A importância da formação em cibersegurança no sector da educação

A educação é um alvo privilegiado dos ciberataques, juntamente com sectores como as finanças e os cuidados de saúde. A nível mundial, a educação continua a registar aumentos nos ciberataques contra o sector. A Check Point Research (CPR) encontrou um aumento de 75% nos ciberataques contra estabelecimentos de ensino em 2021, colocando-o no primeiro lugar em termos de número de ciberataques em comparação com outros sectores da indústria.

A educação é um dos alvos preferidos dos cibercriminosos porque tem certos aspectos que a tornam vulnerável. Por exemplo, os estabelecimentos de ensino podem não ter o luxo de ter uma equipa de segurança dedicada. Outros factores incluem uma base de utilizadores dinâmica e políticas como a “Bring Your Own Device” (BYOD), em que os estudantes e o pessoal utilizam dispositivos móveis para iniciar sessão na rede e em aplicações na nuvem.

Como os ataques cibernéticos continuam a causar estragos neste sector vulnerável, a formação em cibersegurança para o sector da educação torna-se uma arma vital contra estes ataques.

Tipo de ciberameaças aos estabelecimentos de ensino

O Ponemon Institute e a IBM exploraram o impacto das violações de segurança no sector da educação num relatório recente. Os investigadores descobriram que 48% das violações no sector foram provocadas por ataques maliciosos que demoraram até 212 dias a serem identificados e contidos. Os ataques maliciosos centraram-se em dados, incluindo resultados de exames, com 43% do sector a referir que os dados dos estudantes eram o alvo.

O Governo britânico divulgou alguns números surpreendentes . A seguinte percentagem de estabelecimentos de ensino foi vítima de um ataque cibernético em 2020-2021:

• • 36% das escolas primárias

• • 58% das escolas secundárias

• • 75% das universidades

Como em muitos outros sectores, o elemento humano é fundamental para o sucesso de um ataque cibernético. Uma investigação da Universidade de Stanford revelou que 88% das violações de segurança começam com um ser humano, como um empregado.

Os seguintes tipos de ciberameaças visam os estabelecimentos de ensino e, como todos eles têm seres humanos no centro do ataque, a formação em sensibilização para a segurança pode ajudar a preveni-los:

Phishing

Os e-mails de phishing, o phishing de voz (Vishing) e o spear-phishing (ataques de phishing direcionados) são os favoritos dos cibercriminosos porque funcionam bem. Um estudo da Symantec revelou que 96% das violações de dados começam com um e-mail de phishing. As escolas, os colégios e as universidades estão todos em risco devido ao phishing. Um relatório de 2021 da Netwrix revelou que 60% das instituições de ensino tinham sofrido um ataque de phishing.

Ransomware

O ransomware já não se limita a encriptar dados e a exigir um resgate para os desencriptar. Agora, os dados são normalmente roubados e utilizados como alavanca para pressionar o pagamento do resgate e/ou vendidos a outros cibercriminosos.

O Centro Nacional de Cibersegurança (NCSC) emitiu uma série de avisos no último ano sobre o aumento dos ataques de ransomware contra o sector da educação. O phishing é um dos três métodos mais comuns utilizados para infetar redes de ensino com ransomware. Outros métodos exploram a falta de autenticação e as vulnerabilidades do software.

Violações de dados e exposição acidental

As violações de dados são dispendiosas para as escolas, colégios e universidades: um relatório sobre o custo de uma violação de dados da IBM e da Ponemon concluiu que o custo médio da indústria era de 141 dólares (107 libras) por registo violado. No entanto, este valor subiu para $200 (£153) no sector da educação.

As fugas acidentais de dados também resultam em custos e tempo de inatividade: o relatório da Netwrix descobriu que quase todas as instituições de ensino precisam de dias ou semanas para descobrir uma fuga acidental de dados. E cerca de um terço destas instituições demorou semanas a recuperar de uma fuga acidental de dados.

Engenharia social

A engenharia social reúne frequentemente muitos elementos de uma burla complexa. O phishing é um método típico utilizado para roubar credenciais de acesso, mas cada vez mais os burlões utilizam também outros métodos, incluindo as redes sociais e os telefonemas, para obter informações sobre uma pessoa e/ou um estabelecimento de ensino.

Ambientes inseguros de aprendizagem em casa

A Covid-19 e a aprendizagem à distância realçaram a necessidade de uma boa segurança num ambiente doméstico. Mas o teletrabalho significa muitas vezes que a segurança é posta de parte, uma vez que os membros da mesma família partilham dispositivos e ligações Wi-Fi.

Como é que a formação em segurança cibernética pode ajudar a prevenir ataques cibernéticos em escolas, faculdades e universidades?

Como a investigação demonstrou, a exposição de dados é frequentemente uma consequência de factores humanos. Isto inclui tanto a falta de conhecimentos sobre segurança por parte dos indivíduos como a manipulação do comportamento humano por parte dos cibercriminosos.

A Formação de Sensibilização para a Segurança preenche a lacuna na compreensão do que é a segurança e dá às pessoas as ferramentas para evitar a ocorrência de ataques informáticos. A formação de sensibilização para a segurança no sector da educação é mais bem sucedida quando o programa de formação de sensibilização para a segurança é adaptado ao sector. A educação tem alguns desafios únicos e cada tipo de estabelecimento de ensino, desde escolas primárias a universidades, tem o seu próprio ambiente e estrutura únicos.

A Formação de Sensibilização para a Segurança Empresarial deve abranger muitos tipos de funções dentro de uma empresa; funções como contas a pagar e RH são alvo de tipos específicos de ataques cibernéticos, por exemplo, Business Email Compromise (BEC).

Os estabelecimentos de ensino também têm muitas das mesmas funções que uma empresa, no entanto, as universidades, por exemplo, também têm de formar estudantes e funcionários. A conceção de um programa de formação que abranja todos estes diferentes tipos de pessoas e funções é possível com uma abordagem à formação em segurança baseada em funções. Mas também deve ser capaz de chegar aos utilizadores remotos. Os programas de formação que são fornecidos através de Software as a Service (SaaS) são ideais para a natureza distribuída da educação moderna.

Cinco elementos-chave da formação em cibersegurança para o ensino

Os cinco principais elementos a procurar ao escolher um programa que se adapte às necessidades exclusivas de um estabelecimento de ensino são: o programa deve ser:

1. 1. Concebida para funcionar com uma vasta gama de indivíduos, desde o pessoal até aos estudantes

1. 1. Pode ser adaptado para refletir os tipos de ataques cibernéticos que afectam o sector da educação

1. 1. Pode ser fornecido através de SaaS a todos, incluindo trabalhadores remotos e estudantes

1. 1. Incorpora módulos de formação divertidos e interactivos que prendem a atenção de todos os tipos de alunos

1. 1. Pode gerar relatórios e provas para ajudar na conformidade regulamentar, incluindo o RGPD do Reino Unido.

Os cibercriminosos não têm moral e o ataque ao sector da educação mostra até que ponto são capazes de descer. No entanto, o perfil único do sector da educação significa que a formação em sensibilização para a segurança deve ser adaptada a essas necessidades. Quando escolheres um programa de formação em sensibilização para a segurança, certifica-te de que a solução satisfaz os cinco elementos-chave acima referidos.