكتروني التي ترسل رسائل بريد إلكتروني مشبوهة غير جامعية إلى مجلد البريد العشوائي الخاص بالمستخدم. على الرغم من أن هذا ليس إصلاحًا مضمونًا ، إلا أنه يمثل خطوة أولى مهمة يمكن أن تمنع رسائل البريد الإلكتروني الضارة من الوصول إلى أهدافها.

حملات التدريب والتوعية: يجب على الكليات والجامعات أن تطلب من المستخدمين النهائيين الخضوع للتدريب الذي يغطي ماهية التصيد وكيفية التعرف عليه. هناك شركات مكرسة لتقديم هذه الخدمة ، ويجب أن تكون مؤسسات التعليم العالي على استعداد لاستثمار الوقت والموارد اللازمة لتثقيف كلياتها وموظفيها بشكل صحيح. كما يشير مقال في مجلة Infosecurity Magazine ، يجب تكرار هذا التدريب على أساس منتظم نسبيًا ويجب أن يعرض المستخدمين لمجموعة متنوعة من هجمات التصيد الاحتيالي. إن تقديم أمثلة على هجمات حقيقية وإنشاء مستودع لمثل هذه الهجمات ، كما فعلت جامعة برينستون مع "Phish Bowl" ، يمكن أن يعزز الوعي أيضًا.

"إن تثقيف عملائنا فيما يتعلق بالحوسبة الآمنة يجلب معه أحد أكبر المردودات."

يقول ساسي بيلاي ، نائب رئيس خدمات تكنولوجيا المعلومات ورئيس قسم المعلومات في جامعة ولاية واشنطن ، إنه يعقد هو وفريقه شهرًا سنويًا للتوعية بالأمن السيبراني وسعى إلى إنشاء "ثقافة عامة للتوعية الإلكترونية" لمكافحة التصيد الاحتيالي - رقم الجامعة قضية واحدة للأمن السيبراني. تقول بيلاي: "إن تثقيف عملائنا فيما يتعلق بالحوسبة الآمنة يجلب معه أحد أكبر المردودات".

على الرغم من أن الاستراتيجيات المذكورة أعلاه ليست شاملة وقد لا تمنع كل هجوم ، إلا أنها تمثل خطوات بسيطة نسبيًا يمكن أن تحقق فوائد كبيرة في مكافحة التعليم العالي للتهديدات الإلكترونية المحتملة.

مفاتيح المستقبل الآمن

يعد فهم نقاط الضعف ، وكيفية عمل الهجمات الإلكترونية الشائعة ، وكيفية منع مثل هذه الهجمات أمرًا أساسيًا لخلق مستقبل أكثر أمانًا - واستقرارًا ماليًا - للتعليم العالي. ومع ذلك ، فإن التهديدات السيبرانية تتطور باستمرار ، وليس هناك ما يضمن أن التهديدات التي نواجهها اليوم (واستراتيجيات التخفيف منها) ستشبه تلك التي تمضي قدمًا.

بالنسبة إلى Sasi Pillay ، يجب أن يتضمن الحل طويل الأمد للأمن السيبراني تغييرات أساسية في كيفية كتابة البرامج وتصميمها.

تقول بيلاي: "حلمي ، رؤيتي طويلة المدى هي أن أكون قادرًا على القيام بحوسبة آمنة في بيئة معرضة للخطر". "ما نحتاج إلى القيام به هو تغيير طريقة كتابة البرامج اليوم بشكل كبير. يحتاج تطوير البرامج إلى التعزيز حتى يأخذ الأشخاص المخاطر الأمنية وحالات التعرض في الاعتبار ".

مفتاح آخر لمواجهة تحديات الأمن السيبراني المستقبلية ، المذكورة بإيجاز في هذه المقالة ، هو توظيف فريق قوي وثابت من الخبراء في هذا المجال. القول أسهل من الفعل ، بالطبع ، لأن ميزانيات الجامعات شحيحة والمواهب نادرة. ومع ذلك ، هناك عدد من الطرق للتغلب على هذه المشكلة ، بما في ذلك الاستعانة بالخبراء المستقلين وأولئك الذين يرغبون في العمل عن بُعد.

على الرغم من أن تحديات الأمن السيبراني التي تواجه التعليم العالي كبيرة وتكلفة حلها باهظة ، فمن المحتمل أن تكون المخاطر المالية ومخاطر السمعة المحتملة التي تأتي مع عدم كفاية الدفاع أعلى. قد تجد المؤسسات في جميع أنحاء مشهد التعليم العالي أن حلول الأمن السيبراني الفعالة يمكن أن تدفع تكاليفها في النهاية.