Μαζική η αύξηση των κυβερνοεπιθέσεων στον εκπαιδευτικό τομέα

Το κυβερνοέγκλημα δεν ξεχωρίζει με αποτέλεσμα να χτυπάει μέχρι και τον εκπαιδευτικό τομέα με τις επιθέσεις να γίνονται όλο και περισσότερες και πιο επικίνδυνες. Συγκεκριμένα τα εκπαιδευτικά ιδρύματα βρίσκονται αντιμέτωπα με μια διαρκώς αυξανόμενη απειλή από κυβερνοεπιθέσεις, με τον τομέα της εκπαίδευσης να αναδεικνύεται ως ο τρίτος πιο συχνός στόχος κακόβουλων ενεργειών παγκοσμίως κατά το δεύτερο τρίμηνο του 2024, σύμφωνα με στοιχεία της Microsoft.

Η ESET, κορυφαία εταιρεία στον τομέα της κυβερνοασφάλειας, προειδοποιεί για την αυξημένη δραστηριότητα εξελιγμένων ομάδων APT (Advanced Persistent Threats) που στοχεύουν συστηματικά σχολεία, κολέγια και πανεπιστήμια. Σύμφωνα με την έρευνα των ειδικών της ESET, από τον Απρίλιο έως τον Σεπτέμβριο 2024, ο εκπαιδευτικός τομέας συγκαταλέχθηκε:

• Στους τρεις πρώτους στόχους για ομάδες APT συνδεόμενες με την Κίνα
• Στους δύο πρώτους για ομάδες συνδεόμενες με τη Βόρεια Κορέα
• Στους έξι πρώτους για ομάδες συνδεόμενες με το Ιράν και τη Ρωσία

Τα ακαδημαϊκά ιδρύματα αποτελούν ιδανικούς στόχους λόγω του μοναδικού συνδυασμού χαρακτηριστικών που διαθέτουν: μεγάλοι όγκοι δεδομένων, ανοιχτά δίκτυα, πολύτιμο ερευνητικό υλικό και συχνά περιορισμένοι πόροι για την κυβερνοασφάλεια. Τα στατιστικά στοιχεία είναι ανησυχητικά. Στο Ηνωμένο Βασίλειο, το 71% των σχολείων δευτεροβάθμιας εκπαίδευσης και σχεδόν το σύνολο (97%) των πανεπιστημίων εντόπισαν σοβαρή παραβίαση ή επίθεση κατά το προηγούμενο έτος, σε σύγκριση με μόλις το 50% των επιχειρήσεων, σύμφωνα με κυβερνητικά στοιχεία. Στις ΗΠΑ, τα πιο πρόσφατα διαθέσιμα δεδομένα από το K12 Security Information Exchange (SIX) αποκαλύπτουν ότι, μεταξύ 2016 και 2022, σημειώνονταν περισσότερα από ένα περιστατικά κυβερνοασφάλειας ανά σχολική ημέρα.

Γιατί τα εκπαιδευτικά ιδρύματα αποτελούν τόσο δημοφιλή στόχο

1. Περιορισμένος προϋπολογισμός και τεχνογνωσία

Ο τομέας της εκπαίδευσης δεν μπορεί να ανταγωνιστεί τις ιδιωτικές επιχειρήσεις ως προς την προσέλκυση ταλέντων στον τομέα της κυβερνοασφάλειας. Η έλλειψη πόρων σημαίνει επίσης περιορισμένη δυνατότητα επένδυσης σε κατάλληλα εργαλεία και υποδομές κυβερνοασφάλειας, δημιουργώντας επικίνδυνα κενά στην κάλυψη και στην ικανότητα αντίδρασης. Ωστόσο, αυτές οι οικονομικές πιέσεις καθιστούν ακόμα πιο κρίσιμο τον μετριασμό των κινδύνων. Μια έκθεση αναφέρει ότι οι επιθέσεις ransomware σε σχολεία και πανεπιστήμια των ΗΠΑ από το 2018 έχουν κοστίσει περίπου 2,5 δισεκατομμύρια δολάρια μόνο σε χρόνο διακοπής λειτουργίας.

2. Προσωπικές συσκευές (BYOD)

Σύμφωνα με τη Microsoft, η πολιτική χρήσης προσωπικών συσκευών (Bring Your Own Device – BYOD) είναι ευρέως διαδεδομένη στα σχολεία των ΗΠΑ. Στα πανεπιστήμια, οι φοιτητές χρησιμοποιούν καθημερινά τους δικούς τους φορητούς υπολογιστές και κινητά τηλέφωνα. Αν αυτές οι συσκευές έχουν πρόσβαση στα δίκτυα χωρίς κατάλληλους ελέγχους ασφαλείας, μπορούν να λειτουργήσουν ως πύλη εισόδου για κυβερνοεπιθέσεις.

