Cibersegurança no Ensino Superior: Problemas e Soluções
Publicados: 2022-03-11As instituições de ensino superior enfrentam um dilúvio constante de ataques cibernéticos. Após um incidente em 2015, Kevin Morooney – ex-vice-reitor de tecnologia da informação da Pennsylvania State University – disse ao The New York Times que a Penn State enfrentou uma média de 20 milhões de ataques por dia, uma quantidade “típica para uma universidade de pesquisa”.
Começando com uma pequena amostra dos efeitos financeiros que essas ameaças podem ter, a empresa forense digital e segurança cibernética LIFARS estimou em um relatório de 2016 que os ataques de Spear Phishing – projetados para se infiltrar em uma organização e roubar informações confidenciais, geralmente por e-mail – custam às empresas uma média de US$ 1,8 milhão por incidente. Em um relatório de 2017, a Cybersecurity Ventures previu que ataques envolvendo Ransomware – que ameaçam roubar, bloquear ou publicar os dados de uma vítima a menos que um resgate seja pago – causariam cerca de US$ 5 bilhões em danos em 2017, acima dos US$ 325 milhões em 2015.
O ensino superior teve a maior taxa de ataques de ransomware entre todos os setores pesquisados em um relatório de 2016 publicado pela BitSight (uma empresa de gerenciamento de risco cibernético) e a segunda maior taxa no relatório de 2017 da BitSight. Assim, as universidades estão trabalhando dia e noite para reforçar suas defesas contra essas perdas potenciais acentuadas. Como disse Kim Milford, diretor executivo do Research and Education Networking Information Sharing and Analysis Center da Universidade de Indiana, em um artigo de 2016 escrito pelo Center for Digital Education, as universidades agora estão “presas a uma cara corrida armamentista” à medida que exploram novas maneiras de tanto combatendo os ataques atuais quanto tentando ficar um passo à frente dos ataques que ainda estão por vir. Independentemente de os ataques cibernéticos serem bem-sucedidos, diz Milford, eles representam um problema caro e sempre presente que as universidades são forçadas a resolver.
Talvez ainda mais significativos do que possíveis perdas financeiras, os ataques cibernéticos representam uma grave ameaça à reputação de uma universidade e à segurança de seus alunos.
Mas os riscos apresentados pelos ataques cibernéticos vão além das perdas financeiras para o mundo do ensino superior. De fato, faculdades e universidades abrigam um grande volume de dados confidenciais, desde números de previdência social de alunos até propriedades intelectuais valiosas, que, se roubados ou comprometidos, podem causar danos significativos muito além dos muros da academia. Talvez ainda mais significativo do que as perdas financeiras potenciais acima mencionadas, os ataques cibernéticos representam uma grave ameaça à reputação de uma universidade e à segurança de seus alunos.
Embora as ameaças estejam em constante evolução, as faculdades e universidades devem continuar a investir no talento e na infraestrutura necessários para enfrentar os desafios de segurança cibernética no futuro. Este artigo esclarecerá ainda mais a importância de desenvolver conhecimentos de segurança cibernética para instituições de ensino superior e oferecer estratégias para enfrentar esses desafios. Começando com um exame de por que faculdades e universidades são exclusivamente vulneráveis a ataques cibernéticos, buscaremos entender as estratégias que os invasores usam para explorar essas vulnerabilidades e chegar a um conjunto de recomendações projetadas para melhor equipar faculdades e universidades para lidar com ameaças cibernéticas no futuro.
Por que o ensino superior é vulnerável?
Embora praticamente todos os principais setores enfrentem desafios significativos de segurança cibernética, o ensino superior é particularmente vulnerável por vários motivos principais.
Um tem a ver com a cultura única da academia, que se orgulha de um grau de abertura e transparência que falta à maioria das indústrias. Como Fred Cate, diretor do Indiana University Center for Applied Cybersecurity Research, articulou em um artigo da UniversityBusiness de 2013, faculdades e universidades têm historicamente focado esforços para garantir que “nossos professores e nossos alunos e nosso público e nossos doadores [podem] se conectar facilmente para nós.” Isso tornou as redes de computadores de faculdades e universidades, diz o artigo, “tão abertas e convidativas quanto seus campi”.
