Кибербезопасность в высшем образовании: проблемы и решения

Высшие учебные заведения сталкиваются с постоянным потоком кибератак. После инцидента в 2015 году Кевин Моруни, бывший вице-ректор по информационным технологиям в Университете штата Пенсильвания, сообщил The New York Times, что штат Пенсильвания сталкивается в среднем с 20 миллионами атак в день, что является «типичным показателем для исследовательского университета».

Начав с небольшой выборки финансовых последствий, которые могут иметь такие угрозы, компания LIFARS, занимающаяся цифровой криминалистикой и кибербезопасностью, оценила в отчете 2016 года, что атаки Spear Phishing, предназначенные для проникновения в организацию и кражи конфиденциальной информации, часто через электронную почту, обходятся предприятиям в среднем в 1,8 миллиона долларов за инцидент. В отчете Cybersecurity Ventures за 2017 год прогнозируется, что атаки с использованием программ-вымогателей, которые угрожают украсть, заблокировать или опубликовать данные жертвы, если не будет выплачен выкуп, нанесут ущерб примерно в 5 миллиардов долларов в 2017 году по сравнению с 325 миллионами долларов в 2015 году.

Высшее образование имело самый высокий уровень атак программ-вымогателей среди всех отраслей, опрошенных в отчете за 2016 год, опубликованном BitSight (компания по управлению киберрисками), и второй по величине показатель в отчете BitSight за 2017 год. Соответственно, университеты работают круглосуточно, чтобы укрепить свою защиту от этих серьезных потенциальных потерь. Как сказал Ким Милфорд, исполнительный директор Центра обмена и анализа информации по исследовательским и образовательным сетям в Университете Индианы, в статье 2016 года, написанной Центром цифрового образования, университеты теперь «втянуты в дорогостоящую гонку вооружений», поскольку они изучают новые способы как для борьбы с текущими атаками, так и для того, чтобы быть на шаг впереди грядущих атак. По словам Милфорда, независимо от того, были ли кибератаки успешными, они представляют собой дорогостоящую и постоянную проблему, которую университеты вынуждены решать.

Кибератаки представляют собой серьезную угрозу репутации университета и безопасности его студентов, возможно, даже более важную, чем потенциальные финансовые потери.

Но риски, связанные с кибератаками, выходят за рамки финансовых потерь для мира высшего образования. Действительно, в колледжах и университетах хранится огромный объем конфиденциальных данных, от номеров социального страхования студентов до ценной интеллектуальной собственности, которая в случае кражи или компрометации может нанести значительный ущерб далеко за пределами академии. Кибератаки представляют собой серьезную угрозу для репутации вуза и безопасности его студентов, возможно, даже более значительную, чем вышеупомянутые потенциальные финансовые потери.

Хотя угрозы постоянно развиваются, колледжи и университеты должны продолжать инвестировать как в кадры, так и в инфраструктуру, необходимые для решения проблем кибербезопасности в будущем. В этой статье будет дополнительно освещена важность развития экспертных знаний в области кибербезопасности для высших учебных заведений и предложены стратегии для решения этих проблем. Начав с изучения причин уникальной уязвимости колледжей и университетов для кибератак, мы постараемся понять стратегии, которые злоумышленники используют для использования этих уязвимостей, и выработаем ряд рекомендаций, призванных лучше подготовить колледжи и университеты к борьбе с киберугрозами в будущем.

Почему высшее образование уязвимо?

Хотя практически каждая крупная отрасль сталкивается с серьезными проблемами кибербезопасности, высшее образование особенно уязвимо по ряду ключевых причин.

Одна из них связана с уникальной культурой академического сообщества, которое гордится степенью открытости и прозрачности, которой не хватает большинству отраслей. Как сформулировал Фред Кейт, директор Центра прикладных исследований в области кибербезопасности Университета Индианы, в статье UniversityBusiness 2013 года, колледжи и университеты исторически концентрировали свои усилия на том, чтобы «наши преподаватели, наши студенты, наша общественность и наши доноры [могли] соединить довольно легко нам». Это сделало компьютерные сети колледжей и университетов, говорится в статье, «такими же открытыми и привлекательными, как и их кампусы».