3. Επιπόλαιοι χρήστες

Οι άνθρωποι παραμένουν ένας από τους πιο αδύναμους κρίκους στην κυβερνοασφάλεια. Ο τεράστιος αριθμός προσωπικού και φοιτητών καθιστά τα εκπαιδευτικά περιβάλλοντα δημοφιλείς στόχους για επιθέσεις ηλεκτρονικού «ψαρέματος». Η ευαισθητοποίηση μέσω εκπαιδευτικών προγραμμάτων είναι κρίσιμη, όμως, στο Ηνωμένο Βασίλειο, μόνο το 5% των πανεπιστημίων καθιστά τέτοια εκπαίδευση υποχρεωτική για τους φοιτητές.

4. Κουλτούρα απεριόριστης πρόσβασης

Τα εκπαιδευτικά ιδρύματα διαφέρουν από τις επιχειρήσεις. Η κουλτούρα της ελεύθερης ανταλλαγής πληροφοριών και της συνεργασίας με εξωτερικούς φορείς εγκυμονεί κινδύνους. Ιδανικά, θα έπρεπε να υπάρχουν αυστηρότεροι έλεγχοι – ειδικά στην επικοινωνία μέσω ηλεκτρονικού ταχυδρομείου. Όμως αυτό είναι δύσκολο στην πράξη, δεδομένων των πολλών εμπλεκόμενων τρίτων μερών: από αποφοίτους και δωρητές, μέχρι φιλανθρωπικά ιδρύματα και προμηθευτές.

5. Ευρεία επιφάνεια επίθεσης

Η εικονική μάθηση και η εξ αποστάσεως εκπαίδευση αύξησαν σημαντικά την επιφάνεια επίθεσης. Στην εξίσωση προστίθενται οι διακομιστές cloud, τα οικιακά δίκτυα, οι προσωπικές κινητές συσκευές, καθώς και η εναλλασσόμενη παρουσία μεγάλου αριθμού προσωπικού και φοιτητών. Πολλά ιδρύματα εξακολουθούν να χρησιμοποιούν παλαιό λογισμικό και υλικό, το οποίο δεν υποστηρίζεται πλέον ή δεν ενημερώνεται τακτικά.

6. Ευαίσθητα δεδομένα (PII) και πνευματική ιδιοκτησία (IP)

Τα σχολεία και τα πανεπιστήμια αποθηκεύουν τεράστιους όγκους προσωπικών δεδομένων (PII), όπως στοιχεία υγείας και οικονομικά δεδομένα φοιτητών και προσωπικού, που αποτελούν ελκυστικό στόχο για τους κυβερνοεγκληματίες. Παράλληλα, η έρευνα που διενεργείται σε πολλά πανεπιστήμια προσελκύει το ενδιαφέρον ξένων κρατών. Τον Απρίλιο του 2024, ο γενικός διευθυντής της MI5 προειδοποίησε τους επικεφαλής των κορυφαίων πανεπιστημίων του Ηνωμένου Βασιλείου για αυτούς τους κινδύνους.

Η απειλή είναι πραγματική

Οι κυβερνοαπειλές στον τομέα της εκπαίδευσης δεν είναι θεωρητικές. Το K12 SIX έχει καταγράψει 1.331 δημοσίως γνωστοποιημένα περιστατικά κυβερνοασφάλειας που αφορούν σχολικές περιφέρειες των ΗΠΑ από το 2016. Παράλληλα, ο Ευρωπαϊκός Οργανισμός για την Κυβερνοασφάλεια (ENISA) κατέγραψε πάνω από 300 περιστατικά που επηρέασαν τον εκπαιδευτικό τομέα μεταξύ Ιουλίου 2023 και Ιουνίου 2024. Πολλά περισσότερα περιστατικά, ωστόσο, παραμένουν αδήλωτα. Τα πανεπιστήμια παραβιάζονται συνεχώς από ομάδες ransomware, συχνά με καταστροφικές συνέπειες.

Τακτικές, Τεχνικές και Διαδικασίες (TTPs) που απειλούν τον εκπαιδευτικό τομέα

Οι επιθέσεις στον εκπαιδευτικό χώρο διαφέρουν ανάλογα με τον τελικό στόχο και τον δράστη της απειλής. Οι κρατικά υποστηριζόμενες επιθέσεις είναι συχνά ιδιαίτερα εξελιγμένες. Ένα χαρακτηριστικό παράδειγμα είναι η ομάδα Ballistic Bobcat (γνωστή και ως APT35 ή Mint Sandstorm), η οποία συνδέεται με το Ιράν. Η ESET έχει καταγράψει περιπτώσεις όπου οι δράστες επιχειρούσαν να παρακάμψουν το λογισμικό ασφαλείας – συμπεριλαμβανομένων λύσεων EDR – εισάγοντας κακόβουλο κώδικα σε αθώες διεργασίες και χρησιμοποιώντας πολλαπλές ενότητες για να αποφύγουν την ανίχνευση.

