W sektorze edukacji zaszły ostatnio ogromne zmiany odczuwalne dla nauczycieli, rodziców i uczniów, a także informatyków. Nie ulega wątpliwości, że ogólnoświatowy lockdown okazał się katalizatorem, który przyspieszył wprowadzenie do szkół zdalnego nauczania opartego na technologiach cyfrowych. Technologie informatyczne cały czas się rozwijają. Strategie bezpieczeństwa danych muszą dotrzymać im kroku. Trzeba więc szczelnie zabezpieczyć dane instytucji edukacyjnych przed atakami ransomware - jednym z najczęstszych typów zagrożeń.
Systemy informatyczne szkół gromadzą informacje dotyczące uczniów, pracowników i nauczycieli należące do kategorii danych osobowych lub wrażliwych (np. oceny, dane demograficzne lub odpowiedzi na różnego rodzaju ankiety). Informacje te są atrakcyjne dla potencjalnych hakerów, którzy wiedzą, że ich wyciek może bardzo zaszkodzić reputacji danej instytucji, więc liczą na uzyskanie większego okupu.
Aby nie dopuścić do bezpośredniego starcia z takimi cyberprzestępcami, należy stosować środki proaktywne zamiast reaktywnych. Informatycy, którzy odpowiadają za szkolne środowiska informatyczne, powinny tworzyć strategie ochrony danych obejmujące edukację użytkowników, wdrożenie odpowiednich technologii i stosowanie działań naprawczych. W ten sposób powstanie nieprzepuszczalna bariera ochronna.
Ocena ryzyka
Aby zrozumieć, na czym polega zagrożenie, trzeba poznać sposób działania jego sprawców. Istnieją trzy główne mechanizmy wykorzystywane przez cyberprzestępców w celu włamania się do systemu: protokół RDP (Remote Desktop Protocol) lub inne narzędzia do zdalnego dostępu, wyłudzanie danych osobowych (phishing) i proces aktualizacji oprogramowania. Wiedząc o tym, placówki edukacyjne mogą strategicznie ukierunkować swoje inwestycje i zyskać maksymalną odporność na ataki ransomware z uwzględnieniem wektorów ataków.
Większość administratorów systemów informatycznych korzysta z protokołu RDP na co dzień, a wiele serwerów RDP jest wciąż połączonych bezpośrednio z Internetem. W rezultacie ponad połowa sprawców ataków ransomware wykorzystuje protokół RDP, aby dostać się do systemu. Inną metodą jest rozsyłanie wiadomości e-mail mających na celu wyłudzenie danych wrażliwych (phishing). Istnieją dwa popularne narzędzia, Gophish i KnowBe4, pozwalające sprawdzić, czy otrzymaliśmy taki e-mail, a tym samym zmniejszyć ryzyko, na jakie narażona jest nasza firma czy instytucja. Nie można również zapominać o konieczności aktualizowania najważniejszych zasobów informatycznych - systemów operacyjnych, aplikacji, baz danych i oprogramowania wbudowanego w urządzenia. To kompleksowe podejście warto rozszerzyć na centra przetwarzania danych, które są narażone na ataki tak samo jak systemy lokalne.
Wdrożenie odpowiednich technologii
Odporność środowiska informatycznego na ataki ransomware zależy od takich czynników, jak wdrożenie odpowiedniego rozwiązania do tworzenia kopii zapasowych, znajomość sposobu działania hakerów i zastosowanie właściwych środków naprawczych. Newralgiczne znaczenie ma wdrożenie infrastruktury tworzenia kopii zapasowych.
Bardzo ważne jest również bezpieczeństwo repozytoriów kopii zapasowych. Zaleca się więc, aby nie były one dostępne z systemu szkoły. Pracownicy mający do nich dostęp mogliby doprowadzić do wycieku danych na zewnątrz. Dlatego, o ile to możliwe, takie repozytoria powinny być zarządzane przez firmę zewnętrzną.
Działania naprawcze
Nawet jeśli przeszkolimy pracowników w zakresie ochrony przed atakami ransomware i wdrożymy odpowiednie technologie, musimy być zawsze przygotowani na taki atak i gotowi do podjęcia odpowiednich działań.
W przypadku ataku trzeba pamiętać o następujących zasadach:
• Nie należy płacić okupu.
• Jedyną opcją jest odtworzenie danych.
Jednym z najważniejszych aspektów procesu usuwania skutków ataku jest wskazanie osób odpowiedzialnych za podejmowanie decyzji. Należy opracować protokół określający, kto ma kierować procesem odtwarzania danych lub przełączenia awaryjnego, a także listę osób kontaktowych w sprawach bezpieczeństwa, reagowania na incydenty i zarządzania tożsamością, do których można się zwrócić w razie potrzeby. Podczas usuwania skutków ataku niezwykle ważny jest czas. Dlatego wszystkie niezbędne procedury należy przygotować wcześniej.
Inwestycję w system tworzenia kopii zapasowych należy traktować podobnie jak ubezpieczenie mieszkania. Wszyscy mamy nadzieję, że nie będziemy musieli z niego korzystać, ale w razie czego szkoła będzie mieć zapewnioną ochronę, a dane pracowników i uczniów pozostaną bezpieczne. Dzięki przeszkoleniu pracowników w zakresie ochrony przed zagrożeniami, wdrożeniu właściwej infrastruktury oraz stosowaniu odpowiednich protokołów działań naprawczych, instytucja edukacyjna może nie tylko zwiększyć odporność swojego środowiska informatycznego na ataki ransomware, lecz również uniknąć utraty danych, strat finansowych i utraty reputacji.
Autor: Rick Vanover, dyrektor ds. strategii produktowej w firmie Veeam
