Cybersecurity in Education: Going Beyond Security Awareness
Η κυβερνοασφάλεια είναι μια αυξανόμενη ανησυχία για τα εκπαιδευτικά ιδρύματα σε όλο τον κόσμο. Ενώ πολλοί άνθρωποι μπορεί να πιστεύουν ότι οι απειλές για την ασφάλεια αποτελούν κίνδυνο μόνο για τα διαδικτυακά πανεπιστήμια και ιδρύματα, η αλήθεια είναι ότι όλοι στοχοποιούνται. Είτε πρόκειται για ένα τοπικό δημοτικό σχολείο, ένα κρατικό πανεπιστήμιο ή μια διαδικτυακή πύλη μάθησης, οι απειλές στον κυβερνοχώρο μπορεί να προκαλέσουν σοβαρή ζημιά.
Η κυβερνοασφάλεια έχει υποστεί πολλές προόδους την τελευταία δεκαετία. Με πιο ασφαλείς τρόπους αποθήκευσης και κοινής χρήσης πληροφοριών, οδεύουμε προς τη σωστή κατεύθυνση.
Ωστόσο, δεν αρκεί απλώς να εκπαιδεύσουμε τους δασκάλους, τους μαθητές και τους υπεύθυνους λήψης αποφάσεων σχετικά με τις απειλές για την ασφάλεια στον κυβερνοχώρο. Πρέπει να υπάρχουν διαδικασίες και στρατηγικές που να μπορούν να ενεργήσουν για να παραμείνουν όλοι ασφαλείς στο διαδίκτυο.
Θα βουτήξουμε βαθύτερα στον τρόπο με τον οποίο τα ιδρύματα πρέπει να υπερβαίνουν την παροχή εκπαίδευσης ευαισθητοποίησης σχετικά με την ασφάλεια για να διασφαλίσουν την οργανωτική ασφάλεια. Θα μοιραστούμε τις ενέργειες που πρέπει να αναλάβουμε και πώς να μετριαστούν οι πιο κοινές απειλές στον κυβερνοχώρο που αντιμετωπίζουν τα εκπαιδευτικά ιδρύματα.
Τι είναι η Cybersecurity;
Η κυβερνοασφάλεια έχει να κάνει με το πώς να διατηρούνται ασφαλή ευαίσθητα δεδομένα σε ψηφιακά περιβάλλοντα. Τα εκπαιδευτικά ιδρύματα θα έχουν πολλούς διαφορετικούς τομείς που θα πρέπει να διασφαλίζουν το απόρρητο και την εμπιστευτικότητα όταν πρόκειται για πληροφορίες όπως:
- Ιδιωτικά στοιχεία επικοινωνίας μαθητών και εκπαιδευτικών
- Οικονομικές πληροφορίες και διαδικτυακοί λογαριασμοί που ενδέχεται να χρησιμοποιηθούν από το ίδρυμα
- Εσωτερικά δεδομένα/διαδικασίες λειτουργίας που είναι αυστηρά εμπιστευτικές και ιδιωτικές για το συγκεκριμένο ίδρυμα
- Άλλα δεδομένα που χρησιμοποιούνται για τη διαχείριση του εκπαιδευτικού υλικού (ιδιαίτερα όσον αφορά τις εργασίες, τις εξετάσεις και τη βαθμολόγηση).
Εκτός από αυτούς τους τομείς που αφορούν περισσότερο το ίδρυμα, τα προσωπικά δεδομένα μπορεί επίσης να κινδυνεύουν. Εάν τυχόν προσωπικοί λογαριασμοί χρησιμοποιούνται στο διαδίκτυο από μαθητές/εκπαιδευτικούς σε συσκευές ιδρυμάτων, μπορούν επίσης να εκμεταλλευτούν κακόβουλοι εισβολείς.
Τι είναι η ευαισθητοποίηση για την ασφάλεια στον κυβερνοχώρο;
Η ευαισθητοποίηση για την ασφάλεια στον κυβερνοχώρο είναι ο βαθμός στον οποίο τα πιθανά επηρεαζόμενα μέρη (φοιτητές, προσωπικό και υπεύθυνοι λήψης αποφάσεων) κατανοούν τους κινδύνους για τις πληροφορίες και το απόρρητό τους. Η εκπαίδευση γεννά την ευαισθητοποίηση, επομένως οι άνθρωποι πρέπει να γνωρίζουν ποιοι είναι οι κίνδυνοι και να κατανοήσουν το είδος των επιθέσεων και των παραβιάσεων που μπορούν να συμβούν.
