26/06/2024

Общественность и эксперты США обеспокоены массовыми утечками конфиденциальных сведений об учениках. В будущем эта информация может нанести непоправимый ущерб репутации граждан.

 

ПОД ПРИЦЕЛОМ

В марте в учебных заведениях США начался весенний семестр. Пока студенты и преподаватели сосредоточены на учёбе, хакеры держат их под прицелом.

Согласно исследованиям, интерес киберпреступников к сектору образования постоянно растёт. Самыми распространёнными видами атак остаются вредоносные программы и фишинг. В разбивке по отраслям образование занимает пятое место в мире по количеству киберпреступлений, пишет обозреватель Forbes Юта Гуринавичюте, технический директор компании Nord Layer, работающей в кибербезопасности.

Отрасль образования привлекательна для киберпреступников из-за большого финансового оборота и порой низкой защищённости. Но привлекательна она и по другим причинам:

  • в учебных заведениях сконцентрированы хранилища конфиденциальных сведений, интеллектуальной собственности, передовых исследований и инноваций, а также персональных данных сотрудников и учащихся. Это делает учреждения образования мишенью для краж и программ-вымогателей;
  • несмотря на высокую концентрацию конфиденциальной информации, организации выделяют недостаточное финансирование на безопасность и часто не готовы противостоять киберугрозам;
  • университетам не хватает приложений безопасности корпоративного уровня, брандмауэров, систем обнаружения угроз и передовых средств киберзащиты, которые могли бы смягчить последствия атак;
  • широкая поверхность для атаки (кампусы, университетские сети, исследовательские центры, персональные устройства студентов и преподавателей), наличие множества потенциальных уязвимостей;
  • рост программ онлайн-обучения расширил зону атаки за счёт внедрения дополнительной инфраструктуры, программных платформ и точек доступа, уязвимых для вторжений.

По данным статистики, в 2021–2022 гг. образовательные и научно-исследовательские учреждения ежемесячно сталкивались с наибольшим количеством атак по сравнению с другими отраслями промышленности. Для системы школ K-12 основные угрозы связаны с использованием уязвимостей (29% атак) и фишинга (30%).

Наибольшую опасность для сектора образования представляет социальная инженерия, особенно фишинговые атаки, направленные на кражу учётных записей для входа в систему для последующей атаки на высокопоставленных лиц. От вымогателей страдают 79% поставщиков системы высшего образования и 80% поставщиков — среднего.

Попав в систему, злоумышленники часто используют программы-вымогатели для шифрования данных и вымогательства средств у учреждений. В период с 2018 по сентябрь 2023 г. 561 атака вымогателей на школы по всему миру и последующий их простой стоили более $53 млрд. За этот период было взломано более 6,7 млн учётных записей, о многих атаках не сообщалось, говорится в исследовании компании Comparitech.

Ещё одна угроза школам — DDoS-атаки. Заказать такую услугу за $10 и отключить любую школу может практически каждый.

Что стоит сделать учебным организациям для надёжной защиты? По мнению эксперта, необходимо сочетать новые стратегии безопасности и лучшие практики: внедрять многофакторную аутентификацию, шифрование данных, повышать уровень грамотности сотрудников и учащихся, обучая их технике безопасности для предотвращения взломов. Создать закрытые каналы связи для обеспечения безопасности дистанционного обучения.

Важный шаг — сотрудничество школ со специализированными компаниями, работающими в сфере ИТ-безопасности. Это позволит учреждениям любых размеров получить доступ к инструментам безопасности корпоративного уровня, а внешний аудит поможет им выявить пробелы в инфраструктуре. Принятие активной позиции, ориентированной на предотвращение кибератак, а не на реагирование на их последствия, позволит решить многие вопросы защиты и избежать массовых сбоев.

 

«ТЕХНИЧЕСКИЕ ТРУДНОСТИ»

Когда многодетная мать Селеста Граватт впервые услышала о взломе школьной системы округа и краже данных её детей в феврале 2023 года, это событие не показалось ей значительным. Чиновники государственных школ Миннеаполиса назвали утечку «системным инцидентом», затем «техническими трудностями» и, наконец, «событием, связанным с шифрованием». 

По мнению экспертов, атака на государственные школы Миннеаполиса стала одной из самых разрушительных кибератак за всю историю заведений. Хакеры украли данные школьного округа, включая файлы, по которым можно идентифицировать детей. За сведения они потребовали от округа заплатить выкуп. После отказа чиновников вымогатели опубликовали конфиденциальные сведения в интернете. В них были указаны номера социального страхования, данные школьной службы безопасности и информация о сексуальных домогательствах и психиатрических заключениях. Школьные чиновники отказались комментировать инцидент. В письменном заявлении округ сообщил, что направил письменные уведомления об утечке более чем 105 тыс. жертв инцидента. 

Спустя год Селеста Граватт в интервью новостному порталу NPR оценивает эту утечку как катастрофическую. В открытый доступ попала конфиденциальная информация, касающаяся не только учёбы, но и здоровья детей, иные сведения, которые может купить любой. Неизвестно, какое влияние эта утечка может оказать на детей в будущем. 

