Cyberbezpieczeństwo w szkolnictwie wyższym: problemy i rozwiązania

Uczelnie wyższe stają w obliczu ciągłego zalewu cyberataków. Po incydencie w 2015 r. Kevin Morooney – były zastępca rektora ds. technologii informatycznych na Uniwersytecie Stanowym w Pensylwanii – powiedział The New York Times, że stan Penn doświadczał średnio 20 milionów ataków dziennie, co jest kwotą „typową dla uniwersytetu badawczego”.

Poczynając od niewielkiej próbki skutków finansowych, jakie mogą mieć takie zagrożenia, firma LIFARS zajmująca się kryminalistyką cyfrową i cyberbezpieczeństwem oszacowała w raporcie z 2016 r., że ataki typu spear phishing – mające na celu infiltrację organizacji i kradzież poufnych informacji, często za pośrednictwem poczty e-mail – kosztują firmy średnio 1,8 miliona dolarów za incydent. W raporcie z 2017 r. Cybersecurity Ventures przewidział, że ataki z użyciem oprogramowania ransomware – które grożą kradzieżą, blokowaniem lub publikacją danych ofiary, o ile nie zostanie zapłacony okup – spowodują szkody w wysokości około 5 miliardów dolarów w 2017 r., w porównaniu z 325 milionami dolarów w 2015 r.

Szkolnictwo wyższe miało najwyższy wskaźnik ataków ransomware spośród wszystkich branż badanych w raporcie z 2016 r. opublikowanym przez BitSight (firmę zajmującą się zarządzaniem ryzykiem cybernetycznym) i drugi najwyższy wskaźnik w raporcie BitSight z 2017 r. W związku z tym uniwersytety pracują przez całą dobę, aby wzmocnić swoją obronę przed tymi stromymi potencjalnymi stratami. Jak powiedział Kim Milford, dyrektor wykonawczy Research and Education Networking Information Sharing and Analysis Center na Indiana University w artykule napisanym przez Centre for Digital Education z 2016 roku, uniwersytety są teraz „uwięzione w kosztownym wyścigu zbrojeń”, ponieważ odkrywają nowe sposoby zarówno zwalczanie obecnych ataków, jak i staranie się być o krok przed atakami, które jeszcze nadejdą. Milford twierdzi, że niezależnie od tego, czy cyberataki się powiodą, stanowią one kosztowny i stale obecny problem, którym uniwersytety są zmuszone się zająć.

Cyberataki, być może nawet bardziej znaczące niż potencjalne straty finansowe, stanowią poważne zagrożenie dla reputacji uczelni i bezpieczeństwa jej studentów.

Jednak zagrożenia związane z cyberatakami wykraczają poza straty finansowe świata wyższych uczelni. Rzeczywiście, uczelnie i uniwersytety przechowują ogromną ilość poufnych danych, od numerów ubezpieczenia społecznego studentów po cenną własność intelektualną, które w przypadku kradzieży lub narażenia na szwank mogą spowodować znaczne szkody daleko poza murami akademii. Cyberataki, być może nawet bardziej znaczące niż wspomniane powyżej potencjalne straty finansowe, stanowią poważne zagrożenie dla reputacji uczelni i bezpieczeństwa jej studentów.

Chociaż zagrożenia stale ewoluują, szkoły wyższe i uniwersytety muszą nadal inwestować zarówno w talenty, jak i infrastrukturę niezbędną do sprostania wyzwaniom związanym z cyberbezpieczeństwem w przyszłości. W tym artykule dokładniej wyjaśnimy znaczenie rozwijania wiedzy specjalistycznej w zakresie cyberbezpieczeństwa dla instytucji szkolnictwa wyższego i zaproponujemy strategie radzenia sobie z tymi wyzwaniami. Rozpoczynając od zbadania, dlaczego uczelnie wyższe i uniwersytety są wyjątkowo podatne na cyberataki, postaramy się zrozumieć strategie wykorzystywane przez osoby atakujące w celu wykorzystania tych luk w zabezpieczeniach i uzyskać zestaw zaleceń, które mają na celu lepsze wyposażenie uczelni i uniwersytetów w radzenie sobie z cyberzagrożeniami w przyszłości.

Dlaczego szkolnictwo wyższe jest zagrożone?

