Koulutusala on ensisijainen kohde verkkohyökkäyksille, kuten myös rahoitus- ja terveydenhuoltoala. Maailmanlaajuisesti koulutukseen kohdistuvat verkkohyökkäykset lisääntyvät jatkuvasti. Check Point Research (CPR ) havaitsi, että oppilaitoksiin kohdistuvien verkkohyökkäysten määrä kasvaa 75 prosenttia vuonna 2021, mikä nostaa sen muihin toimialoihin verrattuna kyberhyökkäysten määrän kärkipaikalle.
Koulutusala on verkkorikollisten suosima kohde, koska se on tietyiltä osin haavoittuvainen. Oppilaitoksilla ei esimerkiksi välttämättä ole varaa omaan tietoturvaryhmään. Muita tekijöitä ovat muun muassa dynaaminen käyttäjäkunta ja sellaiset käytännöt kuin "Bring Your Own Device" (BYOD), jossa opiskelijat ja henkilökunta käyttävät mobiililaitteita kirjautuakseen verkkoon ja pilvisovelluksiin.
Kun verkkohyökkäykset jatkavat tuhoa tällä haavoittuvalla alalla, koulutusalan verkkoturvakoulutuksesta tulee elintärkeä ase näitä hyökkäyksiä vastaan.
Koulutuslaitoksiin kohdistuvien kyberuhkien tyyppi
Ponemon-instituutti ja IBM tutkivat äskettäin julkaistussa raportissa tietoturvaloukkausten vaikutusta koulutussektorilla. Tutkijat havaitsivat, että 48 prosenttia alan tietoturvaloukkauksista johtui pahantahtoisista hyökkäyksistä, joiden tunnistaminen ja rajoittaminen kesti jopa 212 päivää. Ilkivaltaiset hyökkäykset kohdistuivat tietoihin, kuten tenttituloksiin, ja 43 prosenttia alan toimijoista ilmoitti, että kohteena olivat opiskelijoiden tiedot.
Yhdistyneen kuningaskunnan hallituksen tutkimuksesta on saatu joitakin häkellyttäviä lukuja. Seuraava prosenttiosuus oppilaitoksista joutui verkkohyökkäyksen uhriksi vuosina 2020-2021:
- 36 % peruskouluista
- 58 % keskiasteen oppilaitoksista
- 75 % yliopistoista
Kuten monilla muillakin aloilla, inhimilliset tekijät ovat keskeisessä asemassa tietoverkkohyökkäyksen onnistumisen kannalta. Stanfordin yliopiston tutkimuksessa on todettu, että 88 prosenttia tietoturvaloukkauksista alkaa ihmisestä, esimerkiksi työntekijästä.
Seuraavat tietoverkkouhkat kohdistuvat oppilaitoksiin, ja koska hyökkäyksen ytimessä on ihminen, tietoturvatietoisuuskoulutus voi auttaa estämään ne:
Phishing
Phishing-sähköpostit, voice phishing (Vishing) ja spear-phishing (kohdennetut phishing-hyökkäykset) ovat verkkorikollisten suosikkeja, koska ne toimivat hyvin. Symantecin tutkimuksen mukaan 96 prosenttia tietomurroista alkaa phishing-sähköpostilla. Koulut, korkeakoulut ja yliopistot ovat kaikki phishing-riskissä. Netwrixin vuonna 2021 julkaiseman raportin mukaan 60 prosenttia oppilaitoksista oli kokenut phishing-hyökkäyksen.
Mikä on Ransomware ja miten se estetään? MetaCompliance
Lunnasohjelmissa ei enää ole kyse vain tietojen salaamisesta ja lunnaiden vaatimisesta niiden salauksen purkamiseksi. Nyt tiedot tyypillisesti varastetaan ja niitä käytetään vipuvoimana lunnaiden maksamiseen painostamiseksi ja/tai myydään eteenpäin muille verkkorikollisille.
Kansallinen kyberturvallisuuskeskus (NCSC) on viime vuonna antanut useita varoituksia lisääntyneistä lunnasohjelmahyökkäyksistä koulutusalaa vastaan. Tietojenkalasteluhyökkäykset ovat yksi kolmesta yleisimmästä menetelmästä, joilla koulutusverkkoihin tartutetaan kiristysohjelmia. Muissa menetelmissä hyödynnetään heikkoa todennusta ja ohjelmistojen haavoittuvuuksia.
Tietomurrot ja vahingossa tapahtuva altistuminen
Tietomurrot ovat kalliita kouluille, korkeakouluille ja yliopistoille: IBM:n ja Ponemon raportissa tietomurron kustannuksista todettiin, että alan keskimääräiset kustannukset olivat 141 dollaria (107 puntaa) murrettua tietuetta kohden. Tämä luku nousi kuitenkin 200 dollariin (153 puntaan) koulutusalalla.