Другая причина связана с историей — в частности, с тем, как долго колледжи и университеты были онлайн. Алекс Хейд, главный научный сотрудник SecurityScorecard (сторонней компании по управлению рисками), сказал в статье EducationDIVE 2016 года, что университеты всегда были главными целями для кибератак в значительной степени потому, что «университеты были одним из первых мест, где был доступ в Интернет, и с доступ в Интернет, у вас есть люди, пытающиеся увидеть, как далеко это может зайти». Ввиду того, что колледжи и университеты имеют доступ к Интернету в течение относительно длительного времени, они уже давно являются видимыми целями, и поэтому их слабости, вероятно, хорошо известны и понятны кибератакам.

Кибер-злоумышленники используют передовые технологии и методы для взлома университетских систем, которые в некоторых случаях безнадежно устарели и не имеют себе равных.

Поскольку колледжи и университеты так рано начали внедрять цифровые инструменты и интерфейсы (а также из-за финансовых и других практических проблем), многие высшие учебные заведения по-прежнему полагаются на устаревшие системы, которые особенно уязвимы для атак. «Многие колледжи используют материалы, написанные много лет назад», — сказал Хайд в вышеупомянутой статье. Проще говоря, кибер-злоумышленники используют передовые технологии и методы для взлома университетских систем, которые в некоторых случаях безнадежно устарели и не имеют себе равных.

В частности, университетские ИТ-системы часто характеризуются децентрализованной и, по мнению Хайда, бессистемной конструкцией, которую могут легко использовать злоумышленники. В сообщении в блоге 2017 года для компании Code42, занимающейся управлением рисками данных и программным обеспечением, Эшли Ярош отмечает, что, хотя с оперативной точки зрения может быть целесообразно, чтобы отдельные факультеты работали в рамках своих собственных ИТ-структур (кафедра астрофизики университета, вероятно, будет, как она пишет, иметь разные технологические потребности, чем, например, литературный факультет университета), такая поэтапная установка создает явные уязвимости в информационной безопасности. «В дюжине (или десятках) отделов есть большая вероятность, что по крайней мере в одном есть какая-то комбинация устаревших устройств и неисправленной ОС, неадекватной фильтрации электронной почты и антивируса, ошибочного резервного копирования данных или недостаточного обучения пользователей и политики», — пишет Ярош.

Хотя это и не является проблемой, характерной для высшего образования, нехватка специалистов по кибербезопасности представляет собой серьезное препятствие, которое колледжи и университеты должны преодолеть для решения упомянутых выше проблем. Недавнее исследование, проведенное консалтинговой фирмой Frost & Sullivan, прогнозирует, что к 2020 году будет 1,8 миллиона вакансий в области кибербезопасности, и что эта нехватка талантов существует в глобальном масштабе: почти 70 процентов профессионалов во всем мире говорят, что в штате слишком мало специалистов по кибербезопасности. . Поскольку спрос на специалистов в области кибербезопасности намного превышает предложение, компании часто платят большие деньги за экспертизу в области кибербезопасности. Это, вероятно, ставит колледжи и университеты в невыгодное положение, когда они пытаются переманить такие таланты с высокооплачиваемой работы в частном секторе в Alphabet, Facebook и т.п.

Поняв причины, лежащие в основе уязвимостей кибербезопасности высшего образования, мы теперь можем изучить способы использования этих уязвимостей.

Как злоумышленники используют уязвимости

Злоумышленники используют разнообразные тактики и инструменты при проведении кибератак. Два наиболее распространенных таких метода описаны ниже. Хотя этот список ни в коем случае не является исчерпывающим и не является уникальным для колледжей и университетов, он поможет лучше понять, как именно хакеры стремятся использовать бреши в кибербезопасности, и окажется полезным при рассмотрении того, как лучше всего остановить такие атаки в будущем.

SQL-инъекции: некоторые называют «возможно, самой серьезной проблемой, с которой сталкиваются веб-приложения». SQL-инъекции (SQLi) — это, говоря простым языком, атаки, предназначенные для обхода защиты паролем путем использования баз данных, лежащих в основе определенных приложений. SQL (стандартный язык запросов) — это язык, который управляет базами данных и взаимодействует с ними. SQL-инъекции работают за счет использования слабых мест в коде, лежащего в основе страниц ввода (например, страниц входа в систему с именем пользователя и паролем), и принуждения данной базы данных к возврату конфиденциальной информации. Например, столкнувшись со страницей входа с именем пользователя и паролем, злоумышленник может ввести («внедрить») часть кода SQL в раздел пароля. Если код базовой базы данных уязвим, этот код SQL может изменить базовую базу данных и заставить приложение, которым управляет база данных, разрешить хакеру доступ.