Στο Ηνωμένο Βασίλειο, το ransomware θεωρείται η κορυφαία απειλή για τα πανεπιστήμια, ακολουθούμενη από επιθέσεις κοινωνικής μηχανικής (phishing) και μη επιδιορθωμένες ευπάθειες. Στις ΗΠΑ, έκθεση του Υπουργείου Εσωτερικής Ασφάλειας αναφέρει: «Οι σχολικές περιφέρειες K-12 αποτελούν σταθερό στόχο για επιθέσεις ransomware λόγω των περιορισμένων προϋπολογισμών πληροφορικής, της έλλειψης εξειδικευμένων πόρων και της επιτυχίας των επιτιθέμενων να αποσπούν πληρωμές από σχολεία».

Η επιφάνεια επίθεσης διευρύνεται συνεχώς, καθώς περιλαμβάνει προσωπικές συσκευές, παρωχημένη τεχνολογία, μεγάλο αριθμό χρηστών και ανοιχτά δίκτυα, καθιστώντας ευκολότερη τη δράση των επιτιθέμενων.

Η Microsoft έχει προειδοποιήσει για την αυξανόμενη χρήση κακόβουλων κωδικών QR, οι οποίοι χρησιμοποιούνται σε εκστρατείες phishing και διάδοσης κακόβουλου λογισμικού. Τέτοιοι κώδικες μπορεί να εμφανίζονται σε email, φυλλάδια, κάρτες στάθμευσης, έντυπα οικονομικής βοήθειας και άλλες επίσημες επικοινωνίες.

Πώς μπορούν τα σχολεία και τα πανεπιστήμια να μετριάσουν τους κινδύνους κυβερνοασφάλειας;

Υπάρχουν διάφοροι λόγοι για τους οποίους οι φορείς απειλών επιτίθενται σε σχολεία, κολέγια και πανεπιστήμια. Παρότι τα κίνητρα μπορεί να διαφέρουν, οι τεχνικές που χρησιμοποιούν είναι συνήθως δοκιμασμένες και προβλέψιμες. Αυτό σημαίνει ότι οι βασικοί κανόνες ασφαλείας εξακολουθούν να ισχύουν. Εστιάστε στους ανθρώπους, τις διαδικασίες και την τεχνολογία, εφαρμόζοντας τις παρακάτω συμβουλές:

• Επιβάλετε ισχυρούς και μοναδικούς κωδικούς πρόσβασης, καθώς και έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για την προστασία των λογαριασμών
• Εφαρμόστε καλή κυβερνο-υγιεινή, η οποία περιλαμβάνει έγκαιρη επιδιόρθωση ευπαθειών, τακτικά αντίγραφα ασφαλείας και κρυπτογράφηση των δεδομένων.
• Αναπτύξτε και δοκιμάστε ένα σχέδιο αντιμετώπισης περιστατικών, ώστε να ελαχιστοποιηθούν οι επιπτώσεις σε περίπτωση παραβίασης.
• Εκπαιδεύστε το προσωπικό, τους μαθητές και τους διοικητικούς υπαλλήλους στις βέλτιστες πρακτικές ασφάλειας, συμπεριλαμβανομένου του τρόπου αναγνώρισης ύποπτων ή παραπλανητικών μηνυμάτων ηλεκτρονικού «ψαρέματος» (phishing).
• Κοινοποιήστε μια σαφή πολιτική αποδεκτής χρήσης και BYOD (Bring Your Own Device) στους μαθητές, η οποία θα περιλαμβάνει τις απαιτήσεις ασφαλείας που πρέπει να πληρούν οι προσωπικές τους συσκευές.
• Συνεργαστείτε με έναν αξιόπιστο πάροχο υπηρεσιών κυβερνοασφάλειας, που μπορεί να προστατεύσει τα τελικά σημεία, τα δεδομένα και την πνευματική ιδιοκτησία του οργανισμού σας.
• Εξετάστε τη χρήση υπηρεσιών διαχείρισης ανίχνευσης και απόκρισης (MDR) για συνεχή παρακολούθηση ύποπτων δραστηριοτήτων και άμεση αντίδραση, ώστε οι απειλές να εντοπίζονται και να περιορίζονται προτού επηρεάσουν τον οργανισμό.

Ο εκπαιδευτικός τομέας αντιμετωπίζει ήδη πλήθος προβλημάτων, από την έλλειψη δεξιοτήτων έως τις προκλήσεις στη χρηματοδότηση. Ωστόσο, η αγνόηση της απειλής κυβερνοασφάλειας δε θα εξαλείψει το πρόβλημα. Αντίθετα, εάν επιτραπεί η κλιμάκωση της απειλής, οι παραβιάσεις ασφαλείας μπορεί να προκαλέσουν σοβαρές οικονομικές απώλειες και ζημιά στη φήμη – γεγονός που, ειδικά για τα πανεπιστήμια, θα μπορούσε να είναι καταστροφικό. Σε τελική ανάλυση, η παραβίαση της ασφάλειας μειώνει την ικανότητα των εκπαιδευτικών ιδρυμάτων να προσφέρουν την καλύτερη δυνατή εκπαίδευση. Και αυτό είναι κάτι που θα έπρεπε να μας ανησυχεί όλους.