Keamanan siber di Pendidikan Tinggi: Masalah dan Solusi

Institusi pendidikan tinggi menghadapi banjir serangan siber yang konstan. Menyusul insiden pada tahun 2015, Kevin Morooney – mantan Wakil Rektor untuk Teknologi Informasi di Pennsylvania State University – mengatakan kepada The New York Times bahwa Penn State menghadapi rata-rata 20 juta serangan per hari, jumlah yang “tipikal untuk universitas riset.”

Dimulai dengan contoh kecil dari dampak keuangan yang dapat ditimbulkan oleh ancaman tersebut, forensik digital dan firma keamanan siber LIFARS memperkirakan dalam laporan tahun 2016 bahwa serangan Spear Phishing – yang dirancang untuk menyusup ke organisasi dan mencuri informasi sensitif, seringkali melalui email – merugikan bisnis rata-rata $1,8 juta per insiden. Dalam laporan tahun 2017, Cybersecurity Ventures memperkirakan bahwa serangan yang melibatkan Ransomware – yang mengancam untuk mencuri, memblokir, atau mempublikasikan data korban kecuali uang tebusan dibayarkan – akan menyebabkan kerugian sekitar $5 miliar pada tahun 2017, naik dari $325 juta pada tahun 2015.

Pendidikan tinggi memiliki tingkat serangan ransomware tertinggi di antara semua industri yang disurvei dalam laporan 2016 yang diterbitkan oleh BitSight (perusahaan manajemen risiko siber), dan tingkat tertinggi kedua dalam laporan BitSight 2017. Oleh karena itu, universitas bekerja sepanjang waktu untuk menopang pertahanan mereka terhadap potensi kerugian yang curam ini. Seperti yang dikatakan Kim Milford, direktur eksekutif Research and Education Networking Information Sharing and Analysis Center di Indiana University dalam sebuah artikel tahun 2016 yang ditulis oleh Center for Digital Education, universitas sekarang “terkunci dalam perlombaan senjata yang mahal” saat mereka mengeksplorasi cara-cara baru untuk baik memerangi serangan saat ini dan mencoba untuk tetap selangkah lebih maju dari serangan yang akan datang. Terlepas dari apakah serangan siber berhasil, Milford mengatakan, mereka mewakili masalah yang mahal dan selalu ada yang dipaksa untuk ditangani oleh universitas.

Mungkin bahkan lebih signifikan daripada potensi kerugian finansial, serangan siber menimbulkan ancaman besar bagi reputasi universitas dan keselamatan mahasiswanya.

Tetapi risiko yang ditimbulkan oleh serangan siber melampaui kerugian finansial bagi dunia pendidikan tinggi. Memang, perguruan tinggi dan universitas menyimpan sejumlah besar data sensitif, dari nomor jaminan sosial siswa hingga kekayaan intelektual yang berharga, yang, jika dicuri atau dikompromikan, dapat menyebabkan kerusakan signifikan jauh di luar tembok akademi. Mungkin bahkan lebih signifikan daripada potensi kerugian finansial yang disebutkan di atas, serangan siber merupakan ancaman besar bagi reputasi universitas dan keselamatan mahasiswanya.

Meskipun ancaman terus berkembang, perguruan tinggi dan universitas harus terus berinvestasi dalam bakat dan infrastruktur yang dibutuhkan untuk menghadapi tantangan keamanan siber di masa mendatang. Artikel ini selanjutnya akan menjelaskan pentingnya mengembangkan keahlian keamanan siber untuk institusi pendidikan tinggi dan menawarkan strategi untuk mengatasi tantangan ini. Dimulai dengan pemeriksaan mengapa perguruan tinggi dan universitas secara unik rentan terhadap serangan siber, kami akan berusaha memahami strategi yang digunakan penyerang untuk mengeksploitasi kerentanan ini dan sampai pada serangkaian rekomendasi yang dirancang untuk melengkapi perguruan tinggi dan universitas dengan lebih baik guna mengatasi ancaman siber di masa depan.

Mengapa Pendidikan Tinggi Rentan?

Sementara hampir setiap industri besar menghadapi tantangan keamanan siber yang signifikan, pendidikan tinggi sangat rentan karena sejumlah alasan utama.