Podczas gdy praktycznie każda duża branża stoi przed poważnymi wyzwaniami związanymi z cyberbezpieczeństwem, szkolnictwo wyższe jest szczególnie narażone z kilku kluczowych powodów.

Jest to związane z wyjątkową kulturą akademicką, która szczyci się takim stopniem otwartości i przejrzystości, jakich brakuje w większości branż. Jak stwierdził Fred Cate, dyrektor Indiana University Center for Applied Cybersecurity Research w artykule na UniversityBusiness z 2013 r., uczelnie i uniwersytety historycznie koncentrowały się na upewnieniu się, że „nasz wydział i nasi studenci, nasi społeczni i nasi darczyńcy [mogą] połączyć łatwo nam.” W artykule czytamy, że dzięki temu sieci komputerowe na uczelniach i uniwersytetach są „tak samo otwarte i zachęcające jak ich kampusy”.

Kolejny powód dotyczy historii – a konkretnie tego, jak długo uczelnie i uniwersytety są online. Alex Heid, dyrektor ds. badań w SecurityScorecard (zewnętrznej firmie zarządzającej ryzykiem) powiedział w artykule EducationDIVE z 2016 r., że uniwersytety zawsze były głównym celem cyberataków w dużej mierze, ponieważ „uniwersytety były jednymi z pierwszych miejsc, które miały dostęp do Internetu, masz dostęp do internetu, ludzie próbują sprawdzić, jak daleko mogą się posunąć”. Ze względu na stosunkowo długi czas posiadania dostępu do Internetu, uczelnie wyższe i uniwersytety od dawna są widocznymi celami, a ich słabości są prawdopodobnie bardzo dobrze znane i rozumiane przez cyberataków.

Cyberatakujący wykorzystują najnowocześniejsze technologie i metody do wykorzystywania systemów uniwersyteckich, które w niektórych przypadkach są żałośnie przestarzałe i niedopasowane.

Ponieważ uczelnie i uniwersytety tak wcześnie przyjmowały cyfrowe narzędzia i interfejsy (oraz w wyniku problemów finansowych i innych praktycznych problemów), wiele instytucji szkolnictwa wyższego nadal polega na starszych systemach, które są szczególnie podatne na ataki. „Wiele uczelni używa materiałów, które zostały napisane lata temu” – powiedział Heid we wspomnianym artykule. Mówiąc prościej, cyberprzestępcy wykorzystują najnowocześniejsze technologie i metody do wykorzystywania systemów uniwersyteckich, które w niektórych przypadkach są żałośnie przestarzałe i niedopasowane.

Mówiąc dokładniej, uniwersyteckie systemy informatyczne często charakteryzują się zdecentralizowaną i, zdaniem Heida, przypadkową konstrukcją, którą atakujący mogą łatwo wykorzystać. W poście na blogu z 2017 r. dla firmy Code42 zajmującej się zarządzaniem ryzykiem danych i oprogramowaniem, Ashley Jarosch zauważa, że ​​chociaż z operacyjnego punktu widzenia może mieć sens działanie poszczególnych wydziałów we własnych strukturach IT (wydział astrofizyki uniwersytetu prawdopodobnie będzie miał inne potrzeby technologiczne niż na przykład wydział literatury uniwersyteckiej), tego rodzaju fragmentaryczna konfiguracja stwarza wyraźne luki w zabezpieczeniach informacji. „W kilkunastu (lub kilkudziesięciu) działach istnieje duża szansa, że ​​przynajmniej jeden ma jakąś kombinację przestarzałych urządzeń i niezałatanego systemu operacyjnego, nieodpowiedniego filtrowania poczty e-mail i AV, wadliwego tworzenia kopii zapasowych danych lub niewystarczającego szkolenia użytkowników i zasad”, pisze Jarosch.

