Securitatea cibernetică în învățământul superior: probleme și soluții
Publicat: 2022-03-11Instituțiile de învățământ superior se confruntă cu un potop constant de atacuri cibernetice. În urma unui incident din 2015, Kevin Morooney – fost viceprovost pentru Tehnologia Informației la Universitatea de Stat din Pennsylvania – a declarat pentru The New York Times că Penn State se confruntă cu o medie de 20 de milioane de atacuri pe zi, o sumă „tipică pentru o universitate de cercetare”.
Începând cu un mic eșantion al efectelor financiare pe care le pot avea astfel de amenințări, firma de criminalistică digitală și securitate cibernetică LIFARS a estimat într-un raport din 2016 că atacurile Spear Phishing – concepute pentru a se infiltra într-o organizație și a fura informații sensibile, adesea prin e-mail – costă companiile în medie 1,8 milioane USD per incident. Într-un raport din 2017, Cybersecurity Ventures a prezis că atacurile care implică Ransomware – care amenință să fure, să blocheze sau să publice datele unei victime dacă nu se plătește o răscumpărare – ar cauza daune de aproximativ 5 miliarde de dolari în 2017, față de 325 de milioane de dolari în 2015.
Învățământul superior a avut cea mai mare rată de atacuri ransomware dintre toate industriile chestionate într-un raport din 2016 publicat de BitSight (o companie de management al riscului cibernetic) și a doua cea mai mare rată în raportul BitSight din 2017. În consecință, universitățile lucrează non-stop pentru a-și consolida apărarea împotriva acestor pierderi potențiale abrupte. După cum a spus Kim Milford, directorul executiv al Centrului de analiză și schimb de informații în rețele de cercetare și educație de la Universitatea Indiana, într-un articol din 2016 scris de Centrul pentru Educație Digitală, universitățile sunt acum „blocate într-o cursă costisitoare a înarmărilor” în timp ce explorează noi modalități de atât combaterea atacurilor actuale, cât și încercarea de a rămâne cu un pas înaintea atacurilor care urmează să vină. Indiferent dacă atacurile cibernetice au succes, spune Milford, ele reprezintă o problemă costisitoare și mereu prezentă pe care universitățile sunt forțate să o abordeze.
Poate chiar mai semnificative decât potențialele pierderi financiare, atacurile cibernetice reprezintă o amenințare gravă la adresa reputației unei universități și a siguranței studenților acesteia.
Dar riscurile prezentate de atacurile cibernetice se extind dincolo de pierderile financiare pentru lumea educației superioare. Într-adevăr, colegiile și universitățile găzduiesc un volum uriaș de date sensibile, de la numerele de asigurări sociale ale studenților până la proprietatea intelectuală valoroasă, care, dacă sunt furate sau compromise, ar putea provoca daune semnificative mult dincolo de zidurile academiei. Poate chiar mai semnificative decât potențialele pierderi financiare menționate mai sus, atacurile cibernetice reprezintă o amenințare gravă la adresa reputației unei universități și a siguranței studenților acesteia.
Deși amenințările evoluează constant, colegiile și universitățile trebuie să continue să investească atât în talentul, cât și în infrastructura necesare pentru a face față provocărilor de securitate cibernetică de pe viitor. Acest articol va lumina în continuare importanța dezvoltării expertizei în domeniul securității cibernetice pentru instituțiile de învățământ superior și va oferi strategii pentru abordarea acestor provocări. Începând cu o examinare a motivului pentru care colegiile și universitățile sunt vulnerabile în mod unic la atacurile cibernetice, vom căuta să înțelegem strategiile pe care atacatorii le folosesc pentru a exploata aceste vulnerabilități și vom ajunge la un set de recomandări menite să echipeze mai bine colegiile și universitățile pentru a aborda amenințările cibernetice în viitor.
De ce este învățământul superior vulnerabil?