Salah satunya berkaitan dengan budaya unik akademisi, yang membanggakan diri pada tingkat keterbukaan dan transparansi yang tidak dimiliki sebagian besar industri. Sebagaimana Fred Cate, direktur Pusat Penelitian Keamanan Siber Terapan Universitas Indiana, diartikulasikan dalam artikel UniversityBusiness 2013, perguruan tinggi dan universitas secara historis memfokuskan upaya untuk memastikan bahwa “fakultas dan siswa kami dan publik kami dan donor kami [dapat] terhubung dengan baik dengan mudah kepada kami.” Hal ini telah membuat jaringan komputer perguruan tinggi dan universitas, kata artikel itu, “terbuka dan mengundang seperti kampus mereka.”

Alasan lain berkaitan dengan sejarah – khususnya, berapa lama perguruan tinggi dan universitas online. Alex Heid, Chief Research Officer di SecurityScorecard (perusahaan manajemen risiko pihak ketiga) mengatakan dalam artikel EducationDIVE 2016 bahwa universitas selalu menjadi target utama serangan cyber sebagian besar karena “Universitas adalah salah satu tempat pertama yang memiliki akses internet, dan dengan akses internet Anda memiliki orang-orang yang mencoba melihat seberapa jauh itu bisa terjadi. ” Karena telah memiliki akses internet untuk waktu yang relatif lama, perguruan tinggi dan universitas telah lama menjadi sasaran yang terlihat, dan kelemahan mereka kemungkinan besar diketahui dan dipahami oleh para penyerang siber.

Penyerang siber menggunakan teknologi dan metode mutakhir untuk mengeksploitasi sistem universitas yang, dalam beberapa kasus, sangat ketinggalan zaman dan tidak tertandingi.

Karena perguruan tinggi dan universitas begitu awal dalam mengadopsi alat dan antarmuka digital (dan sebagai akibat dari masalah keuangan dan praktis lainnya), banyak institusi pendidikan tinggi masih mengandalkan sistem warisan yang sangat rentan terhadap serangan. “Banyak perguruan tinggi menggunakan hal-hal yang ditulis bertahun-tahun yang lalu,” kata Heid dalam artikel tersebut. Sederhananya, para penyerang siber menggunakan teknologi dan metode mutakhir untuk mengeksploitasi sistem universitas yang, dalam beberapa kasus, sangat ketinggalan zaman dan tak tertandingi.

Lebih khusus lagi, sistem TI universitas sering dicirikan oleh desentralisasi dan, dalam pandangan Heid, konstruksi serampangan yang dapat dengan mudah dieksploitasi oleh penyerang. Dalam posting blog 2017 untuk manajemen risiko data dan perusahaan perangkat lunak Code42, Ashley Jarosch mencatat bahwa meskipun mungkin masuk akal dari perspektif operasional untuk masing-masing departemen untuk beroperasi di bawah struktur TI mereka sendiri (departemen astrofisika universitas kemungkinan akan, tulisnya, memiliki perbedaan kebutuhan teknologi daripada departemen literatur universitas, misalnya), pengaturan sedikit demi sedikit semacam ini menciptakan kerentanan keamanan informasi yang jelas. “Di selusin (atau lusinan) departemen, ada kemungkinan besar setidaknya satu memiliki beberapa kombinasi perangkat usang dan OS yang belum ditambal, pemfilteran email dan AV yang tidak memadai, pencadangan data yang salah, atau pelatihan dan kebijakan pengguna yang tidak memadai,” tulis Jarosch.

Meskipun bukan masalah khusus untuk pendidikan tinggi, kekurangan bakat keamanan siber merupakan hambatan signifikan yang harus diatasi oleh perguruan tinggi dan universitas untuk mengatasi masalah yang disebutkan di atas. Sebuah studi baru-baru ini yang dilakukan oleh firma konsultan Frost & Sullivan memproyeksikan bahwa akan ada 1,8 juta pekerjaan keamanan siber yang tidak terisi pada tahun 2020, dan bahwa kekurangan bakat ini ada dalam skala global, dengan hampir 70 persen profesional secara global mengatakan ada terlalu sedikit pekerja keamanan siber di staf. . Dengan permintaan akan talenta keamanan siber yang jauh melebihi pasokan, perusahaan sering kali membayar mahal untuk keahlian keamanan siber. Hal ini kemungkinan menempatkan perguruan tinggi dan universitas pada kerugian yang serius ketika mencoba untuk menarik bakat tersebut menjauh dari pekerjaan sektor swasta bergaji tinggi di Alphabet, Facebook, dan sejenisnya.