Ωστόσο, η παροχή εκπαίδευσης ευαισθητοποίησης για την ασφάλεια κάθε τόσο είναι μόνο το πρώτο βήμα για την προώθηση της ασφάλειας στον κυβερνοχώρο στην εκπαίδευση. Για αποτελεσματική ασφάλεια, το ίδρυμα θα πρέπει να διαθέτει σχέδια συμβάντων και να διασφαλίζει ότι κάθε μέλος του οργανισμού λαμβάνει σοβαρά υπόψη την ασφάλεια στον κυβερνοχώρο.
Τα βασικά βήματα που μπορούν να ανεβάσουν τη συνειδητοποίηση ασφαλείας στο επόμενο επίπεδο:
- Εκτίμηση των κινδύνων και κοινοποίησή τους σε όλα τα μέρη
- Παροχή εκπαίδευσης σε κάθε άτομο ώστε να κατανοήσει ποιος είναι ο βασικός του ρόλος στη διασφάλιση της ασφάλειας
- Λήψη απαραίτητων πόρων (και κοινή χρήση πόρων) εντός ιδρυμάτων (λογισμικό προστασίας από ιούς, πρόσβαση VPN, κ.λπ.)
- Αναθεώρηση/ενημέρωση μέτρων ασφαλείας
- Δημιουργία σχεδίων αντιμετώπισης περιστατικών.
Θα εξετάσουμε το καθένα με περισσότερες λεπτομέρειες σε αυτό το άρθρο.
Απειλές για την Κυβερνοασφάλεια στην Εκπαίδευση
Οι βασικές απειλές για τα εκπαιδευτικά ιδρύματα την ασφάλεια των δεδομένων συμπεριλαμβάνω:
Παραβίαση: Μη εξουσιοδοτημένη πρόσβαση συστήματος/δικτύου υπολογιστή με αποτέλεσμα την κλοπή ευαίσθητων πληροφοριών ή την πρόκληση βλάβης στα συστήματα. Για παράδειγμα, οι χάκερ θα μπορούσαν να μπουν σε μια βάση δεδομένων πανεπιστημίου και να κλέψουν τις προσωπικές πληροφορίες του προσωπικού για να αποκτήσουν πρόσβαση στους ιδιωτικούς οικονομικούς λογαριασμούς τους για να κλέψουν κεφάλαια.
phishing: Οι επιτιθέμενοι χρησιμοποιούν email, ψεύτικους ιστότοπους ή ακόμα και κείμενο για να ξεγελάσουν τους ανθρώπους ώστε να αποκαλύψουν ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης ή αριθμούς πιστωτικών καρτών. Οι ψεύτικοι σύνδεσμοι πληρωμών ή τα τιμολόγια είναι μία από τις πιο κοινές επιθέσεις phishing που χρησιμοποιούνται σε επιχειρήσεις και εκπαιδευτικά ιδρύματα.
Παραβιάσεις δεδομένων: Κλοπή, χρήση ή έκθεση ευαίσθητων πληροφοριών (όπως προσωπικά/οικονομικά δεδομένα).
Κακόβουλο λογισμικό: Κακόβουλο λογισμικό που προκαλεί βλάβη στο δίκτυο ή το σύστημα ενός ιδρύματος. Αυτά περιλαμβάνουν Trojans, ιούς και ransomware που βλάπτουν τις συσκευές, καθιστώντας τις άχρηστες.
Επιθέσεις MitM: Πρόκειται για επιθέσεις "man-in-the-middle", όπου οι επικοινωνίες παρεμποδίζονται και οι πληροφορίες που αποστέλλονται μεταξύ δύο μερών τροποποιούνται από τον εισβολέα
Προκλήσεις Κυβερνοασφάλειας σε Εκπαιδευτικά Ιδρύματα
Όταν τα ιδρύματα γνωρίζουν τις πιθανές προκλήσεις της εφαρμογής μέτρων κυβερνοασφάλειας, μπορούν να σχεδιάσουν πιο αποτελεσματικά πώς να ξεπεράσουν αυτά τα εμπόδια.
Περιορισμοί χρηματοδότησης: Δεν έχουν όλα τα ιδρύματα πρόσβαση στους πόρους για να μπορούν να εφαρμόσουν εργαλεία ασφαλείας. Οι περιορισμένοι προϋπολογισμοί μπορούν να οδηγήσουν σε λιγότερο ασφαλείς διακομιστές, πύλες και συσκευές. Σε αυτή την περίπτωση, η αναζήτηση εξωτερικής χρηματοδότησης θα μπορούσε να είναι μια επιλογή που θα πρέπει να διερευνήσουν τα ιδρύματα.