Tahattomat tietovuodot aiheuttavat myös kustannuksia ja käyttökatkoksia: Netwrixin raportissa havaittiin, että lähes kaikki oppilaitokset tarvitsevat päiviä tai viikkoja havaitakseen tahattoman tietovuodon. Ja noin kolmasosalla näistä tahattomasta tietovuodosta toipuminen kesti viikkoja.
Social engineering: Mitä on sosiaalinen manipulointi?
Sosiaalisessa manipuloinnissa yhdistyvät usein monimutkaisen huijauksen monet osatekijät. Phishing on tyypillinen menetelmä, jota käytetään kirjautumistietojen varastamiseen, mutta yhä useammin huijarit käyttävät myös muita menetelmiä, kuten sosiaalista mediaa ja puhelinsoittoja, saadakseen tietoa kohdehenkilöstä ja/tai oppilaitoksesta.
Epävarmat kodin oppimisympäristöt
Covid-19 ja etäopiskelu korostivat hyvän turvallisuuden tarvetta kotiympäristössä. Etätyöskentely tarkoittaa kuitenkin usein sitä, että tietoturva menee hukkaan, kun saman kotitalouden jäsenet käyttävät samoja laitteita ja Wi-Fi-yhteyksiä.
Miten kyberturvallisuuskoulutus voi auttaa ehkäisemään kouluihin, korkeakouluihin ja yliopistoihin kohdistuvia kyberhyökkäyksiä?
Kuten tutkimus on osoittanut, tietojen altistuminen on usein seurausta inhimillisistä tekijöistä. Tähän sisältyy sekä yksilöiden puutteellinen tietämys tietoturvasta että tietoverkkorikolliset, jotka manipuloivat ihmisten käyttäytymistä.
Turvallisuustietoisuuskoulutuksella täytetään aukko siinä, mitä tietoturva on, ja annetaan ihmisille työkalut, joilla he voivat ehkäistä verkkohyökkäyksiä. Koulutusalan tietoturvatietoisuuskoulutus onnistuu parhaiten, kun tietoturvatietoisuuskoulutusohjelma on räätälöity alalle sopivaksi. Koulutukseen liittyy joitakin ainutlaatuisia haasteita, ja jokaisella oppilaitostyypillä peruskouluista yliopistoihin on oma ainutlaatuinen ympäristönsä ja rakenteensa.
Yrityksen tietoturvatietoisuuskoulutuksen on katettava monenlaisia rooleja yrityksessä; esimerkiksi kirjanpidon ja henkilöstöhallinnon kaltaiset roolit joutuvat erityyppisten verkkohyökkäysten, esimerkiksi BEC-hyökkäysten (Business Email Compromise) kohteeksi.
Myös oppilaitoksilla on monia samoja tehtäviä kuin yrityksillä, mutta esimerkiksi yliopistojen on koulutettava opiskelijoita ja henkilökuntaa. Koulutusohjelman suunnittelu, joka kattaa kaikki nämä erityyppiset ihmiset ja roolit, on mahdollista toteuttaa turvallisuuskoulutuksen roolipohjaisella lähestymistavalla. Sen on kuitenkin kyettävä tavoittamaan myös etäkäyttäjät. Koulutusohjelmat, jotka toimitetaan Software as a Service (SaaS) -palvelun avulla, sopivat erinomaisesti nykyaikaisen koulutuksen hajautettuun luonteeseen.
Viisi keskeistä elementtiä koulutukseen liittyvässä kyberturvallisuuskoulutuksessa
Viisi tärkeintä tekijää, joita on syytä tarkastella valittaessa ohjelmaa, joka sopii oppilaitoksen ainutlaatuisiin tarpeisiin, ovat seuraavat: ohjelman on oltava:
- Suunniteltu toimimaan monenlaisten henkilöiden kanssa henkilökunnasta opiskelijoihin.
- Voidaan räätälöidä siten, että se vastaa koulutusalaa koskevia tietoverkkohyökkäystyyppejä.
- Voidaan toimittaa SaaS:n avulla kaikille, myös etätyöntekijöille ja opiskelijoille.
- Sisältää hauskoja ja vuorovaikutteisia koulutusmoduuleja, jotka pitävät kaikentyyppisten oppijoiden huomion.
- Pystyy tuottamaan raportteja ja todisteita, jotka auttavat lainsäädännön noudattamisessa, mukaan lukien Yhdistyneen kuningaskunnan GDPR.
Verkkorikollisilla ei ole moraalia, ja koulutusalalle hyökkääminen osoittaa, kuinka alas he menevät. Koulutussektorin ainutlaatuinen profiili tarkoittaa kuitenkin sitä, että tietoturvatietoisuuden tarjoaminen on räätälöitävä näiden tarpeiden mukaan. Kun valitset tietoturvatietoisuuskoulutusohjelmaa, varmista, että ratkaisu täyttää viisi edellä mainittua avaintekijää.
