Πρόσφατα, τα σχολεία του Scott County, στο Kentucky, υπέστησαν απάτες phishing ύψους 3,7 εκατομμυρίων δολαρίων. Σύμφωνα με τον Επικεφαλή Δρ Kevin Hub, ένας πωλητής ενημέρωσε ότι ένα τιμολόγιο που στάλθηκε στα σχολεία της περιοχής δεν είχε καταβληθεί. Αναζητώντας το θέμα, η περιφέρεια διαπίστωσε ότι κάποιος άλλος είχε πληρωθεί αντ ‘αυτού, μέσω ενός ψευδούς email μεταμφιεσμένου ως προμηθευτή.
Το περιστατικό στο Scott County School δεν είναι μια μεμονωμένη περίπτωση μεταξύ των εκπαιδευτικών ιδρυμάτων. Από τις 17 μεγάλες βιομηχανίες, ο κλάδος της εκπαίδευσης κατατάσσεται στη χειρότερη περίπτωση της ασφάλειας στον κυβερνοχώρο. Αυτό, σύμφωνα με μια έκθεση που δημοσιεύτηκε από την SecurityScorecard, μια εταιρεία ασφάλειας IT που εδρεύει στη Νέα Υόρκη. Η έρευνα του SecurityScorecard καταδεικνύει ότι υπάρχει σημαντικός κίνδυνος για τους σπουδαστές.
Πρώτον, τα τεράστια ποσά των δεδομένων προσωπικού χαρακτήρα των σπουδαστών συσσωρεύονται στα σχολικά δίκτυα, συμπεριλαμβανομένων των ακαδημαϊκών, υγειονομικών και οικονομικών στοιχείων. Ο κλάδος της εκπαίδευσης παραλείπει επίσης να λάβει πολλά από τα απαραίτητα βήματα για την προστασία των φοιτητών από επιθέσεις στον κυβερνοχώρο. Στην Έκθεσή της για την Παγκόσμια Ασφάλεια στον τομέα της Εκπαίδευσης (2018), η SecurityScorecard διαπίστωσε ότι οι κύριοι τομείς της αδυναμίας στον τομέα της ασφάλειας στον κυβερνοχώρο είναι η ασφάλεια εφαρμογών, η ασφάλεια των endpoint και η ασφάλεια του δικτύου.
Τα δίκτυα των πανεπιστημίων είναι ιδιαίτερα ευάλωτα σε κυβερνοεπιθέσεις, λέει ο Sam Kassoumeh, επικεφαλής λειτουργός και συνιδρυτής του SecurityScorecard. “Υπάρχει μεγάλο θέμα έκθεσης δεδομένων σε ένα πανεπιστήμιο. Είναι χιλιάδες οι συσκευές που διανέμονται σε μια πανεπιστημιούπολη.”
Εκτός αυτού, οι μαθητές χρησιμοποιούν συχνά περισσότερες από μία συσκευές μέσα και έξω από την τάξη, με διαφορετικό βαθμό ασφάλειας να εφαρμόζεται στις συσκευές. Η έλλειψη πόρων για την ασφάλεια στον κυβερνοχώρο κυριαρχεί στον κλάδο της εκπαίδευσης και επηρεάζει το μέγεθος και την ποιότητα των σχολικών τμημάτων πληροφορικής.
Ο Ed Hudson, επικεφαλής της Υπηρεσίας Πληροφοριών για την Ασφάλεια Πληροφοριών του Πανεπιστημιακού Κρατικού Πανεπιστημίου της Καλιφόρνιας, δήλωσε στην EdScoop: “Νομίζω ότι το Cybersecurity της Τριτοβάθμιας Εκπαίδευσης δεν είναι όμοιο με οποιαδήποτε άλλη βιομηχανία.” Σημείωσε ότι ο τομέας της εκπαίδευσης έχει αρκετά ανοιχτά δίκτυα προκειμένου να ικανοποιηθούν οι ανάγκες των διδασκόντων και των σπουδαστών. “Η πρόκληση για την ασφάλεια στον κυβερνοχώρο είναι μια συνεχής πράξη εξισορρόπησης για την παροχή του ασφαλέστερου δυνατού περιβάλλοντος, ενώ παράλληλα το καθιστούμε πιο ανοιχτό για να διευκολύνει την ακαδημαϊκή έρευνα”, δήλωσε ο Hudson.