Dengan pemahaman tentang alasan yang mendasari kerentanan keamanan siber pendidikan tinggi, sekarang kita dapat menjelajahi cara-cara di mana kerentanan ini dieksploitasi.

Bagaimana Penyerang Mengeksploitasi Kerentanan

Pelaku jahat menggunakan beragam taktik dan alat saat meluncurkan serangan siber. Dua dari metode yang paling umum diuraikan di bawah ini. Meskipun daftar ini sama sekali tidak lengkap, atau unik untuk perguruan tinggi dan universitas, daftar ini akan memberikan pemahaman yang lebih baik tentang bagaimana tepatnya peretas bertujuan untuk mengeksploitasi celah dalam keamanan siber dan terbukti berguna dalam mempertimbangkan cara terbaik untuk menghentikan serangan semacam itu di masa mendatang.

SQL Injections: Digambarkan oleh beberapa orang sebagai "bisa dibilang masalah paling parah yang dihadapi aplikasi web," SQL Injections (SQLi), dalam istilah sederhana, adalah serangan yang dirancang untuk melewati perlindungan kata sandi melalui eksploitasi database yang mendasari aplikasi tertentu. SQL (Standard Query Language) adalah bahasa yang mengelola dan berkomunikasi dengan database. Injeksi SQL bekerja melalui eksploitasi kelemahan dalam kode yang mendasari halaman input (seperti halaman login nama pengguna dan kata sandi, misalnya) dan memaksa database tertentu untuk mengembalikan informasi sensitif. Misalnya, ketika dihadapkan dengan halaman login nama pengguna dan kata sandi, penyerang dapat memasukkan ("menyuntikkan") sebagian kode SQL ke bagian kata sandi. Jika kode database yang mendasarinya rentan, kode SQL ini dapat memodifikasi database yang mendasarinya dan memaksa aplikasi yang dikontrol database untuk mengizinkan akses peretas.

Perguruan tinggi dan universitas memiliki banyak sekali aplikasi online yang dilindungi kata sandi, mulai dari laporan nilai siswa hingga informasi pekerjaan fakultas, yang secara teoritis dapat dibobol menggunakan SQL Injection. Salah satu serangan semacam itu terhadap pendidikan tinggi terjadi pada Februari 2017, ketika seorang peretas atau kelompok peretas Rusia menggunakan SQL Injection untuk mencuri data dari lusinan perguruan tinggi dan universitas AS, termasuk Cornell University dan New York University. Selama institusi pendidikan tinggi terus memiliki kelemahan yang tertulis ke dalam database yang mendasarinya, SQL Injection kemungkinan akan tetap umum dan terlalu mudah untuk digunakan oleh peretas.

Phishing: Seperti yang disebutkan di awal artikel ini, serangan phishing ditandai dengan email atau halaman web yang dirancang untuk menipu pengguna agar memasukkan data sensitif, seperti kata sandi atau informasi kartu kredit. Kantor Keamanan Informasi Universitas Princeton memberikan gambaran yang berguna tentang bagaimana serangan tersebut biasanya bermanifestasi:

“Biasanya, phisher mengirim pesan email ke sekelompok besar individu yang alamatnya dia ambil dari buku alamat dan situs web di internet. Pesan tersebut, biasanya dibuat dengan baik dan terlihat resmi, mungkin diklaim berasal dari lembaga keuangan, penyedia layanan, atau organisasi lain yang dikenal oleh penerima…Seringkali, penerima diminta untuk memberikan informasi dengan mengklik tautan situs web di email. Tetapi sementara tautan ke situs web mungkin terlihat sah, tautan yang ditampilkan belum tentu situs sebenarnya yang Anda kunjungi saat Anda mengekliknya.”

