Všetci chceme pre svoje deti to najlepšie vzdelanie. No aj tie najpremyslenejšie plány môžu stroskotať, ak čelia agilnému, vytrvalému a zákernému protivníkovi. Kybernetickí útočníci dnes predstavujú jednu z najväčších hrozieb pre školy a univerzity.
Podľa spoločnosti Microsoft bol sektor vzdelávania v druhom štvrťroku 2024 tretím najčastejšie napádaným odvetvím. Aj výskumníci zo spoločnosti ESET zaznamenali sofistikované APT skupiny, ktoré cielia na vzdelávacie inštitúcie po celom svete. Od apríla do septembra 2024 patril sektor vzdelávania medzi tri najčastejšie ciele APT skupín napojených na Čínu, medzi dva najčastejšie ciele útokov zo Severnej Kórey a medzi šesť najčastejších cieľov útočníkov podporovaných Iránom a Ruskom.
Akademické inštitúcie majú jedinečné charakteristiky, ktoré z nich robia atraktívny cieľ. Našťastie však existujú univerzálne a osvedčené bezpečnostné postupy, ktoré aj naďalej predstavujú účinný nástroj v boji proti kybernetickým hrozbám.
Prečo hackeri útočia na školy?
Podľa britských vládnych údajov došlo v uplynulom roku k vážnym bezpečnostným incidentom alebo útokom v 71 % stredných škôl a takmer na všetkých univerzitách (97 %) v Spojenom kráľovstve. Pre porovnanie, medzi firmami čelila podobným hrozbám len polovica (50 %). Najnovšie údaje z platformy K12 Security Information Exchange (SIX) ukazujú, že v rokoch 2016 až 2022 došlo v USA každý školský deň k viac než jednému kybernetickému incidentu.
Prečo sú vzdelávacie inštitúcie takým obľúbeným cieľom?
Môže za to kombinácia deravých sietí, veľkého počtu používateľov, ľahko speňažiteľných údajov, obmedzených znalostí v oblasti bezpečnosti a nízkeho rozpočtu. Pozrime sa na jednotlivé faktory podrobnejšie:
- Obmedzený rozpočet a nedostatok odborníkov: vzdelávací sektor nedokáže konkurovať súkromným firmám s veľkými rozpočtami pri získavaní už aj tak nedostatkových odborníkov na kybernetickú bezpečnosť. Zároveň si inštitúcie vzhľadom na tlak na rozpočet často nemôžu dovoliť investovať do bezpečnostných nástrojov. Výsledkom sú vážne medzery v ochrane aj schopnosti reagovať na hrozby. Práve tieto finančné obmedzenia robia znižovanie kybernetických rizík ešte naliehavejším. Podľa jednej správy spôsobili ransomvérové útoky na americké školy a univerzity od roku 2018 výpadky v hodnote až 2,5 miliardy dolárov.
- Osobné zariadenia: podľa spoločnosti Microsoft je používanie vlastných zariadení (tzv. BYOD – Bring Your Own Device) bežnou praxou na amerických školách. Na univerzitách sa od študentov očakáva, že si prinesú vlastné notebooky a mobilné zariadenia. Ak sa tieto zariadenia pripájajú do školských sietí bez primeranej bezpečnostnej kontroly, môžu nevedomky otvoriť útočníkom cestu k citlivým údajom a systémom.
- Omylní používatelia: ľudský faktor zostáva jednou z najväčších výziev pre bezpečnostné tímy. V prostredí škôl, kde sa pohybuje veľké množstvo zamestnancov a študentov, sú práve títo používatelia obľúbeným cieľom phishingových útokov. Kľúčové je preto vzdelávanie a zvyšovanie povedomia. Napriek tomu napríklad v Spojenom kráľovstve len 5 % univerzít vyžaduje, aby študenti absolvovali školenie o kybernetickej bezpečnosti.
- Otvorená kultúra: školy, vysoké školy a univerzity nefungujú ako bežné firmy. Kultúra zdieľania informácií a otvorenosť voči externým partnerstvám síce podporuje spoluprácu, no zároveň zvyšuje riziko a poskytuje príležitosť na útoky. Prísnejšie kontroly, najmä v oblasti e‑mailovej komunikácie, by boli ideálne. Ich zavedenie je však náročné vzhľadom na množstvo prepojených tretích strán, ako sú absolventi, darcovia, neziskové organizácie či dodávatelia.
- Široký priestor na útoky: dodávateľský reťazec v sektore vzdelávania je len jednou časťou čoraz rozsiahlejšieho kybernetického priestoru, ktorý sa v posledných rokoch rozšíril s nástupom online výučby a práce na diaľku. Od cloudových serverov cez osobné mobilné zariadenia a domáce siete až po veľké a neustále sa meniace počty zamestnancov a študentov – útočníci majú množstvo cieľov. Situáciu zhoršuje aj používanie zastaraného softvéru a hardvéru vo vzdelávacích inštitúciách, ktorý už nemusí byť podporovaný ani pravidelne aktualizovaný.