Τεχνικές δεξιότητες: Απαιτείται υψηλό επίπεδο τεχνογνωσίας για τη διασφάλιση ισχυρής ασφάλειας στον κυβερνοχώρο. Από μόνα τους, ορισμένα ιδρύματα θα δυσκολευτούν να γνωρίζουν ακριβώς πώς να διατηρήσουν τα συστήματά τους ασφαλή, επομένως η πρόσληψη ειδικού είναι ο καλύτερος τρόπος.
Διαχείριση ατόμων: Κανείς δεν μπορεί να είναι υπεύθυνος για κανέναν άλλον. Οι βασικοί υπεύθυνοι λήψης αποφάσεων μπορούν να διαχειριστούν τη συμπεριφορά των χρηστών (όπως η δημιουργία κανόνων για τους μαθητές ώστε να μην μπορούν να έχουν πρόσβαση στα μέσα κοινωνικής δικτύωσης από συσκευές), αλλά η παρακολούθηση αυτής της συμπεριφοράς είναι πρόκληση. Οι άνθρωποι πρέπει να ενθαρρύνονται να προστατεύουν τον εαυτό τους και να τηρούν τις πολιτικές.
Κυβερνοαπειλές: Στο τέλος της ημέρας, οι απειλές γίνονται πιο συχνές και οι επιτιθέμενοι γίνονται πιο έξυπνοι. Αυτός είναι ο λόγος για τον οποίο η επίγνωση των πιθανών απειλών καθώς οι αλλαγές του τεχνολογικού τοπίου είναι τόσο σημαντική. Γνωρίζοντας ποιες νέες απειλές εισέρχονται στη διαδικτυακή σφαίρα θα βοηθήσει τους υπεύθυνους λήψης αποφάσεων να προετοιμάσουν καλύτερα το περιβάλλον τους και να αποτρέψουν οποιαδήποτε σοβαρή ζημιά.
Πώς να φέρετε σε δράση την ευαισθητοποίηση για την κυβερνοασφάλεια
Ο παρακάτω είναι ένας σύντομος οδηγός που θα σας βοηθήσει να διασφαλίσετε μια ισχυρή ασφάλεια στον κυβερνοχώρο για το εκπαιδευτικό σας ίδρυμα που υπερβαίνει την απλή παροχή εκπαίδευσης ευαισθητοποίησης για την ασφάλεια στον κυβερνοχώρο.
Αξιολόγηση Κινδύνου
Υπάρχουν πολλοί τρόποι για τη διεξαγωγή αξιολόγησης κινδύνου για την ασφάλεια στον κυβερνοχώρο. Η παρουσία ενός συμβούλου που ειδικεύεται σε αυτόν τον τομέα θα ήταν εξαιρετικά πολύτιμη. Για τα ιδρύματα που δεν διαθέτουν αυτόν τον προϋπολογισμό, οι αξιολογήσεις κινδύνου θα πρέπει να περιλαμβάνουν τη διερεύνηση όλων των περιοχών που ενδέχεται να είναι ευάλωτες στην εκμετάλλευση.
Αναφέρετε τις συσκευές που χρησιμοποιούνται στο ίδρυμα, όπου οι άνθρωποι εισάγουν κωδικούς πρόσβασης, ποιες ευαίσθητες πληροφορίες υπάρχουν στο διαδίκτυο και πώς αποθηκεύονται κ.λπ.
Στρατηγική & Εκπαίδευση
Τα ιδρύματα πρέπει να περιγράψουν το σχέδιο ασφάλειας με βάση τους πιθανούς κινδύνους που αποκαλύφθηκαν στην αξιολόγηση. Για όσους έχουν τον προϋπολογισμό να φέρουν έναν σύμβουλο κυβερνοασφάλειας για να δημιουργήσουν μια στρατηγική, αυτό θα ήταν ιδανικό. Εάν ένα τρίτο μέρος διεξήγαγε την αξιολόγηση κινδύνου, θα μπορούσε επίσης να δημιουργήσει ένα σχέδιο για το ίδρυμα επίσης. Για όσους δεν έχουν πρόσβαση σε συμβούλους, η στρατηγική θα περιγράφει:
- Ρόλοι και ευθύνες για τους βασικούς φορείς λήψης αποφάσεων
- Ευθύνες για την ευρύτερη κοινότητα (φοιτητές και προσωπικό)
- Πώς θα πραγματοποιηθεί κάθε φάση του σχεδίου, πότε και από ποιον
- Στοιχεία επικοινωνίας για κάθε βασικό μέλος της ομάδας
- Πόροι που θα χρησιμοποιηθούν (εργαλεία που αναφέρονται παρακάτω).