30 persen pengguna di industri pendidikan telah jatuh karena penipuan phishing yang menyamar sebagai komunikasi korporat, dua kali lipat tingkat populasi umum, pada tahun lalu.

Serangan phishing dapat memiliki berbagai tujuan akhir, mulai dari mencuri data pengguna hingga menginstal ransomware di komputer korban dan mengekstrak pembayaran finansial. Meskipun serangan ini mungkin tampak jelas dan mudah dihindari, penelitian telah menunjukkan bahwa sebagian besar bisnis telah menjadi korban penipuan phishing. Industri pendidikan telah terbukti sangat rentan, karena Wombat Security – sebuah perusahaan perangkat lunak yang didedikasikan untuk membantu perusahaan memerangi serangan phishing – menemukan dalam laporan tahun 2017 bahwa 30 persen pengguna di industri pendidikan telah mengklik penipuan phishing yang menyamar sebagai komunikasi korporat, dua kali lipat tingkat populasi umum, dalam satu tahun terakhir.

Sementara taktik yang disebutkan di atas terbukti efektif, kita akan melihat bahwa mereka dapat dicegah.

Cara Mencegah Serangan: Kode Lebih Baik dan Kewaspadaan Lebih Besar

Ada sejumlah strategi untuk memerangi serangan siber yang dijelaskan di atas. Beberapa melibatkan strategi yang harus diterapkan oleh profesional TI pendidikan tinggi, sementara yang lain melibatkan strategi yang harus diterapkan oleh semua orang di komunitas pendidikan tinggi, termasuk pengguna akhir:

Menghentikan serangan SQLi melalui Pernyataan yang Disiapkan, Prosedur Tersimpan, dan Validasi Input

Banyak yang telah ditulis tentang bagaimana mencegah serangan SQL Injection, dan konsensusnya adalah bahwa melakukannya sebenarnya tidak terlalu sulit. Proyek Keamanan Aplikasi Web Terbuka (OWASP) memberikan gambaran umum tentang cara menghindari serangan SQLi. OWASP mengutip tiga strategi utama untuk melakukannya:

Pernyataan yang Disiapkan: Perguruan tinggi dan universitas harus membangun basis data yang mendasarinya dengan pernyataan yang disiapkan. Seperti yang dikatakan OWASP, "Pernyataan yang disiapkan memastikan bahwa penyerang tidak dapat mengubah maksud kueri, bahkan jika perintah SQL dimasukkan oleh penyerang." Pada dasarnya, pernyataan yang disiapkan dapat membuat perintah SQL yang menyamar sebagai data input pengguna (nama pengguna dan kata sandi) tidak berdaya.

Prosedur Tersimpan: Menurut OWASP, prosedur tersimpan dapat memiliki efek yang sama dengan pernyataan yang disiapkan, perbedaan utamanya adalah bahwa "kode SQL untuk prosedur tersimpan didefinisikan dan disimpan dalam database itu sendiri, dan kemudian dipanggil dari aplikasi." Seperti yang telah ditulis oleh OWASP dan lainnya, prosedur tersimpan mungkin tidak selalu sesuai untuk pertahanan terhadap serangan SQLi, tetapi dapat menjadi pilihan yang layak untuk perguruan tinggi dan universitas jika ditulis dan diimplementasikan dengan benar.

Validasi Input: Serangan injeksi SQL mengeksploitasi aplikasi dan database yang tidak melakukan referensi silang dan memvalidasi data yang dimasukkan. Oleh karena itu, langkah logis untuk mencegah serangan ini adalah memastikan bahwa database yang sedang dibangun memerlukan validasi input. Microsoft juga mengutip validasi input sebagai teknik utama untuk menghindari serangan SQLi dalam model pengembangan web ASP.net.

Mencegah Phishing melalui Pelatihan dan Meningkatkan Kecurigaan

Tidak seperti mencegah serangan SQLi, yang dapat dilakukan melalui perbaikan teknis internal, mencegah penipuan phishing sangat bergantung pada pengguna akhir – fakultas, staf, dan mahasiswa. Ada beberapa langkah yang harus diambil perguruan tinggi dan universitas untuk memastikan bahwa semua pengguna akhir tetap waspada:

Filter email: Sebagai langkah awal yang sederhana, perguruan tinggi dan universitas harus menyiapkan filter email yang mengirim email non-universitas yang mencurigakan ke folder spam pengguna. Meskipun ini jauh dari perbaikan yang sangat mudah, ini adalah langkah pertama yang penting yang dapat mencegah email berbahaya mencapai target mereka.