Outra razão está relacionada à história – especificamente, há quanto tempo as faculdades e universidades estão online. Alex Heid, diretor de pesquisa da SecurityScorecard (uma empresa terceirizada de gerenciamento de risco) disse em um artigo da EducationDIVE de 2016 que as universidades sempre foram os principais alvos de ataques cibernéticos em grande parte porque “as universidades foram um dos primeiros lugares que tiveram acesso à Internet e com acesso à internet você tem pessoas tentando ver até onde isso pode ir.” Em virtude de terem acesso à Internet por um tempo relativamente longo, faculdades e universidades têm sido alvos visíveis há muito tempo, e suas fraquezas são, portanto, provavelmente muito conhecidas e compreendidas pelos ciberataques.
Os ciberataques usam tecnologias e métodos de ponta para explorar sistemas universitários que são, em alguns casos, lamentavelmente desatualizados e superados.
Como as faculdades e universidades foram tão precoces na adoção de ferramentas e interfaces digitais (e como resultado de preocupações financeiras e outras questões práticas), muitas instituições de ensino superior ainda dependem de sistemas legados que são particularmente vulneráveis a ataques. “Muitas das faculdades usam coisas que foram escritas anos atrás”, disse Heid no artigo mencionado. Simplificando, os ciberataques usam tecnologias e métodos de ponta para explorar sistemas universitários que são, em alguns casos, lamentavelmente desatualizados e superados.
Mais especificamente, os sistemas de TI universitários são frequentemente caracterizados por uma construção descentralizada e, na visão de Heid, desordenada, que os invasores podem explorar facilmente. Em uma postagem de blog de 2017 para a empresa de software e gerenciamento de risco de dados Code42, Ashley Jarosch observa que, embora possa fazer sentido do ponto de vista operacional que departamentos individuais operem sob suas próprias estruturas de TI (o departamento de astrofísica de uma universidade provavelmente terá, ela escreve, diferentes necessidades tecnológicas do que o departamento de literatura de uma universidade, por exemplo), esse tipo de configuração fragmentada cria vulnerabilidades claras de segurança da informação. “Em uma dúzia (ou dezenas de) departamentos, há uma boa chance de pelo menos um ter alguma combinação de dispositivos desatualizados e sistema operacional sem patches, filtragem de e-mail e AV inadequados, backup de dados defeituoso ou treinamento e política de usuário insuficientes”, escreve Jarosch.
Embora não seja um problema específico do ensino superior, a escassez de talentos em segurança cibernética representa um obstáculo significativo que faculdades e universidades devem superar para resolver os problemas mencionados acima. Um estudo recente realizado pela empresa de consultoria Frost & Sullivan projeta que haverá 1,8 milhão de empregos de segurança cibernética não preenchidos até 2020 e que essa escassez de talentos existe em escala global, com quase 70% dos profissionais em todo o mundo dizendo que há muito poucos trabalhadores de segurança cibernética na equipe . Com a demanda por talentos em segurança cibernética superando em muito a oferta, as empresas geralmente pagam caro por experiência em segurança cibernética. Isso provavelmente coloca faculdades e universidades em séria desvantagem ao tentar atrair esse talento para longe de empregos bem remunerados no setor privado na Alphabet, Facebook e similares.
Com uma compreensão das razões subjacentes às vulnerabilidades de segurança cibernética do ensino superior, agora podemos explorar as maneiras pelas quais essas vulnerabilidades são exploradas.
Como os invasores exploram as vulnerabilidades
Atores nefastos empregam uma gama diversificada de táticas e ferramentas ao lançar ataques cibernéticos. Dois dos métodos mais comuns são descritos abaixo. Embora essa lista não seja exaustiva nem exclusiva de faculdades e universidades, ela fornecerá uma maior compreensão de exatamente como os hackers pretendem explorar as lacunas na segurança cibernética e se mostrará útil para considerar a melhor forma de impedir esses ataques no futuro.
SQL Injections: Descrito por alguns como “indiscutivelmente o problema mais grave que os aplicativos da Web enfrentam”, SQL Injections (SQLi) são, em termos simples, ataques projetados para contornar as proteções de senha por meio da exploração dos bancos de dados subjacentes a determinados aplicativos. SQL (Standard Query Language) é uma linguagem que gerencia e se comunica com bancos de dados. As injeções de SQL funcionam explorando pontos fracos no código subjacente às páginas de entrada (como páginas de login de nome de usuário e senha, por exemplo) e forçando um determinado banco de dados a retornar informações confidenciais. Por exemplo, quando confrontado com uma página de login de nome de usuário e senha, um invasor pode inserir (“injetar”) uma parte do código SQL na seção de senha. Se o código do banco de dados subjacente for vulnerável, esse código SQL poderá modificar o banco de dados subjacente e forçar o aplicativo que o banco de dados controla a permitir o acesso do hacker.
