Iskolák is lehetnek a kiberbűnözők célpontjai?
Az iskolákból kerül ki a jövő generációja, akik többségében digitálisan kevésbé képzettek, tapasztaltak, ezért könnyebb célpontok. Emiatt az iskolák is egyre jobban ki vannak téve rosszindulatú kibertámadásoknak. De mit tehetnek az intézmények, hogy megerősítsék védelmüket és távol tartsák maguktól az internetes fenyegetéseket? Az ESET kiberbiztonsági szakértői elmondják.
A világjárvány kezdetekor egyik hétről a másikra tanárok és diákok kerültek a fizikai tantermekből az online videoplatformok virtuális osztálytermeibe. A könyveket felváltották a táblagépek, a tábla helyett a képernyőmegosztás vált rutinná, az üzenetküldő alkalmazások pedig a szocializáció új színterévé váltak. Az online oktatásra váltó iskolák számára új kihívások merültek fel az adatvédelmi aggályok, az adatszivárgás és a hackerek jelenléte miatt. Ez az újfajta oktatási mód azonban velünk maradt azután is, hogy a tanulók mostanra jórészt visszatértek az iskolaépületekbe.
Minden iskola kockázatot vállal…
Az iskolák számos érzékeny adatot birtokolnak, gondoljunk csak a nevekre, címekre, a diákok egészségügyi adataira és fizetési adatokra. Minden munkahely, így az iskolák és dolgozóik számára érzékeny adatokra pedig kiemelten utaznak a támadók, belekalkulálva azt az esélyt, hogy az iskolák közül sok helyen hiányos, anyagi okok miatt gyengébb védelmet találnak majd. A napokban derült ki, hogy még szeptemberben érte kibertámadás a KRÉTA rendszerét, melyet sokan csak mint e-naplót ismerik, ám valójában egy komplett közoktatási informatikai rendszer, rengeteg érzékeny adattal a gyerekekről és a pedagógusokról. Információk szerint valamennyi diák összes, a KRÉTA-ban kezelt adata kiszivároghatott, de nemcsak ezekhez, hanem a cég más adatbázisaihoz és a forráskódokhoz, illetve a fejlesztők belső kommunikációjához is hozzáférhettek. Adatvédelmi szempontból aggasztó lehet, hogy ezen adatok alapján egészen részletekbe menő profil is megalkotható egy-egy diákról.
A kiberbiztonság ezáltal az intézményvezetők egyik legfőbb feladatává vált. Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője szerint a fenyegetések nagyon különböző formákban és forrásokból érkezhetnek:
- Hackerek: A kiberbűnözők automatizált támadásai a leggyakoribb esetek, ezek jelentik a legnagyobb fenyegetést. A hackerek adathalász e-maileket küldenek, amelyek ugyan valósnak tűnnek, de igazából átverések. Céljuk, hogy az iskolákban dolgozó címzettek rákattintsanak a levélben szereplő linkre, és akaratlanul is hozzáférést adjanak a személyes adatokhoz. A birtokukba került információ által a támadók bankszámla adatokat lophatnak, amelyekkel csalást követhetnek el, vagy akár el is adhatják azokat. Valós kockázatot jelentenek a zsarolóprogram-támadások is, amelyekkel a hackerek “túszul ejtik” az iskola adatait és váltságdíjat követelnek értük.
- Diákok: Az iskolák saját diákjai is lehetnek támadók, akik megpróbálják feltörni az iskola rendszerét. Néha mindez csak szórakozásból történik, máskor viszont az érdemjegyek megváltoztatása, a diáktársak adatainak megszerzése a cél.
- Iskolai alkalmazottak: A diákokhoz hasonlóan az intézményben dolgozók is követhetnek el belső kibertámadást. Bár ez ebben a szektorban ritka eset, mégis előfordulhat, hogy szándékosan kárt akarnak okozni, vagy valamilyen bosszú áll a támadás hátterében.
…szóval jobb felkészültnek lenni!
Bár a téma összetettnek tűnik, az ESET szakértője szerint a kiberbiztonság lebontható öt egyszerű lépésre, amelyeket egy új stratégia megalkotása és végrehajtása során érdemes követni.