Kampanye Pelatihan dan Kesadaran: Perguruan tinggi dan Universitas harus mewajibkan pengguna akhir untuk mengikuti pelatihan yang mencakup apa itu phishing dan bagaimana mengenalinya. Ada perusahaan yang didedikasikan untuk menyediakan layanan ini, dan institusi pendidikan tinggi harus bersedia menginvestasikan waktu dan sumber daya yang diperlukan untuk mendidik fakultas dan staf mereka dengan benar. Seperti yang ditunjukkan oleh sebuah artikel di Majalah Infosecurity, pelatihan ini harus diulang secara relatif teratur dan harus memaparkan pengguna pada beragam serangan phishing. Memberikan contoh serangan nyata dan membuat gudang untuk serangan semacam itu, seperti yang dilakukan Universitas Princeton dengan "Phish Bowl" juga dapat meningkatkan kesadaran.

“Mendidik pelanggan kami dalam hal komputasi yang aman membawa salah satu pengembalian terbesar.”

Sasi Pillay, Wakil Presiden Layanan Teknologi Informasi & Chief Information Officer di Washington State University, mengatakan bahwa dia dan timnya mengadakan bulan kesadaran keamanan siber tahunan dan telah berupaya menciptakan “budaya kesadaran siber” umum untuk memerangi phishing — nomor universitas satu masalah keamanan siber. “Mendidik pelanggan kami dalam hal komputasi yang aman membawa salah satu pengembalian terbesar,” kata Pillay.

Meskipun strategi yang tercantum di atas tidak komprehensif dan mungkin tidak mencegah setiap serangan, mereka mewakili langkah-langkah yang relatif sederhana yang dapat menghasilkan manfaat yang signifikan dalam perjuangan pendidikan tinggi melawan calon ancaman dunia maya.

Kunci Masa Depan yang Aman

Memahami kerentanan, cara kerja serangan siber yang umum, dan cara mencegah serangan semacam itu sangat penting untuk menciptakan masa depan yang lebih aman – dan stabil secara finansial – untuk pendidikan tinggi. Namun ancaman dunia maya terus berkembang, dan tidak ada jaminan bahwa ancaman yang dihadapi saat ini (dan strategi untuk menguranginya) akan serupa dengan ancaman yang akan datang.

Bagi Sasi Pillay, solusi jangka panjang untuk keamanan siber harus mencakup perubahan mendasar pada cara perangkat lunak ditulis dan dirancang.

“Mimpi saya, visi jangka panjang adalah untuk dapat melakukan komputasi yang aman di lingkungan yang terganggu,” kata Pillay. “Apa yang perlu kita lakukan adalah secara signifikan mengubah cara kita menulis perangkat lunak hari ini. Pengembangan perangkat lunak perlu diperkuat sehingga orang-orang mempertimbangkan risiko dan eksposur keamanan.”

Kunci lain untuk menghadapi tantangan keamanan siber di masa depan, yang disebutkan secara singkat dalam artikel ini, adalah mempekerjakan tim ahli yang kuat dan stabil di lapangan. Ini, tentu saja, lebih mudah diucapkan daripada dilakukan, karena anggaran universitas terbatas dan bakat langka. Namun, ada beberapa cara untuk mengatasi masalah ini, termasuk mempekerjakan pekerja lepas ahli dan mereka yang bersedia bekerja dari jarak jauh.

Meskipun tantangan keamanan siber yang dihadapi pendidikan tinggi sangat besar dan biaya untuk menyelesaikannya sangat tinggi, potensi risiko keuangan dan reputasi yang datang dengan pertahanan yang tidak memadai kemungkinan akan lebih tinggi. Institusi di seluruh lanskap pendidikan tinggi mungkin menemukan bahwa solusi keamanan siber yang efektif pada akhirnya dapat membayar sendiri.