- Osobné údaje a duševné vlastníctvo: školy a univerzity uchovávajú, spravujú a spracúvajú obrovské množstvo citlivých osobných údajov o zamestnancoch a študentoch vrátane zdravotných a finančných informácií. To z nich robí atraktívny cieľ pre ziskuchtivé ransomvérové skupiny a podvodníkov. No tým to nekončí. Mnohé univerzity pracujú aj s citlivým výskumom, čo priťahuje štátom podporovaných aktérov. Generálny riaditeľ britskej tajnej služby MI5 na to v apríli 2024 výslovne upozornil vedenie popredných britských univerzít.
Hrozba je skutočná
Nejde o hypotetické hrozby. Organizácia K12 SIX zaznamenala od roku 2016 až 1 331 verejne známych kybernetických incidentov, ktoré zasiahli školské obvody v USA. Európska bezpečnostná agentúra ENISA zdokumentovala viac než 300 útokov na vzdelávací sektor v období od júla 2023 do júna 2024. A mnohé ďalšie prípady zostávajú nenahlásené. Univerzity sú pravidelne terčom ransomvérových útokov, ktoré môžu mať ničivé následky.
Typické taktiky kybernetických útočníkov v školstve
Taktiky, techniky a postupy používané pri útokoch na vzdelávacie inštitúcie závisia od cieľa a typu útočníka. Štátmi podporované útoky bývajú často sofistikované, ako napríklad tie, ktoré sú pripisované skupine Ballistic Bobcat (známej aj ako APT35 alebo Mint Sandstorm) napojenej na Irán. V jednom prípade výskumníci zo spoločnosti ESET zaznamenali, že útočníci sa pokúšali obísť bezpečnostný softvér vrátane riešení EDR tak, že vkladali škodlivý kód do bežných systémových procesov a používali viacero modulov na vyhnutie sa detekcii.
V Spojenom kráľovstve považujú univerzity ransomvér za najväčšiu kybernetickú hrozbu pre sektor vzdelávania. Nasledujú útoky založené na sociálnom inžinierstve a phishingu a neopravené zraniteľnosti. V USA sa v správe ministerstva vnútornej bezpečnosti uvádza, že „školské obvody K‑12 sú takmer neustálym cieľom ransomvérových útokov. Dôvodom je obmedzený rozpočet na IT systémy, nedostatok špecializovaných zdrojov a tiež fakt, že útočníci už viackrát úspešne vymohli výkupné od škôl, ktoré musia fungovať v presne stanovených termínoch a časoch“.
Rozširujúca sa plocha útoku vrátane osobných zariadení, zastaraných technológií, veľkého počtu používateľov a otvorených sietí výrazne uľahčuje prácu kybernetickým útočníkom. Spoločnosť Microsoft dokonca varovala pred nárastom útokov založených na QR kódoch. Tie sa využívajú pri phishingových a malvérových kampaniach – škodlivé kódy sa objavujú v e‑mailoch, na letákoch, parkovacích lístkoch, vo formulároch žiadostí o štipendium a v iných oficiálnych dokumentoch.
Ako môžu školy a univerzity zmierniť kybernetické riziká?
Existujú špecifické dôvody, prečo sa útočníci zameriavajú na školy, vysoké školy a univerzity. Techniky, ktoré na to používajú, sú však dobre známe a osvedčené. To znamená, že platia klasické bezpečnostné pravidlá. Základom je sústrediť sa na ľudí, procesy a technológie. Tu je niekoľko odporúčaní:
- Vyžadujte silné a jedinečné heslá a kombinujte ich s dvojfaktorovou autentifikáciou na ochranu používateľských účtov.
- Dodržiavajte zásady kybernetickej hygieny – pravidelne aktualizujte systémy, zálohujte dáta a šifrujte údaje.
- Vypracujte a pravidelne testujte plán reakcie na incidenty, aby ste v prípade útoku minimalizovali škody.
- Vzdelávajte zamestnancov, študentov aj vedenie školy v oblasti osvedčených bezpečnostných postupov vrátane toho, ako rozpoznať phishingové e‑maily.
- Zdieľajte so študentmi jasne definované pravidlá používania technológií a BYOD politiky vrátane požiadaviek na zabezpečenie ich zariadení.
- Spolupracujte s renomovaným dodávateľom bezpečnostných riešení, ktorý ochráni vaše zariadenia, údaje aj duševné vlastníctvo.
- Zvážte využitie služby riadenej detekcie a reakcie (MDR), ktorá zabezpečí nepretržité monitorovanie podozrivých aktivít a umožní včasné odhalenie a elimináciu hrozieb skôr, než spôsobia škody.
Učitelia a školy po celom svete už dnes čelia množstvu výziev – od nedostatku odborníkov až po problémy s financovaním. Kybernetické hrozby však nezmiznú len preto, že ich budeme ignorovať. Ak sa im nevenuje dostatočná pozornosť, môžu prerásť do vážnych incidentov s obrovskými finančnými a reputačnými škodami, čo môže mať katastrofálne následky najmä pre univerzity. V konečnom dôsledku bezpečnostné incidenty oslabujú schopnosť inštitúcií poskytovať kvalitné vzdelanie. A to by nás malo znepokojovať všetkých.