Атака на школы Миннеаполиса — пример растущей общенациональной тенденции. Реальные масштабы кибератак на школьную систему K-12 оценить сложно. По данным анализа, проведённого компаний по кибербезопасности Emsisoft, в 2022 г. 45 школьных округов сообщили, что подверглись атакам. В 2023 г. таких округов стало уже 108. Утечки информации могут включать сведения о дисциплине, записи о специальном образовании, истории болезней и многое другое, что реально продать. В округах есть данные обо всём — от аллергии ребёнка и отстранения от занятий до доходов семьи и судебных постановлений. Эти сведения касаются как школьников, так и давно покинувших учреждения учеников. Хакеры угрожают обнародовать такую информацию, если округа не заплатят выкуп, как это было в Миннеаполисе. 

Как отмечают эксперты компании K12 Security Information eXchange, некоммерческой организации, помогающей защитить школьные округа от рисков кибербезопасности, персональные данные детей более ценны для хакеров, чем сведения о взрослых. Злоумышленники могут легко открывать банковские счета, накапливать долги и подавать заявки на получение займов на имя ребёнка. В результате киберпреступники могут злоупотреблять кредитными картами несовершеннолетних в течение многих лет, прежде чем жертвы узнают об этом. 

Эксперты отмечают, что темнокожие ученики особенно уязвимы к последствиям взлома. Согласно отчёту Департамента по правам человека Миннесоты, у темнокожих учащихся в восемь раз больше шансов быть отстранёнными от занятий или исключёнными из школы, чем у белых. Чем больше информации собрано об учащемся — о его жилье, опеке, употреблении наркотиков, нарушении дисциплины или бесплатных обедах, тем более уязвимыми становятся пострадавшие после утечки. Например, учащиеся, ставшие жертвами сексуальных домогательств, данные о которых были обнародованы в результате утечки, уже подверглись травле со стороны сверстников. 

Долгосрочные последствия могут быть разрушительными для детей и преследовать их во взрослой жизни. Данные, которые по закону должны быть удалены в будущем, оказываются в открытом доступе в настоящем. Эта информация может всплыть при подаче заявлений в колледж, на собеседованиях при приёме на работу или на судебных слушаниях. Учитывая поляризацию общественного мнения по разным вопросам, например ранней беременности или иммиграционном статусе, информация из утечки может оказаться опасной для жизни в определённых ситуациях, считают эксперты. 

Государственные школы Миннеаполиса заявляют, что они предоставляли пострадавшим бесплатные услуги кредитного мониторинга в течение одного года и проинформировали о том, как защититься от кражи личных данных и мошенничества. Однако родители считают эти советы бесполезными, поскольку на реализацию всех шагов по защите уйдёт много сил и времени. Многие предпочли сменить место жительства или заблокировать возможность открывать счета на имена детей. Однако все волнуются, какое влияние окажет информация на жизнь детей и семей в будущем. 

 

КАК ПОВЫСИТЬ БЕЗОПАСНОСТЬ K-12

Школы имеют в своём распоряжении государственную поддержку и обширные ресурсы для борьбы с киберугрозами — от новых законов до K-12 «SIX Essentials Series», рекомендаций NIST и оценок Министерства внутренней безопасности США, пишет Чарли Сендер, глава компании Managed Methods, работающей в области безопасности системы K-12 для портала GovTech. Родители и преподаватели регулярно сталкиваются с угрозами кибербезопасности, которым подвергаются школьные округа США. Атаки программ-вымогателей, всевозможные угрозы и уязвимости, утечки данных требуют скоординированного реагирования со стороны общества. Какую помощь и поддержку для защиты от цифровых угроз могут предложить школьным округам различные уровни госвласти? 

В августе 2023 г. Белый дом обнародовал комплексную стратегию по усилению кибербезопасности в школах K-12, её создание было связано с появившейся статистикой атак на учебные заведения. По данным исследования Comparitech, в период с 2018 по 2023 годы в секторе образования США произошли 386 задокументированных кибератак. Убытки составили $35,1 млрд. Основной удар приняли на себя учебные заведения K-12. 

Стратегия создана по инициативе Администрации президента США при участии федеральных агентств, обладающих опытом в области кибербезопасности, в том числе Агентства по кибербезопасности и безопасности инфраструктуры (CISA), Федеральной комиссии по связи (FCC) и ФБР. В рамках инициативы FCC выделит школам в рамках пилотной программы $200 млн в течение трёх лет на укрепление киберзащиты. Однако, учитывая, что школы K-12 недофинансируются на сумму около $150 млрд в год, это предложение не соответствует масштабу проблемы. Тем не менее выделенные средства пойдут на закупку оборудования и программного обеспечения, консультационные услуги, строгие протоколы тестирования и наём специалистов по защите данных для предотвращения киберугроз. Постоянное обучение остаётся обязательным условием противодействия меняющимся рискам, поскольку технологические достижения вынуждают хакеров также постоянно менять тактику действий. 