Μπορείτε επίσης να περιηγηθείτε στον ιστό για μερικά δωρεάν πρότυπα σχεδίων και στρατηγικών για την ασφάλεια στον κυβερνοχώρο για να πάρετε μια καλύτερη ιδέα για το πώς να δημιουργήσετε ένα.
Η πτυχή της εκπαίδευσης αφορά ουσιαστικά τις πληροφορίες και τους πόρους στους οποίους χρειάζεται να έχει πρόσβαση κάθε μέλος για να υλοποιηθεί το σχέδιο. Ποιος θα εκπαιδεύσει το προσωπικό και πώς χρειάζεται να εκπαιδευτεί; Τι γίνεται με τους μαθητές; Σε τι χρειάζονται για να μορφωθούν; Τα διαδικτυακά σεμινάρια, τα προσωπικά μαθήματα και οι συναντήσεις και τα σεμινάρια πλήρους ιδρύματος είναι επιλογές κατάρτισης.
Παροχή πόρων
Οι υπεύθυνοι λήψης αποφάσεων πρέπει να ανατρέξουν στην αξιολόγηση κινδύνου και στη στρατηγική τους για να επιλέξουν ποιοι πόροι θα χρησιμοποιηθούν και θα μοιραστούν. Ορισμένοι πόροι και εργαλεία θα απαιτούσαν μόνο λήψη και πληρωμή μία φορά, ενώ άλλα μπορεί να βασίζονται σε συνδρομή και μερικά θα μπορούσαν να είναι δωρεάν.
Θα πρέπει επίσης να λάβετε υπόψη το γεγονός ότι το προσωπικό χρειάζεται συνήθως διαφορετικά εργαλεία ασφαλείας από αυτά που θα μπορούσαν να χρησιμοποιήσουν οι μαθητές. Όλα αυτά πρέπει να αναφέρονται λεπτομερώς στο σχέδιο.
Ακολουθούν μερικά μόνο από τα μέτρα ασφαλείας στα οποία κάθε εκπαιδευτικό ίδρυμα πρέπει να επενδύσει εάν δεν το έχει κάνει ήδη:
- λογισμικό προστασίας από ιούς
- Διαχειριστές κωδικών πρόσβασης και εργαλεία κρυπτογράφησης
- Επαληθευτές για σύνδεση
- VPN για τις συσκευές του οργανισμού, συμπεριλαμβανομένων ένα VPN για κινητά τηλέφωνα
Για νεότερους μαθητές που θέλουν να μάθουν περισσότερα για την ασφάλεια στον κυβερνοχώρο και ακόμη και να επιδείξουν ενδιαφέρον για την ανάπτυξη αυτής της δεξιότητας στο μέλλον, Cyber Quests είναι μια διαδραστική διαδικτυακή εφαρμογή προσανατολισμένη στην εκπαίδευση στον κυβερνοχώρο.
Ενημερώστε τα σχέδια ασφαλείας σας
Τέλος, η στρατηγική ασφαλείας πρέπει πάντα να προσαρμόζεται στις τρέχουσες απειλές και σε οποιεσδήποτε καινοτομίες στον τομέα της κυβερνοασφάλειας. Εάν η νέα τεχνολογία μπορεί να αντικαταστήσει άλλες, ενημερώστε τα μέτρα σας και εκπαιδεύστε εκ νέου τους ανθρώπους που πρέπει να χρησιμοποιούν αυτήν την τεχνολογία. Το σχέδιο δεν πρέπει ποτέ να είναι στάσιμο και θα πρέπει να επαναξιολογείται και να προσαρμόζεται τακτικά. Εξάλλου, όσον αφορά τον κόσμο του κυβερνοχώρου, τα πράγματα αλλάζουν γρήγορα.
Μέρος της δημιουργίας και της ενημέρωσης της στρατηγικής σας για την ασφάλεια στον κυβερνοχώρο είναι η ύπαρξη ενός ποιοτικού σχεδίου αντιμετώπισης περιστατικών – μια λεπτομερής διαδικασία για το πότε συμβαίνουν επιθέσεις. Αυτό θα πρέπει να αναφέρει με ποιον πρέπει να επικοινωνήσετε, πώς και ποια μέτρα θα χρειαζόταν να ληφθούν για την ασφάλεια των δεδομένων και την εκκαθάριση της απειλής.
Συχνές Ερωτήσεις:
Ε: Τι είναι η κυβερνοασφάλεια στην εκπαίδευση;
Κυβερνοασφάλεια στην εκπαίδευση σημαίνει προστασία δεδομένων, δικτύων και άλλων απειλών στον κυβερνοχώρο των εκπαιδευτικών ιδρυμάτων.
