Uddannelse er et hovedmål for cyberangreb sammen med sektorer som finans og sundhedspleje. Globalt set er der fortsat en stigning i antallet af cyberangreb mod uddannelsessektoren. Check Point Research (CPR) har fundet en stigning på 75 % i cyberangreb mod uddannelsesinstitutioner i 2021, hvilket placerer den på førstepladsen med hensyn til antallet af cyberangreb sammenlignet med andre industrisektorer.
Uddannelse er et yndet mål for cyberkriminelle, fordi det har visse aspekter, der gør det sårbart. For eksempel har uddannelsesinstitutioner måske ikke den luksus at have et dedikeret sikkerhedsteam. Andre faktorer omfatter en dynamisk brugerbase og politikker som "Bring Your Own Device" (BYOD), hvor studerende og ansatte bruger mobile enheder til at logge ind på netværket og cloud-apps.
Da cyberangreb fortsat hærger denne sårbare sektor, bliver cybersikkerhedsuddannelse for uddannelsessektoren et afgørende våben mod disse angreb.
Type af cybertrusler mod uddannelsesinstitutioner
Ponemon Institute og IBM har i en nyere rapport undersøgt konsekvenserne af sikkerhedsbrud i uddannelsessektoren. Forskerne fandt ud af, at 48 % af bruddene i sektoren skyldtes ondsindede angreb, som det tog op til 212 dage, før bruddet blev identificeret og inddæmmet. De ondsindede angreb fokuserede på data, herunder eksamensresultater, hvor 43 % af sektorens brugere rapporterede, at det var data om studerende, der var målet.
Der er kommet nogle forbløffende tal frem i en undersøgelse fra den britiske regering. Følgende procentdel af uddannelsesinstitutionerne var offer for et cyberangreb i 2020-2021:
- 36 % af folkeskolerne
- 58 % af de sekundære skoler
- 75 % af universiteterne
Ligesom i mange andre sektorer er det menneskelige element centralt for, om et cyberangreb lykkes. Forskning fra Stanford University har vist, at 88 % af sikkerhedsbruddene begynder med et menneske, f.eks. en medarbejder.
Følgende typer af cybertrusler er rettet mod uddannelsesinstitutioner, og da de alle har mennesker som kernen i angrebet, kan træning i sikkerhedsbevidsthed være med til at forebygge dem:
Phishing
Phishing-e-mails, voice phishing (Vishing) og spear-phishing (målrettede phishing-angreb) er en favorit blandt cyberkriminelle, fordi de fungerer godt. Undersøgelser fra Symantec viste, at 96 % af databrud begynder med en phishing-e-mail. Skoler, gymnasier og universiteter er alle udsat for phishing. En rapport fra 2021 fra Netwrix viste, at 60 % af uddannelsesinstitutionerne havde været udsat for et phishingangreb.
Hvad er ransomware, og hvordan forebygger man det?
Ransomware handler ikke længere kun om at kryptere data og kræve en løsesum for at dekryptere dem. Nu bliver dataene typisk stjålet og brugt som pressionsmiddel til at presse folk til at betale løsesummen og/eller solgt videre til andre cyberkriminelle.
Det nationale center for cybersikkerhed (NCSC) har i det seneste år udsendt en række advarsler om en stigning i antallet af ransomware-angreb mod uddannelsessektoren. Phishing er blandt de tre mest almindelige metoder, der anvendes til at inficere uddannelsesnetværk med ransomware. Andre metoder udnytter dårlig autentificering og sårbarheder i software.
Databrud og utilsigtet eksponering
Databrud er dyre for skoler, gymnasier og universiteter: En rapport om omkostningerne ved databrud fra IBM og Ponemon viste, at branchens gennemsnitlige omkostninger var 141 USD (107 £) pr. brudt post. Dette tal steg dog til 200 dollars (153 pund) i uddannelsessektoren.
Utilsigtede datalækager medfører også omkostninger og nedetid: Netwrix-rapporten viste, at næsten alle uddannelsesinstitutioner bruger dage eller uger på at opdage et utilsigtet datalækage. Og ca. en tredjedel af disse institutioner tog uger om at komme sig efter en utilsigtet datalækage.
Hvad er social engineering i cybersikkerhed? MetaCompliance
Social engineering samler ofte mange elementer i en kompleks svindel. Phishing er en typisk metode til at stjæle loginoplysninger, men svindlere bruger også i stigende grad andre metoder, herunder sociale medier og telefonopkald, til at finde oplysninger om en målperson og/eller en uddannelsesinstitution.
Usikre læringsmiljøer i hjemmet
Covid-19 og fjernundervisning har understreget behovet for god sikkerhed i hjemmemiljøet. Men fjernarbejde betyder ofte, at sikkerheden går ud over vinduet, da medlemmer af den samme husstand deler enheder og Wi-Fi-forbindelser.
Hvordan kan cybersikkerhedstræning hjælpe med at forebygge cyberangreb på skoler, gymnasier og universiteter?
Som forskningen har vist, er dataeksponering ofte en konsekvens af menneskelige faktorer. Dette omfatter både personer med manglende viden om sikkerhed og cyberkriminelle, der manipulerer menneskelig adfærd.
Træning i sikkerhedsbevidsthed udfylder hullet i forståelsen af, hvad sikkerhed handler om, og giver folk redskaberne til at forhindre cyberangreb i at finde sted. Træning i sikkerhedsbevidsthed for uddannelsessektoren er mest vellykket, når programmet for sikkerhedsbevidsthedstræning er skræddersyet til sektoren. Uddannelsessektoren har nogle unikke udfordringer, og hver type uddannelsesinstitution, fra grundskoler til universiteter, har sit eget unikke miljø og sin egen struktur.
Træning i virksomhedssikkerhed skal dække mange typer af roller i en virksomhed; roller som f.eks. kreditor- og HR-roller er målrettet mod specifikke typer cyberangreb, f.eks. Business Email Compromise (BEC).
Uddannelsesinstitutioner har også mange af de samme opgaver som en virksomhed, men universiteter skal f.eks. også uddanne både studerende og personale. Det er muligt at udforme et uddannelsesprogram, der dækker alle disse forskellige typer mennesker og roller, med en rollebaseret tilgang til sikkerhedsuddannelse. Men det skal også kunne nå ud til fjernbrugere. Uddannelsesprogrammer, der leveres ved hjælp af Software as a Service (SaaS), er ideelle til den moderne undervisningsforms distribuerede karakter.
Fem hovedelementer i uddannelse i cybersikkerhed på uddannelsesområdet
De fem hovedelementer, man skal kigge efter, når man vælger et program, der passer til en uddannelsesinstitution unikke behov, er, at programmet skal være:
- Designet til at fungere på tværs af en bred vifte af personer fra personale til studerende
- Kan skræddersyes til at afspejle de typer cyberangrebstyper, der påvirker uddannelsessektoren
- Kan leveres ved hjælp af SaaS til alle, herunder fjernarbejdere og studerende
- Indbefatter sjove og interaktive uddannelsesmoduler, der fastholder alle typer elevers opmærksomhed
- Kan generere rapporter og beviser til at hjælpe med overholdelse af lovgivningen, herunder UK GDPR.
Cyberkriminelle har ingen moral, og at angribe uddannelsessektoren viser, hvor langt de vil gå ned. Uddannelsessektorens unikke profil betyder imidlertid, at formidlingen af sikkerhedsbevidsthed skal skræddersys til disse behov. Når du vælger et program til uddannelse i sikkerhedsoplysning, skal du sikre dig, at løsningen kan opfylde de fem nøgleelementer ovenfor.