Τα στοιχεία δείχνουν ότι μια σχολική περιφέρεια των ΗΠΑ γίνεται θύμα μιας κυβερνοεπίθεσης περίπου κάθε τρεις ημέρες. Τα περιστατικά στον κυβερνοχώρο κυμαίνονται από παραβιάσεις δεδομένων σε απάτες phishing μέχρι επιθέσεις ransomware. Πολλά από τα επεισόδια είναι εξαιρετικά σοβαρά, με αποτέλεσμα την κλοπή εκατομμυρίων δολαρίων, την κλοπή ταυτότητας ή την καταστροφή σχολικών αρχείων.
Στην έκθεση του Malwarebytes για την κατάσταση του 2019, ο τομέας της εκπαίδευσης αποκαλύπτεται ότι είναι σταθερά μια από τις 10 πρώτες βιομηχανίες που στοχεύουν οι εγκληματίες του κυβερνοχώρου.
Τα ακόλουθα είναι μια σειρά πρόσφατων επιθέσεων στα σχολεία:
- Αναφέρονται επίσης από την Bleeping Computer, “μερικοί γονείς των φοιτητών που φοιτούσαν στο κολέγιο St Lawrence στο Ramsgate έγιναν στόχος απατεώνων. Σύμφωνα με το σχολείο, οι γονείς έλαβαν μηνύματα ηλεκτρονικού ταχυδρομείου που προσφέρουν εκπτώσεις για τους ανοιξιάτικους και καλοκαιρινούς μήνες, αν συμφωνούσαν να στείλουν τα χρήματα εκ των προτέρων. Οι απατεώνες χρησιμοποίησαν μια κοινή επίθεση απάτης ηλεκτρονικού ταχυδρομείου, υποσχόμενη στα θύματά τους μερικές γρήγορες απολαβές, εάν επωφεληθούν από τις εκπτώσεις. “
- Νωρίτερα αυτό το μήνα το Georgia Tech ανακοίνωσε ότι ήταν ο στόχος ενός cyberattack στο οποίο οι βάσεις δεδομένων του είχαν διεισδύσει και ότι κλέφθηκαν τα προσωπικά στοιχεία περίπου 1,3 εκατομμυρίων τρέχοντων και πρώην φοιτητών, υπαλλήλων και υποψηφίων.
- Το κρατικό πανεπιστήμιο της Ουάσιγκτον συμφώνησε να παραδώσει μέχρι και 4,7 εκατομμύρια δολάρια για να διευθετήσει μια αγωγή που κατατέθηκε μετά από ένα σκληρό δίσκο που περιείχε τις προσωπικές πληροφορίες περισσότερων από ένα εκατομμύριο ανθρώπων που απομακρύνθηκε από μια αποθήκη αποθήκευσης το 2017. Ο κλεμμένος σκληρός δίσκος περιείχε διευθύνσεις, τους αριθμούς κοινωνικής ασφάλισης, τις πληροφορίες σταδιοδρομίας, τα δεδομένα για την υγεία και τις βαθμολογίες των δοκιμασιών εισαγωγής σε κολέγια.
- Στη Νεβάδα, η αστυνομία της σχολικής περιφέρειας του Clark County ερευνά την ύποπτη απόπειρα hacking του λογαριασμού του Foothill High School στο Twitter.
- Σύμφωνα με την CBS της Νέας Υόρκης, δύο νέοι φοιτητές από το Secaucus High School στο New Jersey έμειναν υπό κράτηση μετά το hacking στο σύστημα Wi-Fi του σχολείου, επειδή δεν ήθελαν να δώσουν εξετάσεις.
- Πρώην φοιτητής στο College of Saint Rose στο Albany της Νέας Υόρκης, Vishwanath Akuthota, εισέβαλλε σε πάνω από 50 υπολογιστές κολεγίων με ένα “Killer USB”.
Η κακή κατάσταση της ασφάλειας του κυβερνοχώρου στα σχολεία περιπλέκεται περαιτέρω από το γεγονός ότι οι φοιτητές είναι κατά κανόνα πιο εξειδικευμένοι από τους εκπαιδευτικούς. Έτσι, ακόμη και αν έχουν τεθεί σε εφαρμογή περιορισμοί, πολλοί μαθητές είναι σε θέση να τους παρακάμψουν και να θέσουν σε κίνδυνο την ασφάλεια.
Υπάρχει επίσης δυνητικός κίνδυνος όταν οι μαθητές έχουν μια συγκεκριμένη τεχνολογική συμπεριφορά, όπως η χρήση εφαρμογών Vault. Οι εφαρμογές Vault παρέχουν κάλυψη για την πρόσβαση στο darknet, όπου μπορούν να πληρώσουν έναν hacker για να αλλάξουν τις βαθμολογίες τους ή να αγοράσουν ακαδημαϊκά έγγραφα, πλαστά δελτία ταυτότητας ή όπλο.