Ε: Γιατί είναι σημαντική η κυβερνοασφάλεια στην εκπαίδευση;
Η κυβερνοασφάλεια είναι σημαντική στην εκπαίδευση, καθώς τα εκπαιδευτικά ιδρύματα έχουν πολύ ευαίσθητο περιεχόμενο, όπως δεδομένα μαθητών, τα οποία αποτελούν πόλο έλξης για εγκληματίες στον κυβερνοχώρο.
Ε: Τι είναι η ευαισθητοποίηση για την ασφάλεια στην εκπαίδευση;
Η ευαισθητοποίηση σχετικά με την ασφάλεια στην εκπαίδευση σημαίνει τη δημιουργία ευαισθητοποίησης για τα εγκλήματα στον κυβερνοχώρο με την εκπαίδευση των φοιτητών, του προσωπικού και άλλων μελών ΔΕΠ. Η ασφάλεια στον κυβερνοχώρο στην εκπαίδευση σημαίνει τη διδασκαλία τους σχετικά με τις απειλές στον κυβερνοχώρο και πώς να τις αποτρέψουν.
Ε: Γιατί η ευαισθητοποίηση για την ασφάλεια δεν είναι αρκετή για την προστασία των εκπαιδευτικών ιδρυμάτων από απειλές στον κυβερνοχώρο;
Η ευαισθητοποίηση σχετικά με την ασφάλεια μεταξύ των εκπαιδευτικών ιδρυμάτων δεν αρκεί για να τα προστατεύσει από τα εγκλήματα στον κυβερνοχώρο, επειδή οι εγκληματίες στον κυβερνοχώρο γίνονται απίστευτα εξελιγμένοι και μπορούν να χρησιμοποιήσουν προηγμένες αντιδράσεις για να παραβιάσουν όλα τα μέτρα ασφαλείας.
Ε: Ποιες είναι μερικές βέλτιστες πρακτικές για την ασφάλεια στον κυβερνοχώρο στην εκπαίδευση;
Μερικές από τις βέλτιστες πρακτικές για την ασφάλεια στον κυβερνοχώρο στην εκπαίδευση περιλαμβάνουν:
- την εφαρμογή ισχυρών κωδικών πρόσβασης
- Τακτική ενημέρωση λογισμικού και συστημάτων ασφαλείας
- Προώθηση εκπαιδεύσεων ευαισθητοποίησης για την ασφάλεια
- Περιορισμός της πρόσβασης
Ε: Πώς μπορούν τα εκπαιδευτικά ιδρύματα να προετοιμαστούν για μια επίθεση στον κυβερνοχώρο;
- Ακολουθούν μερικοί τρόποι για το πώς τα εκπαιδευτικά ιδρύματα μπορούν να προετοιμαστούν για μια επίθεση στον κυβερνοχώρο
- δημιουργία σχεδίου αντιμετώπισης περιστατικών
- Δημιουργία αντιγράφων ασφαλείας δεδομένων σε τακτική βάση
- Διεξαγωγή τακτικών προγραμμάτων ευαισθητοποίησης για την ασφάλεια
- Επένδυση στην ασφάλεια στον κυβερνοχώρο
Ε: Ποιος είναι ο ρόλος της τεχνολογίας στην κυβερνοασφάλεια στην εκπαίδευση;
Η τεχνολογία διαδραματίζει σημαντικό ρόλο στην ασφάλεια στον κυβερνοχώρο στην εκπαίδευση καθώς παρέχει εργαλεία για την παρακολούθηση δικτύων και συστημάτων, την απόκριση σε απειλές, την ασφάλεια δεδομένων μέσω κρυπτογράφησης και άλλα μέτρα ασφαλείας.
Η κατώτατη γραμμή: Η κυβερνοασφάλεια έχει σημασία
Τα εκπαιδευτικά ιδρύματα δεν είναι απρόσβλητα από απειλές στον κυβερνοχώρο. Υπάρχει ανάγκη να γνωρίζουμε όχι μόνο ποιοι είναι οι κίνδυνοι, αλλά πώς να τους μετριαστούν και να τους διαχειριστούμε όταν συμβούν. Η επίγνωση σε οδηγεί μόνο μέχρι εδώ – μετά έρχεται η δράση.
Η επένδυση σε τεχνολογικά εργαλεία, πόρους, εκπαίδευση, στρατηγική και, τελικά, η συνεργασία ως ομάδα μπορεί να κάνει τα ιδρύματα αδιαπέραστα και πιο σίγουροι ότι οι ευαίσθητες πληροφορίες τους είναι ασφαλείς.