Faculdades e universidades têm inúmeros aplicativos on-line protegidos por senha, desde relatórios de notas de alunos até informações de emprego de professores, que teoricamente poderiam ser invadidos usando SQL Injections. Um desses ataques ao ensino superior ocorreu em fevereiro de 2017, quando um hacker ou grupo de hackers russo usou SQL Injections para roubar dados de dezenas de faculdades e universidades dos EUA, incluindo a Cornell University e a New York University. Enquanto as instituições de ensino superior continuarem a ter pontos fracos escritos em seus bancos de dados subjacentes, as injeções de SQL provavelmente permanecerão comuns e fáceis demais para os hackers empregarem.
Phishing: Conforme mencionado no início deste artigo, os ataques de phishing são caracterizados por e-mails ou páginas da Web que são projetados para enganar os usuários para que insiram dados confidenciais, como senhas ou informações de cartão de crédito. O Gabinete de Segurança da Informação da Universidade de Princeton fornece uma visão geral útil de como esses ataques geralmente se manifestam:
“Normalmente, o phisher envia uma mensagem de e-mail para um grande grupo de indivíduos cujos endereços ele capturou de catálogos de endereços e sites na Internet. A mensagem, geralmente bem elaborada e com aparência oficial, pode alegar ser de uma instituição financeira, um provedor de serviços ou qualquer outra organização conhecida pelo destinatário... Muitas vezes, o destinatário é solicitado a fornecer as informações clicando em um link de site em o e-mail. Mas, embora o link para o site possa parecer legítimo, o link exibido não é necessariamente o site real que você visita quando clica nele.”
30% dos usuários do setor educacional caíram em golpes de phishing que se apresentavam como comunicações corporativas, o dobro da taxa da população em geral, no ano passado.
Os ataques de phishing podem ter uma ampla gama de objetivos finais, desde o roubo de dados do usuário até a instalação de ransomware no computador da vítima e a extração de pagamentos financeiros. Embora esses ataques possam parecer óbvios e fáceis de evitar, estudos mostraram que uma maioria substancial das empresas foi vítima de golpes de phishing. O setor de educação se mostrou particularmente suscetível, pois a Wombat Security – uma empresa de software dedicada a ajudar empresas a combater ataques de phishing – descobriu em um relatório de 2017 que 30% dos usuários do setor de educação clicaram em golpes de phishing que se passavam por comunicações corporativas, o dobro do da população geral, no último ano.
Embora as táticas mencionadas acima tenham se mostrado eficazes, veremos que podem ser evitadas.
Como prevenir ataques: código melhor e maior vigilância
Existem várias estratégias para combater os ataques cibernéticos descritos acima. Alguns envolvem estratégias que os profissionais de TI do ensino superior devem empregar, enquanto outros envolvem estratégias que todos na comunidade do ensino superior, incluindo os usuários finais, devem implementar:
Interrompendo ataques SQLi por meio de instruções preparadas, procedimentos armazenados e validação de entrada
Muito tem sido escrito sobre como prevenir ataques de SQL Injection, e o consenso é que fazer isso pode não ser particularmente difícil. O Open Web Application Security Project (OWASP) fornece uma visão geral de como evitar ataques SQLi. OWASP cita três estratégias principais para fazer isso:
Declarações Preparadas: Faculdades e universidades devem construir seus bancos de dados subjacentes com declarações preparadas. Como diz o OWASP, “declarações preparadas garantem que um invasor não seja capaz de alterar a intenção de uma consulta, mesmo que comandos SQL sejam inseridos por um invasor”. Essencialmente, as instruções preparadas podem tornar os comandos SQL que se apresentam como dados de entrada do usuário (nomes de usuário e senhas) impotentes.
Procedimentos armazenados: De acordo com o OWASP, os procedimentos armazenados podem ter o mesmo efeito que as instruções preparadas, a principal diferença é que “o código SQL para um procedimento armazenado é definido e armazenado no próprio banco de dados e, em seguida, chamado do aplicativo”. Como o OWASP e outros escreveram, os procedimentos armazenados nem sempre podem ser apropriados para defesa contra ataques SQLi, mas permanecem como uma opção viável para faculdades e universidades quando escritos e implementados corretamente.