- Készüljön leltár az eszközökről: Hány laptopja van az iskolának? Mindegyik megfelelően működik? Telepítettek rájuk biztonsági szoftvert? Az operációs rendszer és az engedélyezett alkalmazások a legújabb verzióra van frissítve? Vegyük sorra az összes eszközt, és írjuk össze, hogy az egyes berendezések hol találhatóak, ki férhet hozzájuk, és hogy szükség van-e a további vizsgálatukra.
- Rendelkezzen az iskola saját informatikai kollégával: Annak érdekében, hogy tisztában legyünk a leltárba vett eszközök megfelelő működésével, a berendezések naprakészségével, szükség van egy külön informatikusra vagy egy informatikus csapatra. Csak szakember képes az ilyen berendezések megfelelő vizsgálatára és karbantartására. Az informatikai szakemberek feladata a felhasználói azonosítók beállítása erős jelszavakkal és kétfaktoros hitelesítéssel, valamint annak nyomon követése, hogy ki melyik eszközhöz fér hozzá. Az ő felelősségük emellett egy átfogó és könnyen értelmezhető felhasználói szabályzat bevezetése az iskola dolgozói, illetve a diákok számára.
- Szervezzünk kiberbiztonsági workshopokat az iskola munkatársainak: Kezdjük a nulláról és feltételezzük azt, hogy a dolgozók közül senki nem rendelkezik kiberbiztonsági ismeretekkel. Ezt a tudást érdemes célzott workshopokon keresztül átadni számukra. Tartsunk előadásokat a terület szakértőinek meghívásával, kérjünk támogatást a helyi vezetéstől, és keressünk online forrásokat. Győződjünk meg arról, hogy az iskola munkatársai azonosítani tudják a gyanús adathalász e-maileket, megértik, miért nem érdemes megosztani az eszközeiket, kiadni jelszavukat, és miért veszélyes olyan képeket közzétenni, amelyeken érzékeny információk találhatóak.
- Ösztönözzük a munkatársakat arra, hogy jelentsék a lehetséges fenyegetéseket: Mindenki követhet el hibákat, és az ezek bejelentésétől való félelem növelheti az iskola veszélyeztetettségét, kitettségét. Biztosítsuk a munkatársakat, hogy nem éri őket hátrány, ha véletlenül áldozatul estek egy átverésnek. Az a cél, hogy haladéktalanul jelentsék az ilyen eseteket, mert csak így lehet megvédeni őket és az iskolát. A hackerek egyszerű, megtévesztéses (social engineering) módszereket is bevetnek az emberek átverésére, így igazából mindenkiből lehet áldozat.
- Legyen a kiberbiztonság az iskolai tanterv része: A tanároknak nem csak az iskolát kell megvédeniük az esetleges fenyegetésektől, de a kiberbiztonság terén is jártasnak kell lenniük, hogy ezt a tudást is átadhassák diákjaiknak. Még ha van is külön informatikaóra, ahol ezeket a témákat érintik, vagy mélyrehatóan tanítják, fontos, hogy az informatikai oktatás mindenki számára legyen elérhető, tekintve, hogy a laptopok és mobiltelefonok használata ma már a mindennapi életünk része.
„Alapvető fontossággal bír, hogy a diákoknak és a tanároknak nem csak a tantermekben kell betartaniuk az online biztonsági szabályokat. A kiberbiztonságnak az iskolán kívül is kiemelt figyelmet kell kapnia, főleg, ha figyelembe vesszük, hogy a kockázatok mennyire jelen vannak az életünkben” – mondta Csizmazia-Darab István, a Sicontact Kft. kiberbiztonsági szakértője. „Egy olyan témában, ahol a gyerekek általában tapasztaltabbnak tartják magukat a felnőtteknél fontos, hogy mind a tanárok, mind a szülők lépést tudjanak tartani a fiatalok online térben szerzett tudásával, és mindhárom szereplő képes legyen biztonságtudatosságát folyamatosan fejleszteni.”
A legfrissebb hírekért kövesse be az ESET kutatóit a Twitteren.