În timp ce aproape fiecare industrie majoră se confruntă cu provocări semnificative de securitate cibernetică, învățământul superior este deosebit de vulnerabil din mai multe motive cheie.
Unul are de-a face cu cultura unică a mediului academic, care se mândrește cu un grad de deschidere și transparență de care majoritatea industriilor le lipsește. După cum Fred Cate, directorul Centrului de Cercetare Aplicată a Securității Cibernetice a Universității din Indiana, a articulat într-un articol UniversityBusiness din 2013, colegiile și universitățile și-au concentrat eforturile pentru a se asigura că „facultații și studenții noștri, publicul și donatorii noștri [pot] conecta destul de mult ușor pentru noi.” Acest lucru a făcut ca rețelele de calculatoare ale colegiilor și universităților, se spune în articol, „la fel de deschise și primitoare precum campusurile lor”.
Un alt motiv se referă la istorie – în special, de cât timp colegiile și universitățile sunt online. Alex Heid, Chief Research Officer la SecurityScorecard (o companie terță de gestionare a riscurilor) a declarat într-un articol EducationDIVE din 2016 că universitățile au fost întotdeauna ținta principală pentru atacurile cibernetice, în mare parte, deoarece „Universitățile au fost unul dintre primele locuri care au avut acces la internet și cu acces la internet aveți oameni care încearcă să vadă cât de departe se poate ajunge.” În virtutea faptului că au avut acces la internet pentru o perioadă relativ lungă de timp, colegiile și universitățile au fost mult timp ținte vizibile, iar punctele lor slabe sunt, prin urmare, probabil foarte bine cunoscute și înțelese de atacatorii cibernetici.
Atacatorii cibernetici folosesc tehnologii și metode de ultimă oră pentru a exploata sistemele universitare care sunt, în unele cazuri, îngrozitor de depășite și depășite.
Deoarece colegiile și universitățile au fost atât de timpurii în adoptarea instrumentelor și interfețelor digitale (și ca urmare a preocupărilor financiare și a altor preocupări practice), multe instituții de învățământ superior se bazează în continuare pe sistemele moștenite, care sunt deosebit de vulnerabile la atacuri. „Multe dintre colegii folosesc lucruri care au fost scrise cu ani în urmă”, a spus Heid în articolul menționat mai sus. Mai simplu spus, atacatorii cibernetici folosesc tehnologii și metode de ultimă oră pentru a exploata sistemele universitare care, în unele cazuri, sunt teribil de depășite și depășite.
Mai precis, sistemele IT universitare sunt adesea caracterizate de o construcție descentralizată și, în opinia lui Heid, întâmplătoare, pe care atacatorii o pot exploata cu ușurință. Într-o postare pe blog din 2017 pentru managementul riscului de date și firma de software Code42, Ashley Jarosch observă că, deși poate avea sens din perspectivă operațională ca departamentele individuale să opereze sub propriile structuri IT (departamentul de astrofizică al unei universități va avea probabil, scrie ea, diferite nevoi tehnologice decât departamentul de literatură al unei universități, de exemplu), acest tip de configurație fragmentară creează vulnerabilități clare de securitate a informațiilor. „Într-o duzină (sau zeci de) departamente, există șanse mari ca cel puțin unul să aibă o combinație de dispozitive învechite și sistem de operare nepattched, filtrare inadecvată a e-mailului și AV, backup de date defectuos sau instruire și politică insuficientă pentru utilizatori”, scrie Jarosch.
Deși nu este o problemă specifică învățământului superior, deficitul de talent în domeniul securității cibernetice reprezintă un obstacol semnificativ pe care colegiile și universitățile trebuie să-l depășească pentru a aborda problemele menționate mai sus. Un studiu recent realizat de firma de consultanță Frost & Sullivan prevede că vor fi 1,8 milioane de locuri de muncă neocupate în domeniul securității cibernetice până în 2020 și că această lipsă de talente există la scară globală, aproape 70% dintre profesioniști la nivel global spunând că sunt prea puțini lucrători în securitate cibernetică în personal. . Având în vedere că cererea de talente în domeniul securității cibernetice depășește cu mult oferta, companiile plătesc adesea bani superioare pentru expertiza în securitate cibernetică. Acest lucru pune probabil colegiile și universitățile într-un dezavantaj serios atunci când încearcă să atragă astfel de talente de la locurile de muncă bine plătite din sectorul privat la Alphabet, Facebook și altele asemenea.