Согласно отчёту Консорциума школьных сетей (CoSN), в 2023 г. 33 штата приняли 75 новых законов о кибербезопасности, что значительно пополнило законодательную базу. Эти законы охватывают различные политики и стратегии кибербезопасности, включая финансирование инфраструктуры, реагирование на кибератаки, разработку политик, расширение штата, порядка информирования об инцидентах и усиления управления, а также роли ИИ в кибербезопасности. 

В частности, девять законов посвящены кибербезопасности в школах начальной и средней ступени образовании. Так, Арканзас требует ежегодного пересмотра школьной политики кибербезопасности; Калифорния установила политику обмена информацией между штатом и школьными округами; Иллинойс сформировал оперативные группы реагирования на киберинциденты; Мэриленд потребовал от школ доводить до сведения родителей свою политику кибербезопасности; Техас предоставил значительное финансирование и стандарты безопасности для кибербезопасности школ K-12.  

Другие штаты выделили средства, обязали ввести инклюзивное образование в области кибербезопасности и потребовали разработки планов кибербезопасности для онлайн-школ. Таким образом, принимаются согласованные усилия по укреплению мер кибербезопасности в секторе образования. 

Какие ресурсы могут использовать школы в рамках укрепления кибербезопасности?

На учреждениях K-12 лежит ответственность за правильность планирования. Группа планирования должна состоять из школьного персонала, партнёров сообщества и представителя школьного округа, которые работают над устранением киберугроз.

Школы и округа также могут воспользоваться множеством бесплатных ресурсов для формулирования стратегических целей, задач и практических планов, что поможет им эффективно защищать свои цифровые активы.

K12 SIX Essentials Series — свод документов, который устанавливает базовые стандарты кибербезопасности для школьных округов США и предлагает рекомендации и инструменты для облегчения их внедрения. В серию входят:

  • основы кибербезопасности: что нужно знать руководителям школ K-12 на местах о лучших практиках в области кибербезопасности, признанных на национальном уровне;
  • основные средства защиты кибербезопасности K12 SIX на 2023/2024 учебный год. Краткий список действенных мер по обеспечению кибербезопасности, которые все школьные округа должны определить в качестве приоритетов для внедрения;
  • основные средства защиты кибербезопасности K12 SIX на 2023–2024 год: стандарты реализации — определяются стандарты реализации для каждой из рекомендуемых мер защиты K12 SIX;
  • инструмент самооценки округа кибербезопасности K12 SIX на 2023–2024 год. Он помогает руководителям K-12 расставить приоритеты во времени и ресурсах для информирования и устранения рисков кибербезопасности, с которыми сталкивается школьное сообщество, и для запуска реализации планов кибербезопасности;
  • учебное пособие K12 SIX Essential Cyber Incident Response — специально разработанное с учётом потребностей и контекста организаций K-12, предлагающее рекомендации по координации действий с внутренними и внешними партнёрами, общению с заинтересованными сторонами и управлению инцидентами, инициированными учащимися;
  • программа грантов штата и местного уровня по кибербезопасности (SLCGP). Содержит ключевые факты и шаги для тех, кто хочет получить гранты для поддержки улучшенных методов управления рисками кибербезопасности K-12.

Кроме того, проводятся мероприятия для участников и возможности учиться у тех, кто занимается аналогичными проблемами кибербезопасности.

Ещё одним ключевым ресурсом в арсенале обеспечения готовности школ к киберзащите является NIST Cybersecurity Framework — набор руководящих принципов, состоящих из стандартов, рекомендаций и рекомендаций по управлению рисками, связанными с кибербезопасностью, который разработан Национальным институтом стандартов и технологий США (NIST). Он основан на пяти функциях — выявление, защита, обнаружение, реагирование и восстановление — и предлагает комплексный план действий по обеспечению кибербезопасности организаций. Согласовывая эти основные функции, школы могут создать прочную основу для снижения киберрисков и повышения устойчивости к потенциальным угрозам.

Кроме того, команда национальной оценки кибербезопасности и технических служб, подразделение Национального центра интеграции кибербезопасности и коммуникаций Министерства внутренней безопасности США, готова предложить школам и округам поддержку в укреплении кибербезопасности. С помощью различных методов, таких как кибергигиена, оценка фишинговых кампаний, оценка рисков и уязвимостей, школы могут укрепить свою защиту в критически важных областях.

Кибергигиена включает автоматическое сканирование уязвимостей для создания еженедельных отчётов, а также выявление и устранение угроз. Оценка фишинговых кампаний даёт представление о восприимчивости школьных сообществ к фишинговым атакам по электронной почте, администраторы могут планировать обучение персонала для повышения осведомлённости. Оценки рисков и уязвимостей включают оценку фишинговых угроз, безопасности беспроводных сетей и анализ веб-приложений, что даёт школам возможность выявлять и устранять уязвимости в своей экосистеме.

Используя государственные ресурсы, частно-государственное партнёрство и уделяя приоритетное внимание инвестициям в развитие кадров и технологической инфраструктуры, общество сможет защитить школы K-12 от киберугроз и обеспечить образование детей в безопасной и устойчивой среде обучения, считает эксперт портала GovTech.