Chociaż nie jest to problem specyficzny dla szkolnictwa wyższego, niedobór talentów w zakresie cyberbezpieczeństwa stanowi poważną przeszkodę, którą uczelnie i uniwersytety muszą pokonać, aby rozwiązać wymienione powyżej problemy. Niedawne badanie przeprowadzone przez firmę konsultingową Frost & Sullivan przewiduje, że do 2020 r. będzie 1,8 miliona nieobsadzonych miejsc pracy w obszarze cyberbezpieczeństwa i że ten niedobór talentów istnieje w skali globalnej, a prawie 70 procent specjalistów na całym świecie twierdzi, że w personelu jest zbyt mało pracowników ds. cyberbezpieczeństwa. . Ponieważ zapotrzebowanie na talenty w dziedzinie cyberbezpieczeństwa znacznie przewyższa podaż, firmy często płacą najwyższe pieniądze za ekspertyzę w dziedzinie cyberbezpieczeństwa. To prawdopodobnie stawia uczelnie i uniwersytety w poważnej niekorzystnej sytuacji, gdy próbuje się odciągnąć taki talent od dobrze płatnych miejsc pracy w sektorze prywatnym w Alphabet, Facebook i tym podobnych.

Dzięki zrozumieniu przyczyn leżących u podstaw luk w szkolnictwie wyższym w zakresie cyberbezpieczeństwa możemy teraz zbadać sposoby wykorzystywania tych luk.

Jak atakujący wykorzystują luki w zabezpieczeniach

Nikczemni aktorzy stosują różnorodne taktyki i narzędzia podczas przeprowadzania cyberataków. Poniżej przedstawiono dwie najpopularniejsze takie metody. Chociaż ta lista w żadnym wypadku nie jest wyczerpująca ani unikalna dla szkół wyższych i uniwersytetów, zapewni lepsze zrozumienie tego, w jaki sposób hakerzy dążą do wykorzystania luk w cyberbezpieczeństwie i okażą się przydatne w rozważaniu, jak najlepiej powstrzymać takie ataki.

SQL Injections: Określane przez niektórych jako „prawdopodobnie najpoważniejszy problem, z jakim borykają się aplikacje internetowe”, SQL Injections (SQLi) to, w uproszczeniu, ataki mające na celu ominięcie ochrony hasłem poprzez wykorzystanie baz danych, na których opierają się niektóre aplikacje. SQL (Standard Query Language) to język, który zarządza bazami danych i komunikuje się z nimi. SQL Injections działa poprzez wykorzystywanie słabych punktów w kodzie leżących u podstaw stron wejściowych (takich jak na przykład strony logowania nazwy użytkownika i hasła) i zmuszanie danej bazy danych do zwracania poufnych informacji. Na przykład, w obliczu strony logowania z nazwą użytkownika i hasłem, atakujący może wprowadzić („wstrzyknąć”) część kodu SQL do sekcji hasła. Jeśli kod bazowej bazy danych jest zagrożony, ten kod SQL może zmodyfikować bazową bazę danych i wymusić na aplikacji kontrolowanej przez bazę danych, aby zezwoliła hakerowi na dostęp.

Uczelnie i uniwersytety mają mnóstwo aplikacji internetowych chronionych hasłem, od raportów z ocen uczniów po informacje o zatrudnieniu na wydziałach, które teoretycznie można by włamać do programu SQL Injections. Jeden z takich ataków na szkolnictwo wyższe miał miejsce w lutym 2017 r., kiedy rosyjska grupa hakerów lub hakerów użyła programu SQL Injection do kradzieży danych z kilkudziesięciu amerykańskich uczelni, w tym z Cornell University i New York University. Tak długo, jak instytucje szkolnictwa wyższego będą miały słabości zapisane w bazach danych, SQL Injection prawdopodobnie pozostanie powszechny i ​​będzie zbyt łatwy do zastosowania przez hakerów.

Phishing: Jak wspomniano na początku tego artykułu, ataki phishingowe charakteryzują się wiadomościami e-mail lub stronami internetowymi, które mają na celu nakłonienie użytkowników do wprowadzenia poufnych danych, takich jak hasła lub informacje o karcie kredytowej. Biuro Bezpieczeństwa Informacji Uniwersytetu Princeton zapewnia przydatny przegląd tego, jak zwykle manifestują się takie ataki:

„Zazwyczaj phisher wysyła wiadomość e-mail do dużej grupy osób, których adresy przechwycił z książek adresowych i witryn internetowych. Wiadomość, zwykle dobrze przygotowana i wyglądająca na oficjalną, może twierdzić, że pochodzi od instytucji finansowej, usługodawcy lub innej organizacji znanej odbiorcy… Często odbiorca jest proszony o podanie informacji, klikając łącze do strony internetowej w e-mail. Ale chociaż link do witryny może wyglądać na legalny, wyświetlany link niekoniecznie musi być faktycznie odwiedzaną witryną po kliknięciu”.

