A educação é um alvo principal para ataques cibernéticos, juntamente com sectores como as finanças e os cuidados de saúde. Globalmente, a educação continua a assistir a um aumento dos ataques cibernéticos contra o sector. Check Point Research (CPR) encontrou um aumento de 75% nos ataques cibernéticos contra estabelecimentos de ensino em 2021, colocando-o no primeiro lugar em termos do número de ataques cibernéticos em comparação com outros sectores da indústria.
A educação é um alvo privilegiado dos cibercriminosos porque tem certos aspectos que a tornam vulnerável. Por exemplo, os estabelecimentos de ensino podem não ter o luxo de ter uma equipa de segurança dedicada. Outros factores incluem uma base dinâmica de utilizadores e políticas como "Bring Your Own Device" (BYOD), onde estudantes e pessoal utilizam dispositivos móveis para entrar na rede e aplicações na nuvem.
Como os ataques cibernéticos continuam a causar estragos neste sector vulnerável, a formação em segurança cibernética para o sector da educação torna-se uma arma vital contra estes ataques.
Tipo de Ameaças Cibernéticas aos Estabelecimentos de Ensino
O Instituto Ponemon e a IBM exploraram o impacto das violações de segurança no sector da educação num relatório recente. Os investigadores descobriram que 48% das violações no sector eram de ataques maliciosos que demoravam até 212 dias para que a violação fosse identificada e contida. Os ataques maliciosos concentraram-se em dados, incluindo resultados de exames, com 43% no sector a informar que os dados dos estudantes eram o alvo.
Alguns números assombrosos saíram da investigação do governo britânico. A seguinte percentagem de estabelecimentos de ensino foi vítima de um ataque cibernético em 2020-2021:
- 36% das escolas primárias
- 58% das escolas secundárias
- 75% das universidades
Como muitos outros sectores, o elemento humano é central para o sucesso de um ataque cibernético. Pesquisas da Universidade de Stanford descobriram que 88% das violações de segurança começam com um ser humano, tal como um empregado.
Os seguintes tipos de ameaças cibernéticas visam estabelecimentos de ensino, e porque todos eles têm seres humanos no centro do ataque, a Formação de Sensibilização para a Segurança pode ajudar a preveni-los:
Phishing
Os e-mails de phishing, voice phishing (Vishing), e spear-phishing (ataques de phishing direccionados) são os favoritos entre os cibercriminosos porque funcionam bem. Pesquisas da Symantec descobriram que 96% das violações de dados começam com um e-mail de phishing. As escolas, faculdades e universidades estão todas em risco de phishing. Um relatório de 2021 da Netwrix descobriu que 60% das instituições de ensino tinham sofrido um ataque de phishing.
Ransomware: o que é e como evitar? MetaCompliance
O serviço de resgate já não consiste apenas em encriptar dados e exigir um resgate para os decifrar. Agora, os dados são tipicamente roubados e usados como alavanca para pressionar a pagar o resgate e/ou vendidos a outros cibercriminosos.
O Centro Nacional de Ciber-Segurança (NCSC) emitiu uma série de avisos no último ano sobre o aumento de ataques de resgate de software contra o sector da educação. O phishing está entre os três métodos mais comuns utilizados para infectar as redes de ensino com o serviço de resgate. Outros métodos exploram a má autenticação e vulnerabilidades do software.
Quebras de Dados e Exposição Acidental
As violações de dados são dispendiosas para escolas, faculdades e universidades: um relatório sobre o custo de uma violação de dados da IBM e Ponemon concluiu que o custo médio da indústria foi de 141 dólares (£107) por violação de registo. Contudo, este valor subiu para $200 (£153) no sector da educação.
Vazamentos acidentais de dados também resultam em custos e tempo de paragem: o relatório Netwrix descobriu que quase todas as instituições educacionais precisam de dias ou semanas para descobrir um vazamento acidental de dados. E, cerca de um terço destas levou semanas a recuperar de uma fuga acidental de dados.
Engenharia social: o que é e como evitar? MetaCompliance
A engenharia social reúne frequentemente muitos elementos de um esquema complexo. O phishing é um método típico utilizado para roubar credenciais de login, mas cada vez mais, os autores de fraudes estão também a utilizar outros métodos, incluindo meios de comunicação social e chamadas telefónicas, para descobrir informações sobre uma pessoa alvo e/ou estabelecimento de ensino.
Ambientes inseguros de aprendizagem em casa
O Covid-19 e a aprendizagem à distância destacaram a necessidade de uma boa segurança num ambiente doméstico. Mas o trabalho à distância significa muitas vezes que a segurança sai pela janela como membros dos mesmos dispositivos de partilha doméstica e ligações Wi-Fi.
Como pode a formação em segurança cibernética ajudar a prevenir ataques cibernéticos a escolas, faculdades e universidades?
Como a investigação tem demonstrado, a exposição de dados é frequentemente uma consequência de factores humanos. Isto inclui tanto indivíduos com falta de conhecimento sobre segurança como cibercriminosos que manipulam o comportamento humano.
A Formação de Sensibilização para a Segurança preenche a lacuna na compreensão do que é a segurança e dá às pessoas as ferramentas para impedir que ataques cibernéticos aconteçam. A Formação de Sensibilização para a Segurança no sector da educação é mais bem sucedida quando o programa de Formação de Sensibilização para a Segurança é adaptado ao sector. A educação tem alguns desafios únicos, e cada tipo de estabelecimento de ensino, desde as escolas primárias às universidades, tem o seu próprio ambiente e estrutura únicos.
A Formação de Sensibilização para a Segurança Empresarial deve abranger muitos tipos de funções dentro de uma empresa; funções tais como contas a pagar e RH a ser alvo de tipos específicos de ataques cibernéticos, por exemplo, o Compromisso de Email Empresarial (BEC).
Os estabelecimentos de ensino também têm muitas das mesmas funções de uma empresa, no entanto, as universidades, por exemplo, também devem formar tanto estudantes como pessoal. A concepção de um programa de formação que abranja todos estes diferentes tipos de pessoas e papéis é realizável com uma abordagem baseada em papéis para a formação em segurança. Mas também deve ser capaz de alcançar utilizadores remotos. Os programas de formação que são entregues utilizando Software como Serviço (SaaS) são ideais para a natureza distribuída da educação moderna.
Cinco Elementos Chave da Formação em Segurança Cibernética para a Educação
Os cinco elementos principais a procurar ao escolher um programa que se adapte às necessidades únicas de um estabelecimento de ensino são, o programa deve ser:
- Concebido para trabalhar com uma vasta gama de indivíduos, desde o pessoal até aos estudantes
- Pode ser adaptado para reflectir os tipos de ataques informáticos que afectam o sector da educação
- Pode ser entregue com SaaS a todos, incluindo trabalhadores e estudantes à distância
- Incorpora módulos de formação divertidos e interactivos que mantêm a atenção de todos os tipos de alunos
- Pode gerar relatórios e provas para ajudar no cumprimento da regulamentação, incluindo o GDPR do Reino Unido.
Os cibercriminosos não têm moral e atacar o sector da educação mostra o quão baixo eles vão ser. No entanto, o perfil único do sector da educação significa que o fornecimento de sensibilização em matéria de segurança deve ser adaptado a essas necessidades. Ao escolher um programa de Formação de Sensibilização para a Segurança, certifique-se de que a solução pode satisfazer os cinco elementos chave acima referidos.