Validação de entrada: ataques de injeção de SQL exploram aplicativos e bancos de dados que não fazem referência cruzada e validam os dados inseridos. Um passo lógico para evitar esses ataques é, portanto, certificar-se de que um banco de dados que está sendo construído requer validação de entrada. A Microsoft também cita a validação de entrada como uma técnica chave para evitar ataques SQLi em seu modelo de desenvolvimento web ASP.net.
Prevenção de phishing por meio de treinamento e suspeita aumentada
Ao contrário da prevenção de ataques SQLi, que podem ser feitos por meio de correções técnicas internas, a prevenção de golpes de phishing depende em grande parte dos usuários finais – professores, funcionários e alunos. Existem várias etapas que as faculdades e universidades devem seguir para garantir que todos os usuários finais permaneçam vigilantes:
Filtros de e-mail: como uma etapa inicial e simples, faculdades e universidades devem configurar filtros de e-mail que enviem e-mails suspeitos não universitários para a pasta de spam de um usuário. Embora isso esteja longe de ser uma correção infalível, é um primeiro passo importante que pode impedir que e-mails maliciosos atinjam seus alvos.
Campanhas de treinamento e conscientização: Faculdades e universidades devem exigir que os usuários finais passem por treinamento que aborde o que é phishing e como reconhecê-lo. Existem empresas dedicadas a prestar este serviço, e as instituições de ensino superior devem estar dispostas a investir o tempo e os recursos necessários para educar adequadamente seus docentes e funcionários. Como aponta um artigo da Infosecurity Magazine, esse treinamento deve ser repetido com relativa regularidade e deve expor os usuários a uma gama diversificada de ataques de phishing. Fornecer exemplos de ataques reais e criar um repositório para tais ataques, como a Universidade de Princeton fez com seu “Phish Bowl”, também pode aumentar a conscientização.
“Educar nossos clientes em termos de computação segura traz um dos maiores retornos.”
Sasi Pillay, vice-presidente de serviços de tecnologia da informação e diretor de informações da Washington State University, diz que ele e sua equipe realizam um mês anual de conscientização sobre segurança cibernética e buscaram criar uma “cultura de conscientização cibernética” geral para combater o phishing – o número da universidade um problema de segurança cibernética. “Educar nossos clientes em termos de computação segura traz um dos maiores retornos”, diz Pillay.
Embora as estratégias listadas acima não sejam abrangentes e possam não impedir todos os ataques, elas representam etapas relativamente simples que podem gerar benefícios significativos na luta do ensino superior contra possíveis ameaças cibernéticas.
As chaves para um futuro seguro
Compreender as vulnerabilidades, como funcionam os ataques cibernéticos comuns e como evitar esses ataques é fundamental para criar um futuro mais seguro – e financeiramente estável – para o ensino superior. No entanto, as ameaças cibernéticas estão em constante evolução e não há garantia de que as ameaças enfrentadas hoje (e as estratégias para mitigá-las) serão semelhantes às que estão por vir.
Para Sasi Pillay, a solução de longo prazo para a segurança cibernética deve incluir mudanças fundamentais na forma como o software é escrito e projetado.
“Meu sonho, visão de longo prazo, é poder fazer computação segura em um ambiente comprometido”, diz Pillay. “O que precisamos fazer é mudar significativamente a forma como escrevemos software hoje. O desenvolvimento de software precisa ser fortalecido para que as pessoas levem em consideração os riscos e exposições de segurança.”
Outra chave para enfrentar futuros desafios de segurança cibernética, mencionados brevemente neste artigo, é empregar uma equipe robusta e estável de especialistas na área. É claro que isso é mais fácil falar do que fazer, pois os orçamentos das universidades são apertados e o talento é escasso. Ainda assim, existem várias maneiras de contornar esse problema, incluindo a contratação de freelancers especializados e aqueles dispostos a trabalhar remotamente.
Embora os desafios de segurança cibernética enfrentados pelo ensino superior sejam grandes e o custo de resolvê-los seja alto, os potenciais riscos financeiros e de reputação que vêm com defesa insuficiente provavelmente são ainda maiores. Instituições em todo o cenário de ensino superior podem descobrir que soluções eficazes de segurança cibernética podem se pagar.