Cu o înțelegere a motivelor care stau la baza vulnerabilităților de securitate cibernetică a învățământului superior, putem explora acum modalitățile în care aceste vulnerabilități sunt exploatate.
Cum exploatează atacatorii vulnerabilitățile
Actorii nelegiuiți folosesc o gamă variată de tactici și instrumente atunci când lansează atacuri cibernetice. Două dintre cele mai comune astfel de metode sunt prezentate mai jos. Deși această listă nu este în niciun caz exhaustivă și nici unică pentru colegii și universități, ea va oferi o mai bună înțelegere a modului în care hackerii își propun să exploateze lacunele în securitatea cibernetică și se va dovedi utilă în a lua în considerare modul cel mai bun de a opri astfel de atacuri în viitor.
Injecții SQL: Descrise de unii drept „probabil cea mai gravă problemă cu care se confruntă aplicațiile web”, injecțiile SQL (SQLi) sunt, în termeni simpli, atacuri concepute pentru a ocoli protecția prin parole prin exploatarea bazelor de date care stau la baza anumitor aplicații. SQL (Standard Query Language) este un limbaj care gestionează și comunică cu baze de date. Injecțiile SQL funcționează prin exploatarea punctelor slabe ale codului care stau la baza paginilor de intrare (cum ar fi paginile de conectare cu numele de utilizator și parola, de exemplu) și forțând o anumită bază de date să returneze informații sensibile. De exemplu, atunci când se confruntă cu o pagină de conectare cu nume de utilizator și parolă, un atacator poate introduce („injecta”) o porțiune de cod SQL în secțiunea de parolă. Dacă codul bazei de date de bază este vulnerabil, acest cod SQL ar putea modifica baza de date de bază și poate forța aplicația pe care o controlează baza de date să permită accesul hackerului.
Colegiile și universitățile au nenumărate aplicații online protejate prin parolă, de la rapoartele studenților până la informații despre angajarea facultăților, care teoretic ar putea fi împărțite în utilizarea injecțiilor SQL. Un astfel de atac asupra învățământului superior a avut loc în februarie 2017, când un hacker rus sau un grup de hackeri a folosit injecții SQL pentru a fura date de la zeci de colegii și universități din SUA, inclusiv Universitatea Cornell și Universitatea New York. Atâta timp cât instituțiile de învățământ superior continuă să aibă puncte slabe înscrise în bazele de date subiacente, probabil că injecțiile SQL vor rămâne comune și prea ușor de folosit pentru hackeri.
Phishing: așa cum am menționat la începutul acestui articol, atacurile de phishing sunt caracterizate de e-mailuri sau pagini web care sunt concepute pentru a păcăli utilizatorii să introducă date sensibile, cum ar fi parole sau informații despre cardul de credit. Biroul de Securitate Informațională al Universității Princeton oferă o imagine de ansamblu utilă a modului în care astfel de atacuri se manifestă de obicei:
„De obicei, phisherul trimite un mesaj de e-mail unui grup mare de persoane ale căror adrese le-a capturat din agende și site-uri web de pe internet. Mesajul, de obicei bine elaborat și cu aspect oficial, poate pretinde că provine de la o instituție financiară, un furnizor de servicii sau orice altă organizație cunoscută de destinatar... Adesea, destinatarului i se cere să furnizeze informațiile făcând clic pe un link al site-ului web din mail-ul. Dar, în timp ce linkul către site poate părea legitim, linkul care este afișat nu este neapărat site-ul pe care îl vizitați atunci când faceți clic pe el.”
