A világjárvány kezdetekor egyik hétről a másikra tanárok és diákok kerültek a fizikai tantermekből az online videoplatformok virtuális osztálytermeibe. A könyveket felváltották a táblagépek, a tábla helyett a képernyőmegosztás vált rutinná, az üzenetküldő alkalmazások pedig a szocializáció új színterévé váltak. Az online oktatásra váltó iskolák számára új kihívások merültek fel az adatvédelmi aggályok, az adatszivárgás és a hackerek jelenléte miatt. Ez az újfajta oktatási mód azonban velünk maradt azután is, hogy a tanulók mostanra jórészt visszatértek az iskolaépületekbe. 

Minden iskola kockázatot vállal…

Az iskolák számos érzékeny adatot birtokolnak, gondoljunk csak a nevekre, címekre, a diákok egészségügyi adataira és fizetési adatokra. Minden munkahely, így az iskolák és dolgozóik számára érzékeny adatokra pedig kiemelten utaznak a támadók, belekalkulálva azt az esélyt, hogy az iskolák közül sok helyen hiányos, anyagi okok miatt gyengébb védelmet találnak majd. A napokban derült ki, hogy még szeptemberben érte kibertámadás a KRÉTA rendszerét, melyet sokan csak mint e-naplót ismerik, ám valójában egy komplett közoktatási informatikai rendszer, rengeteg érzékeny adattal a gyerekekről és a pedagógusokról. Információk szerint valamennyi diák összes, a KRÉTA-ban kezelt adata kiszivároghatott, de nemcsak ezekhez, hanem a cég más adatbázisaihoz és a forráskódokhoz, illetve a fejlesztők belső kommunikációjához is hozzáférhettek. Adatvédelmi szempontból aggasztó lehet, hogy ezen adatok alapján egészen részletekbe menő profil is megalkotható egy-egy diákról.

A kiberbiztonság ezáltal az intézményvezetők egyik legfőbb feladatává vált. Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője szerint a fenyegetések nagyon különböző formákban és forrásokból érkezhetnek:

– Hackerek: A kiberbűnözők automatizált támadásai a leggyakoribb esetek, ezek jelentik a legnagyobb fenyegetést. A hackerek adathalász e-maileket küldenek, amelyek ugyan valósnak tűnnek, de igazából átverések. Céljuk, hogy az iskolákban dolgozó címzettek rákattintsanak a levélben szereplő linkre, és akaratlanul is hozzáférést adjanak a személyes adatokhoz. A birtokukba került információ által a támadók bankszámla adatokat lophatnak, amelyekkel csalást követhetnek el, vagy akár el is adhatják azokat. Valós kockázatot jelentenek a zsarolóprogram-támadások is, amelyekkel a hackerek “túszul ejtik” az iskola adatait és váltságdíjat követelnek értük. 

– Diákok: Az iskolák saját diákjai is lehetnek támadók, akik megpróbálják feltörni az iskola rendszerét. Néha mindez csak szórakozásból történik, máskor viszont az érdemjegyek megváltoztatása, a diáktársak adatainak megszerzése a cél. 

– Iskolai alkalmazottak: A diákokhoz hasonlóan az intézményben dolgozók is követhetnek el belső kibertámadást. Bár ez ebben a szektorban ritka eset, mégis előfordulhat, hogy szándékosan kárt akarnak okozni, vagy valamilyen bosszú áll a támadás hátterében. 

…szóval jobb felkészültnek lenni!

Bár a téma összetettnek tűnik, az ESET szakértője szerint a kiberbiztonság lebontható öt egyszerű lépésre, amelyeket egy új stratégia megalkotása és végrehajtása során érdemes követni.

1. Készüljön leltár az eszközökről: Hány laptopja van az iskolának? Mindegyik megfelelően működik? Telepítettek rájuk biztonsági szoftvert? Az operációs rendszer és az engedélyezett alkalmazások a legújabb verzióra van frissítve? Vegyük sorra az összes eszközt, és írjuk össze, hogy az egyes berendezések hol találhatóak, ki férhet hozzájuk, és hogy szükség van-e a további vizsgálatukra.

2. Rendelkezzen az iskola saját informatikai kollégával: Annak érdekében, hogy tisztában legyünk a leltárba vett eszközök megfelelő működésével, a berendezések naprakészségével, szükség van egy külön informatikusra vagy egy informatikus csapatra. Csak szakember képes az ilyen berendezések megfelelő vizsgálatára és karbantartására. Az informatikai szakemberek feladata a felhasználói azonosítók beállítása erős jelszavakkal és kétfaktoros hitelesítéssel, valamint annak nyomon követése, hogy ki melyik eszközhöz fér hozzá. Az ő felelősségük emellett egy átfogó és könnyen értelmezhető felhasználói szabályzat bevezetése az iskola dolgozói, illetve a diákok számára. 

3. Szervezzünk kiberbiztonsági workshopokat az iskola munkatársainak: Kezdjük a nulláról és feltételezzük azt, hogy a dolgozók közül senki nem rendelkezik kiberbiztonsági ismeretekkel. Ezt a tudást érdemes célzott workshopokon keresztül átadni számukra. Tartsunk előadásokat a terület szakértőinek meghívásával, kérjünk támogatást a helyi vezetéstől, és keressünk online forrásokat. Győződjünk meg arról, hogy az iskola munkatársai azonosítani tudják a gyanús adathalász e-maileket, megértik, miért nem érdemes megosztani az eszközeiket, kiadni jelszavukat, és miért veszélyes olyan képeket közzétenni, amelyeken érzékeny információk találhatóak. 

4. Ösztönözzük a munkatársakat arra, hogy jelentsék a lehetséges fenyegetéseket: Mindenki követhet el hibákat, és az ezek bejelentésétől való félelem növelheti az iskola veszélyeztetettségét, kitettségét. Biztosítsuk a munkatársakat, hogy nem éri őket hátrány, ha véletlenül áldozatul estek egy átverésnek. Az a cél, hogy haladéktalanul jelentsék az ilyen eseteket, mert csak így lehet megvédeni őket és az iskolát. A hackerek egyszerű, megtévesztéses (social engineering) módszereket is bevetnek az emberek átverésére, így igazából mindenkiből lehet áldozat. 

5. Legyen a kiberbiztonság az iskolai tanterv része: A tanároknak nem csak az iskolát kell megvédeniük az esetleges fenyegetésektől, de a kiberbiztonság terén is jártasnak kell lenniük, hogy ezt a tudást is átadhassák diákjaiknak. Még ha van is külön informatikaóra, ahol ezeket a témákat érintik, vagy mélyrehatóan tanítják, fontos, hogy az informatikai oktatás mindenki számára legyen elérhető, tekintve, hogy a laptopok és mobiltelefonok használata ma már a mindennapi életünk része.

„Alapvető fontossággal bír, hogy a diákoknak és a tanároknak nem csak a tantermekben kell betartaniuk az online biztonsági szabályokat. A kiberbiztonságnak az iskolán kívül is kiemelt figyelmet kell kapnia, főleg, ha figyelembe vesszük, hogy a kockázatok mennyire jelen vannak az életünkben” – mondta Csizmazia-Darab István, a Sicontact Kft. kiberbiztonsági szakértője. „Egy olyan témában, ahol a gyerekek általában tapasztaltabbnak tartják magukat a felnőtteknél fontos, hogy mind a tanárok, mind a szülők lépést tudjanak tartani a fiatalok online térben szerzett tudásával, és mindhárom szereplő képes legyen biztonságtudatosságát folyamatosan fejleszteni.”

A legfrissebb hírekért kövesse be az ESET kutatóit a Twitteren.