Колледжи и университеты имеют множество защищенных паролем онлайн-приложений, от отчетов об успеваемости до информации о занятости преподавателей, которые теоретически можно взломать с помощью SQL-инъекций. Одна из таких атак на высшее образование произошла в феврале 2017 года, когда российский хакер или хакерская группа использовали SQL-инъекции для кражи данных из десятков колледжей и университетов США, включая Корнельский и Нью-Йоркский университеты. До тех пор, пока высшие учебные заведения продолжают записывать слабые места в базовые базы данных, SQL-инъекции, скорее всего, останутся обычным явлением и слишком легкими для использования хакерами.

Фишинг: как упоминалось в начале этой статьи, фишинговые атаки характеризуются электронными письмами или веб-страницами, предназначенными для того, чтобы обманом заставить пользователей ввести конфиденциальные данные, такие как пароли или информацию о кредитной карте. Управление информационной безопасности Принстонского университета предоставляет полезный обзор того, как обычно проявляются такие атаки:

«Обычно фишер отправляет сообщение электронной почты большой группе лиц, чьи адреса он получил из адресных книг и веб-сайтов в Интернете. Сообщение, обычно хорошо составленное и официально выглядящее, может претендовать на то, что оно отправлено финансовым учреждением, поставщиком услуг или любой другой организацией, известной получателю… Часто получателя просят предоставить информацию, щелкнув ссылку на веб-сайт в электронная почта. Но хотя ссылка на веб-сайт может выглядеть законной, отображаемая ссылка не обязательно является фактическим сайтом, который вы посещаете, когда нажимаете на нее».

30 процентов пользователей в сфере образования стали жертвами фишинговых атак, выдаваемых за корпоративные сообщения, что вдвое больше, чем среди населения в целом за последний год.

Фишинговые атаки могут иметь широкий спектр конечных целей, от кражи пользовательских данных до установки программ-вымогателей на компьютер жертвы и получения финансового платежа. Хотя эти атаки могут показаться очевидными и их легко избежать, исследования показали, что значительное большинство предприятий стали жертвами фишинга. Образовательная индустрия оказалась особенно восприимчивой, так как Wombat Security — компания-разработчик программного обеспечения, помогающая компаниям бороться с фишинговыми атаками, — обнаружила в отчете за 2017 год, что 30 процентов пользователей в образовательной отрасли нажимали на фишинговые мошеннические сообщения, выдающие себя за корпоративные сообщения, что вдвое больше, чем доля населения в целом за последний год.

Хотя упомянутая выше тактика доказала свою эффективность, мы увидим, что ее можно предотвратить.

Как предотвратить атаки: лучший код и большая бдительность

Существует ряд стратегий борьбы с описанными выше кибератаками. Некоторые включают стратегии, которые ИТ-специалисты высшего образования должны использовать сами, в то время как другие включают стратегии, которые должны реализовать все в сообществе высшего образования, включая конечных пользователей:

Остановка атак SQLi с помощью подготовленных операторов, хранимых процедур и проверки ввода

Много было написано о том, как предотвратить атаки SQL Injection, и все согласны с тем, что на самом деле это может быть не особенно сложно. Открытый проект безопасности веб-приложений (OWASP) предоставляет обзор того, как избежать атак SQLi. OWASP приводит три основные стратегии для этого:

Подготовленные заявления: Колледжи и университеты должны создавать свои базовые базы данных с подготовленными заявлениями. Как говорит OWASP: «Подготовленные операторы гарантируют, что злоумышленник не сможет изменить цель запроса, даже если злоумышленник вставит SQL-команды». По сути, подготовленные операторы могут сделать команды SQL, выдающие себя за вводимые пользователем данные (имена пользователей и пароли), бессильными.

Хранимые процедуры. Согласно OWASP, хранимые процедуры могут иметь тот же эффект, что и подготовленные операторы, основное отличие состоит в том, что «код SQL для хранимой процедуры определяется и хранится в самой базе данных, а затем вызывается из приложения». Как писали OWASP и другие, хранимые процедуры не всегда могут быть подходящими для защиты от атак SQLi, но при правильном написании и реализации являются приемлемым вариантом для колледжей и университетов.