30 la sută dintre utilizatorii din industria educației au căzut pentru escrocherii de tip phishing care se prezintă drept comunicații corporative, dublu față de populația generală, în ultimul an.
Atacurile de tip phishing pot avea o gamă largă de obiective finale, de la furtul datelor utilizatorilor până la instalarea de ransomware pe computerul victimei și extragerea plăților financiare. În timp ce aceste atacuri pot părea evidente și ușor de evitat, studiile au arătat că o majoritate substanțială a întreprinderilor au fost victimele escrociilor de tip phishing. Industria educației s-a dovedit a fi deosebit de sensibilă, deoarece Wombat Security – o companie de software dedicată să ajute companiile să combată atacurile de phishing – a constatat într-un raport din 2017 că 30% dintre utilizatorii din industria educației au făcut clic pe escrocherii de phishing pretinzând ca comunicații corporative, dublu față de rata populaţiei generale, în ultimul an.
Deși tacticile menționate mai sus s-au dovedit eficiente, vom vedea că pot fi prevenite.
Cum să preveniți atacurile: un cod mai bun și o vigilență mai mare
Există o serie de strategii pentru combaterea atacurilor cibernetice descrise mai sus. Unele implică strategii pe care profesioniștii IT din învățământul superior trebuie să le folosească ei înșiși, în timp ce altele implică strategii pe care toată lumea din comunitatea de învățământ superior, inclusiv utilizatorii finali, trebuie să le implementeze:
Oprirea atacurilor SQLi prin declarații pregătite, proceduri stocate și validare a intrărilor
S-au scris multe despre cum să preveniți atacurile cu injecție SQL și consensul este că acest lucru ar putea să nu fie de fapt deosebit de dificil. Proiectul Open Web Application Security (OWASP) oferă o privire de ansamblu asupra modului de evitare a atacurilor SQLi. OWASP citează trei strategii principale pentru a face acest lucru:
Declarații pregătite: colegiile și universitățile ar trebui să își construiască bazele de date subiacente cu declarații pregătite. După cum spune OWASP, „Declarațiile pregătite asigură că un atacator nu poate schimba intenția unei interogări, chiar dacă comenzile SQL sunt inserate de către un atacator.” În esență, instrucțiunile pregătite pot face comenzile SQL care se prezintă drept date de intrare de utilizator (nume de utilizator și parole) neputincioase.
Proceduri stocate: Conform OWASP, procedurile stocate pot avea același efect ca instrucțiunile pregătite, diferența principală fiind că „codul SQL pentru o procedură stocată este definit și stocat în baza de date însăși, apoi apelat din aplicație”. După cum au scris OWASP și alții, procedurile stocate pot să nu fie întotdeauna adecvate pentru apărarea împotriva atacurilor SQLi, dar reprezintă o opțiune viabilă pentru colegii și universități atunci când sunt scrise și implementate corespunzător.
Validarea intrării: atacurile cu injecție SQL exploatează aplicațiile și bazele de date care nu fac referințe încrucișate și nu validează datele introduse. Un pas logic către prevenirea acestor atacuri este, prin urmare, să vă asigurați că o bază de date în curs de construire necesită validare de intrare. Microsoft citează, de asemenea, validarea intrărilor ca o tehnică cheie pentru evitarea atacurilor SQLi în cadrul modelului său de dezvoltare web ASP.net.
Prevenirea phishing-ului prin instruire și suspiciune sporită
Spre deosebire de prevenirea atacurilor SQLi, care poate fi realizată prin remedieri tehnice interne, prevenirea înșelătoriilor de tip phishing se bazează în mare parte pe utilizatorii finali - profesori, personal și studenți. Există mai mulți pași pe care colegiile și universitățile ar trebui să ia pentru a se asigura că toți utilizatorii finali rămân vigilenți:
Filtre de e-mail: ca pas inițial, simplu, colegiile și universitățile ar trebui să configureze filtre de e-mail care să trimită e-mailuri suspecte non-universitare în dosarul de spam al unui utilizator. Deși acest lucru este departe de a fi o soluție sigură, este un prim pas important care poate împiedica e-mailurile rău intenționate să-și atingă obiectivele.
