Utbildning är ett utmärkt mål för cyberattacker tillsammans med sektorer som finans och hälsovård. Globalt sett fortsätter utbildningssektorn att drabbas av allt fler cyberattacker. Check Point Research (CPR) fann en 75-procentig ökning av cyberattacker mot utbildningsinstitutioner år 2021, vilket placerar den på första plats när det gäller antalet cyberattacker jämfört med andra industrisektorer.
Utbildning är ett populärt mål för cyberkriminella eftersom den har vissa aspekter som gör den sårbar. Utbildningsinstitutioner har till exempel kanske inte lyxen att ha ett dedikerat säkerhetsteam. Andra faktorer är en dynamisk användarbas och strategier som "Bring Your Own Device" (BYOD), där studenter och personal använder mobila enheter för att logga in på nätverket och molnprogrammen.
Eftersom cyberattacker fortsätter att ödelägga denna sårbara sektor blir utbildning i cybersäkerhet för utbildningssektorn ett viktigt vapen mot dessa attacker.
Typ av cyberhot mot utbildningsinstitutioner
Ponemon Institute och IBM har i en ny rapport undersökt effekterna av säkerhetsöverträdelser inom utbildningssektorn. Forskarna fann att 48 % av överträdelserna inom sektorn berodde på skadliga attacker som tog upp till 212 dagar innan överträdelsen identifierades och begränsades. De skadliga angreppen var inriktade på data, inklusive provresultat, och43 % av :s medlemmar i sektorn rapporterade att studentuppgifter var målet.
Den brittiska regeringen har tagit fram några häpnadsväckande siffror i sin forskning. Följande procentandel utbildningsinstitutioner drabbades av en cyberattack 2020-2021:
- 36 % av grundskolorna
- 58 % av gymnasieskolorna
- 75 % av universiteten
Liksom i många andra sektorer är den mänskliga faktorn central för att en cyberattack ska lyckas. Forskning från Stanford University har visat att 88 procent av säkerhetsbrotten börjar med en människa, t.ex. en anställd.
Följande typer av cyberhot riktar sig mot utbildningsinstitutioner, och eftersom alla dessa hot har människor som kärnan i attacken kan utbildning i säkerhetsmedvetenhet hjälpa till att förebygga dem:
Phishing
Fiskemejl, röstfiske (Vishing) och spear-phishing (riktade nätfiskeattacker) är en favorit bland cyberkriminella eftersom de fungerar bra. Forskning från Symantec visar att 96 % av alla dataintrång börjar med ett phishing-e-postmeddelande. Skolor, högskolor och universitet löper alla risk att drabbas av nätfiske. En rapport från Netwrix från 2021 visade att 60 % av utbildningsinstitutionerna hade upplevt en phishingattack.
Vad är ransomware och hur kan man stoppa det? MetaCompliance
Ransomware handlar inte längre bara om att kryptera data och kräva en lösensumma för att dekryptera dem. Nu stjäls uppgifterna vanligtvis och används som påtryckningsmedel för att pressa dem att betala lösensumman och/eller säljs vidare till andra cyberbrottslingar.
National Cyber Security Centre (NCSC) har under det senaste året utfärdat ett antal varningar om ökade attacker med utpressningstrojaner mot utbildningssektorn. Phishing är en av de tre vanligaste metoderna för att infektera utbildningsnätverk med utpressningstrojaner. Andra metoder utnyttjar dålig autentisering och sårbarheter i programvaran.
Dataintrång och oavsiktlig exponering
Dataintrång är dyra för skolor, högskolor och universitet: en rapport om kostnaden för dataintrång från IBM och Ponemon visade att den genomsnittliga kostnaden för branschen var 141 dollar (107 pund) per dataintrång. Denna siffra steg dock till 200 dollar (153 pund) inom utbildningssektorn.
Oavsiktliga dataläckor leder också till kostnader och driftstopp: Netwrix-rapporten visade att nästan alla utbildningsinstitutioner behöver dagar eller veckor för att upptäcka en oavsiktlig dataläcka. Och ungefär en tredjedel av dessa tog veckor på sig för att återhämta sig från en oavsiktlig dataläckage.
Vad är social engineering eller social ingenjörskonst?
Social ingenjörskonst samlar ofta ihop många delar av en komplex bluff. Fiske är en typisk metod som används för att stjäla inloggningsuppgifter, men bedragare använder allt oftare även andra metoder, inklusive sociala medier och telefonsamtal, för att ta reda på information om en målperson och/eller en utbildningsinstitution.
Osäkra inlärningsmiljöer i hemmet
Covid-19 och fjärrundervisning har visat på behovet av god säkerhet i hemmiljön. Men distansarbete innebär ofta att säkerheten inte fungerar eftersom medlemmarna i samma hushåll delar enheter och Wi-Fi-anslutningar.
Hur kan utbildning i cybersäkerhet bidra till att förhindra cyberattacker mot skolor, högskolor och universitet?
Som forskningen har visat är dataexponering ofta en följd av mänskliga faktorer. Det gäller både personer som saknar kunskap om säkerhet och cyberkriminella som manipulerar mänskligt beteende.
Utbildning i säkerhetsmedvetenhet fyller gapet i förståelsen av vad säkerhet handlar om och ger människor verktygen för att förhindra cyberattacker. Utbildning i säkerhetsmedvetenhet för utbildningssektorn är mest framgångsrik när programmet för säkerhetsmedvetenhet är skräddarsytt för sektorn. Utbildningssektorn har en del unika utmaningar och varje typ av utbildningsinstitution, från grundskolor till universitet, har sin egen unika miljö och struktur.
Utbildningen för medvetenhet om företagssäkerhet måste omfatta många olika typer av roller inom ett företag; roller som leverantörsreskontra och HR är målinriktade för specifika typer av cyberattacker, till exempel Business Email Compromise (BEC).
Utbildningsinstitutioner har också många av samma uppgifter som ett företag, men universitet till exempel måste också utbilda både studenter och personal. Att utforma ett utbildningsprogram som täcker alla dessa olika typer av människor och roller är möjligt med en rollbaserad strategi för säkerhetsutbildning. Men det måste också kunna nå fjärranvändare. Utbildningsprogram som levereras med hjälp av SaaS (Software as a Service) är idealiska för den moderna utbildningens distribuerade karaktär.
Fem nyckelelement i utbildning om cybersäkerhet för utbildning
De fem viktigaste delarna att titta efter när man väljer ett program som passar en utbildningsinstitution unika behov är följande: Programmet måste vara:
- Utformad för att fungera med ett brett spektrum av individer, från personal till studenter.
- Kan skräddarsys för att återspegla de typer av cyberattacker som påverkar utbildningssektorn.
- Kan levereras med SaaS till alla, även till distansarbetare och studenter.
- Inkluderar roliga och interaktiva utbildningsmoduler som behåller uppmärksamheten hos alla typer av elever.
- Kan generera rapporter och bevis för att hjälpa till med regelefterlevnad, inklusive UK GDPR.
Cyberbrottslingar har ingen moral och attacker mot utbildningssektorn visar hur lågt de kan gå. Utbildningssektorns unika profil innebär dock att säkerhetsmedvetandet måste anpassas till dessa behov. När du väljer ett program för utbildning i säkerhetsmedvetenhet bör du se till att lösningen kan uppfylla de fem nyckelelementen ovan.