30 procent użytkowników w branży edukacyjnej padło ofiarą oszustw phishingowych podszywających się pod komunikację korporacyjną, czyli dwukrotnie więcej niż w populacji ogólnej w ciągu ostatniego roku.

Ataki phishingowe mogą mieć szeroki zakres ostatecznych celów, od kradzieży danych użytkownika po instalowanie oprogramowania ransomware na komputerze ofiary i pobieranie płatności finansowych. Chociaż ataki te mogą wydawać się oczywiste i łatwe do uniknięcia, badania wykazały, że znaczna większość firm padła ofiarą oszustw phishingowych. Branża edukacyjna okazała się szczególnie podatna, ponieważ Wombat Security – firma programistyczna zajmująca się pomaganiem firmom w zwalczaniu ataków phishingowych – stwierdziła w raporcie z 2017 r., że 30 procent użytkowników w branży edukacyjnej kliknęło oszustwa phishingowe podszywające się pod komunikację korporacyjną, dwukrotnie więcej wskaźnik ogółu ludności w ostatnim roku.

Chociaż powyższe taktyki okazały się skuteczne, zobaczymy, że można im zapobiec.

Jak zapobiegać atakom: lepszy kod i większa czujność

Istnieje szereg strategii zwalczania opisanych powyżej cyberataków. Niektóre obejmują strategie, które muszą sami zastosować specjaliści IT w szkolnictwie wyższym, podczas gdy inne obejmują strategie, które wszyscy członkowie społeczności szkolnictwa wyższego, w tym użytkownicy końcowi, muszą wdrożyć:

Powstrzymywanie ataków SQLi za pomocą przygotowanych instrukcji, procedur składowanych i walidacji danych wejściowych

Wiele napisano o tym, jak zapobiegać atakom SQL Injection, a konsensus jest taki, że może to nie być szczególnie trudne. Projekt Open Web Application Security Project (OWASP) zawiera przegląd sposobów unikania ataków SQLi. OWASP przytacza w tym celu trzy podstawowe strategie:

Przygotowane oświadczenia: Uczelnie i uniwersytety powinny budować swoje bazy danych na podstawie przygotowanych oświadczeń. Jak mówi OWASP: „Przygotowane instrukcje zapewniają, że atakujący nie będzie w stanie zmienić intencji zapytania, nawet jeśli napastnik wstawi polecenia SQL”. Zasadniczo przygotowane instrukcje mogą sprawić, że polecenia SQL udające dane wejściowe użytkownika (nazwy użytkowników i hasła) będą bezsilne.

Procedury składowane: Według OWASP procedury składowane mogą mieć taki sam efekt jak przygotowane instrukcje, przy czym podstawowa różnica polega na tym, że „kod SQL dla procedury składowanej jest zdefiniowany i przechowywany w samej bazie danych, a następnie wywoływany z aplikacji”. Jak napisali OWASP i inni, procedury składowane mogą nie zawsze być odpowiednie do obrony przed atakami SQLi, ale stanowią realną opcję dla szkół wyższych i uniwersytetów, gdy są prawidłowo napisane i zaimplementowane.

Walidacja danych wejściowych: Ataki typu SQL injection wykorzystują aplikacje i bazy danych, które nie odwołują się i nie weryfikują wprowadzonych danych. Logicznym krokiem w kierunku zapobiegania tym atakom jest zatem upewnienie się, że tworzona baza danych wymaga weryfikacji danych wejściowych. Microsoft wymienia również sprawdzanie poprawności danych wejściowych jako kluczową technikę unikania ataków SQLi w ramach swojego modelu tworzenia stron internetowych ASP.net.

Zapobieganie wyłudzaniu informacji poprzez szkolenie i zwiększone podejrzenia

W przeciwieństwie do zapobiegania atakom SQLi, które można przeprowadzić za pomocą wewnętrznych poprawek technicznych, zapobieganie oszustwom związanym z wyłudzaniem informacji opiera się w dużej mierze na użytkownikach końcowych — wykładowcach, pracownikach i studentach. Istnieje kilka kroków, które uczelnie i uniwersytety powinny podjąć, aby zapewnić czujność wszystkich użytkowników końcowych:

Filtry poczty e-mail: W ramach początkowego, prostego kroku uczelnie i uniwersytety powinny skonfigurować filtry poczty e-mail, które wysyłają podejrzane wiadomości e-mail spoza uczelni do folderu spamu użytkownika. Chociaż nie jest to niezawodne rozwiązanie, jest to ważny pierwszy krok, który może zapobiec dotarciu złośliwych wiadomości e-mail do swoich celów.