Campanii de instruire și conștientizare: colegiile și universitățile ar trebui să solicite utilizatorilor finali să urmeze cursuri de formare care să acopere ce este phishingul și cum să-l recunoască. Există companii dedicate furnizării acestui serviciu, iar instituțiile de învățământ superior trebuie să fie dispuse să investească timpul și resursele necesare pentru a-și educa în mod corespunzător facultățile și personalul. După cum arată un articol din Infosecurity Magazine, acest antrenament ar trebui repetat în mod relativ regulat și ar trebui să expună utilizatorii la o gamă variată de atacuri de tip phishing. Oferirea de exemple de atacuri reale și crearea unui depozit pentru astfel de atacuri, așa cum a făcut Universitatea Princeton cu „Phish Bowl” al său, poate crește gradul de conștientizare.
„Educarea clienților noștri în ceea ce privește calcularea sigură aduce unul dintre cele mai mari profituri.”
Sasi Pillay, Vicepreședinte al Serviciilor de Tehnologia Informației și Chief Information Officer la Universitatea de Stat din Washington, spune că el și echipa sa organizează o lună anuală de conștientizare a securității cibernetice și au căutat să creeze o „cultură de conștientizare cibernetică” generală pentru a combate phishingul - numărul universității o problemă de securitate cibernetică. „Educarea clienților noștri în ceea ce privește siguranța de calcul aduce unul dintre cele mai mari profituri”, spune Pillay.
Deși strategiile enumerate mai sus nu sunt cuprinzătoare și pot să nu prevină fiecare atac, ele reprezintă pași relativ simpli care pot aduce beneficii semnificative în lupta învățământului superior împotriva amenințărilor cibernetice.
Cheile unui viitor sigur
Înțelegerea vulnerabilităților, a modului în care funcționează atacurile cibernetice comune și a modului de a preveni astfel de atacuri este fundamentală pentru a crea un viitor mai sigur – și mai stabil din punct de vedere financiar – pentru învățământul superior. Cu toate acestea, amenințările cibernetice evoluează în mod constant și nu există nicio garanție că amenințările cu care se confruntă astăzi (și strategiile pentru a le atenua) se vor asemăna cu cele din viitor.
Pentru Sasi Pillay, soluția pe termen lung pentru securitatea cibernetică trebuie să includă modificări fundamentale ale modului în care este scris și proiectat software-ul.
„Visul meu, viziunea pe termen lung este să pot face calculatoare securizate într-un mediu compromis”, spune Pillay. „Ceea ce trebuie să facem este să schimbăm semnificativ modul în care scriem software-ul astăzi. Dezvoltarea software-ului trebuie să fie consolidată, astfel încât oamenii să ia în considerare riscurile de securitate și expunerile.”
O altă cheie pentru a face față provocărilor viitoare de securitate cibernetică, menționată pe scurt în acest articol, este angajarea unei echipe solide și stabile de experți în domeniu. Acest lucru este, desigur, mai ușor de spus decât de făcut, deoarece bugetele universităților sunt strânse și talentul este limitat. Cu toate acestea, există o serie de modalități de a rezolva această problemă, inclusiv angajarea de freelanceri experți și cei care doresc să lucreze de la distanță.
Deși provocările de securitate cibernetică cu care se confruntă învățământul superior sunt mari și costul rezolvării lor este mare, potențialele riscuri financiare și reputaționale care vin cu o apărare insuficientă sunt probabil și mai mari. Instituțiile din peisajul învățământului superior pot descoperi că soluțiile eficiente de securitate cibernetică se pot plăti în cele din urmă singure.