Проверка входных данных: атаки путем внедрения SQL-кода используют приложения и базы данных, которые не используют перекрестные ссылки и не проверяют введенные данные. Поэтому логическим шагом к предотвращению этих атак является обеспечение того, чтобы создаваемая база данных требовала проверки входных данных. Microsoft также называет проверку ввода ключевым методом предотвращения атак SQLi в рамках своей модели веб-разработки ASP.net.

Предотвращение фишинга с помощью обучения и повышенного подозрения

В отличие от предотвращения атак SQLi, которые можно выполнить с помощью внутренних технических исправлений, предотвращение фишинговых атак в значительной степени зависит от конечных пользователей — преподавателей, сотрудников и студентов. Есть несколько шагов, которые колледжи и университеты должны предпринять, чтобы обеспечить бдительность всех конечных пользователей:

Фильтры электронной почты. В качестве начального простого шага колледжи и университеты должны настроить фильтры электронной почты, которые отправляют подозрительные электронные письма, не относящиеся к университету, в папку со спамом пользователя. Хотя это далеко не надежное исправление, это важный первый шаг, который может предотвратить попадание вредоносных электронных писем в свои цели.

Кампании по обучению и повышению осведомленности. Колледжи и университеты должны требовать от конечных пользователей прохождения обучения, посвященного тому, что такое фишинг и как его распознать. Существуют компании, занимающиеся предоставлением этой услуги, и высшие учебные заведения должны быть готовы инвестировать время и ресурсы, необходимые для надлежащего обучения своих преподавателей и сотрудников. Как отмечается в статье в журнале Infosecurity Magazine, это обучение следует повторять на относительно регулярной основе, и оно должно подвергать пользователей разнообразным фишинговым атакам. Предоставление примеров реальных атак и создание репозитория для таких атак, как это сделал Принстонский университет со своей «Phish Bowl», также может повысить осведомленность.

«Обучение наших клиентов безопасным вычислениям приносит одну из самых больших выгод».

Саси Пиллэй, вице-президент службы информационных технологий и директор по информационным технологиям Университета штата Вашингтон, говорит, что он и его команда проводят ежегодный месячник осведомленности о кибербезопасности и стремились создать общую «культуру киберосведомленности» для борьбы с фишингом. одна проблема кибербезопасности. «Обучение наших клиентов безопасным вычислениям приносит одну из самых больших выгод, — говорит Пиллэй.

Хотя перечисленные выше стратегии не являются исчерпывающими и могут не предотвратить каждую атаку, они представляют собой относительно простые шаги, которые могут принести значительные преимущества в борьбе высшего образования с потенциальными киберугрозами.

Ключи к безопасному будущему

Понимание уязвимостей, того, как работают распространенные кибератаки и как предотвратить такие атаки, имеет основополагающее значение для создания более безопасного и финансово стабильного будущего для высшего образования. Тем не менее, киберугрозы постоянно развиваются, и нет никакой гарантии, что угрозы, с которыми мы сталкиваемся сегодня (и стратегии их смягчения), будут такими же, как и в будущем.

Для Саси Пиллэй долгосрочное решение проблемы кибербезопасности должно включать фундаментальные изменения в способах написания и проектирования программного обеспечения.

«Моя мечта, долгосрочное видение — иметь возможность выполнять безопасные вычисления в скомпрометированной среде», — говорит Пиллэй. «Что нам нужно сделать, так это значительно изменить то, как мы пишем программное обеспечение сегодня. Разработка программного обеспечения должна быть усилена, чтобы люди учитывали риски безопасности и уязвимости».

Еще одним ключом к решению будущих проблем кибербезопасности, кратко упомянутым в этой статье, является наем надежной и стабильной команды экспертов в этой области. Это, конечно, легче сказать, чем сделать, поскольку бюджеты университетов ограничены, а талантов мало. Тем не менее, есть несколько способов решить эту проблему, в том числе нанять опытных фрилансеров и тех, кто готов работать удаленно.

Хотя проблемы кибербезопасности, стоящие перед высшим образованием, велики, а стоимость их решения высока, потенциальные финансовые и репутационные риски, связанные с недостаточной защитой, вероятно, еще выше. Учебные заведения в сфере высшего образования могут обнаружить, что эффективные решения в области кибербезопасности могут в конечном итоге окупить себя.