Kampanie szkoleniowe i uświadamiające: uczelnie wyższe i uniwersytety powinny wymagać od użytkowników końcowych przejścia szkolenia, które obejmuje, czym jest phishing i jak go rozpoznać. Istnieją firmy zajmujące się świadczeniem tej usługi, a uczelnie muszą chcieć zainwestować czas i środki niezbędne do właściwego kształcenia swoich wydziałów i pracowników. Jak wskazuje artykuł w Infosecurity Magazine, szkolenie to powinno być powtarzane stosunkowo regularnie i powinno narażać użytkowników na różnorodny zakres ataków phishingowych. Dostarczanie przykładów prawdziwych ataków i tworzenie repozytorium takich ataków, tak jak zrobił to Uniwersytet Princeton ze swoją „Phish Bowl”, może również zwiększyć świadomość.

„Edukacja naszych klientów w zakresie bezpiecznego korzystania z komputera przynosi jeden z największych zwrotów”.

Sasi Pillay, wiceprezes ds. usług informatycznych i dyrektor ds. informacji na Washington State University, mówi, że on i jego zespół organizują coroczny miesiąc świadomości cyberbezpieczeństwa i starają się stworzyć ogólną „kulturę świadomości cybernetycznej” w celu zwalczania phishingu — numer uniwersytetu jeden problem z cyberbezpieczeństwem. „Edukacja naszych klientów w zakresie bezpiecznego korzystania z komputera przynosi jeden z największych zwrotów”, mówi Pillay.

Chociaż strategie wymienione powyżej nie są kompleksowe i mogą nie zapobiegać każdemu atakowi, stanowią stosunkowo proste kroki, które mogą przynieść znaczące korzyści w walce szkolnictwa wyższego z potencjalnymi zagrożeniami cybernetycznymi.

Klucze do bezpiecznej przyszłości

Zrozumienie luk w zabezpieczeniach, sposobu działania powszechnych cyberataków i sposobów zapobiegania takim atakom ma podstawowe znaczenie dla stworzenia bezpieczniejszej – i stabilnej finansowo – przyszłości szkolnictwa wyższego. Jednak cyberzagrożenia nieustannie ewoluują i nie ma gwarancji, że obecne zagrożenia (oraz strategie ich łagodzenia) będą przypominać te, które będą miały miejsce w przyszłości.

Dla Sasi Pillay długoterminowe rozwiązanie w zakresie bezpieczeństwa cybernetycznego musi obejmować fundamentalne zmiany w sposobie pisania i projektowania oprogramowania.

„Moim marzeniem, długoterminową wizją jest możliwość bezpiecznego przetwarzania danych w zagrożonym środowisku” — mówi Pillay. „To, co musimy zrobić, to znacząco zmienić sposób, w jaki dzisiaj piszemy oprogramowanie. Rozwój oprogramowania musi zostać wzmocniony, aby ludzie brali pod uwagę zagrożenia bezpieczeństwa i narażenia”.

Innym kluczem do sprostania przyszłym wyzwaniom związanym z cyberbezpieczeństwem, omówionym pokrótce w tym artykule, jest zatrudnienie solidnego, stabilnego zespołu ekspertów w tej dziedzinie. Oczywiście łatwiej to powiedzieć niż zrobić, ponieważ budżety uczelni są napięte, a talenty ograniczone. Mimo to istnieje wiele sposobów na obejście tego problemu, w tym zatrudnianie doświadczonych freelancerów i tych, którzy chcą pracować zdalnie.

Chociaż wyzwania związane z cyberbezpieczeństwem stojące przed szkolnictwem wyższym są ogromne, a koszty ich rozwiązania są wysokie, potencjalne zagrożenia finansowe i reputacyjne związane z niewystarczającą ochroną są prawdopodobnie jeszcze wyższe. Instytucje w całym krajobrazie szkolnictwa wyższego mogą uznać, że skuteczne rozwiązania w zakresie cyberbezpieczeństwa mogą się ostatecznie zwrócić.