Švietimo įstaigos – nuo darželių iki universitetų – vis dažniau atsiduria kibernetinių nusikaltėlių taikinyje. Nors jų pagrindinis tikslas – ugdyti jaunąją kartą, silpna skaitmeninė apsauga ir riboti ištekliai sukuria puikias sąlygas sukčiams veikti. Pasinaudodami sistemų spragomis ir žmogiškuoju neatsargumu, sukčiai įsilaužia į sistemas, išvilioja jautrią informaciją, trikdo veiklą ir net gali sukelti reikšmingą finansinę bei reputacinę žalą.
2024 m. „Microsoft“ atliktas tyrimas atskleidė, kad švietimo sektorius pasaulyje užima trečią vietą pagal dažniausiai patiriamas kibernetines atakas. Kodėl švietimo įstaigos tampa tokiu patraukliu taikiniu ir kokių priemonių reikia imtis, siekiant apsisaugoti nuo šių grėsmių?
Švietimo įstaigų kibernetinės spragos
Dažnai švietimo įstaigos susiduria su ribotais biudžetais, todėl investicijos į kibernetinį saugumą dažnai būna atidedamos. Dėl šios priežasties pasenusi programinė įranga, kvalifikuotų IT specialistų trūkumas ir darbuotojų neatsargumas tampa pagrindinėmis priežastimis, kodėl švietimo institucijos tampa patraukliu taikiniu kibernetiniams nusikaltėliams.
Dar viena rizika – nuolatinis informacijos srautas tarp švietimo įstaigų, tėvų, partnerių ir kitų institucijų. Kuo daugiau žmonių ir kanalų, tuo sunkiau užtikrinti visų duomenų apsaugą. Be to, universitetai ir mokyklos ne tik saugo asmeninius duomenis, bet ir intelektinę nuosavybę – pavyzdžiui, mokslinius tyrimus, kurie gali tapti tikru turtu kibernetiniams nusikaltėliams.
Kokiais būdais piktavaliai pasiekia švietimo įstaigas?
Nors dažniausiai kalbama apie silpnus slaptažodžius ar apgaulingus el. laiškus, realios grėsmės yra gerokai sudėtingesnės. Viena iš pavojingiausių atakų formų – išpirkos reikalaujančios programos (angl. ransomware), kurios užšifruoja visus sistemos duomenis ir reikalauja milžiniškos išpirkos už jų atkūrimą. Tokios atakos gali ne tik paralyžiuoti įstaigos veiklą, bet ir sukelti reputacinę žalą, kurią atstatyti gali prireikti daug laiko.
Ne mažiau pavojingos ir fišingo (angl. phishing) atakos, kai sukčiai siunčia itin įtikinamus laiškus, apsimetę mokytojais, vadovais ar net valstybinėmis institucijomis. Vienas neatsargus paspaudimas – ir įsilaužėliams atsiveria kelias prie jautrios informacijos.
Šiuolaikiniai metodai apima ir QR kodų naudojimą. Iš pirmo žvilgsnio atrodantys patikimi kodai gali nukreipti į kenksmingas svetaines ar įdiegti kenkėjiškas programas, užkrėsiančias įrenginius ir pasisavinančias duomenis.
Lietuvos švietimo įstaigos
Lietuvos švietimo sektoriui kibernetinės grėsmės jau nėra naujiena. 2023 m. Kauno technologijos universitetas ir Lietuvos aukštoji jūreivystės mokykla susidūrė su kibernetinėmis atakomis, kurios, nors ir nesukėlė duomenų nutekėjimo, laikinai sutrikdė mokymų platformų, tokių kaip „Moodle“, veikimą. Tų pačių metų pabaigoje Vilniaus kolegijoje įvykęs incidentas buvo rimtesnis – nutekėjo studentų asmeniniai duomenys bei buvo atskleistos informacinių sistemų saugumo spragos.
Dar daugiau nerimo sukėlė įvykiai Širvintų rajone ir kituose regionuose, kai švietimo įstaigos gavo melagingus grasinimus apie sprogmenis. Nors pavojus nepasitvirtino, mokyklos buvo priverstos pereiti prie nuotolinio ugdymo, o įvykis parodė, kaip lengvai gali būti sutrikdyta visa ugdymo sistema.
Kaip švietimo įstaigos gali stiprinti apsaugą?
- Stiprūs ir unikalūs slaptažodžiai.
Slaptažodžiai turėtų būti sudaryti iš bent 10 simbolių, įtraukiant didžiąsias ir mažąsias raides, skaičius bei specialiuosius simbolius. Taip pat rekomenduojama kurti kelis žodžius apimančias frazes, kurios būtų lengvai įsimenamos, tačiau sunkiai nuspėjamos kibernetiniams nusikaltėliams. Pavyzdžiui, frazė „Patikima apsauga su ESET“ gali tapti stipriu slaptažodžiu „1pAt1k1mA@apSAUga#sU24ESet“. - Dviejų veiksnių autentifikacija (2FA).
Ši priemonė gerokai sustiprina paskyrų apsaugą, reikalaujant papildomo tapatybės patvirtinimo – SMS žinute, autentifikacijos programėle ar biometriniais duomenimis (pirštų atspaudais, veido atpažinimu). - Darbuotojų ir studentų švietimas.
Net ir pačios pažangiausios technologijos neapsaugos, jei darbuotojai nesugebės atpažinti kibernetinių grėsmių. Reguliarūs mokymai apie fišingą, socialinę inžineriją ir saugų elgesį internete yra būtini norint užtikrinti visų sistemos naudotojų atsparumą. - Programinės įrangos ir sistemų atnaujinimai.
Pasenusios sistemos ir programinė įranga – lengvas taikinys kibernetiniams nusikaltėliams. Periodiniai atnaujinimai ir saugumo spragų mažinimas ženkliai sumažina atakų riziką. - Skaitmeniniai saugumo sprendimai.
Švietimo įstaigos turėtų investuoti į integruotas grėsmių aptikimo ir reagavimo sistemas (pvz., XDR), kurios realiuoju laiku leidžia aptikti kenkėjišką veiklą, į ją greitai reaguoti ir sumažinti galimą žalą.
Kibernetinis saugumas šiandien nebėra vien IT specialistų rūpestis – tai kiekvieno iš mūsų atsakomybė. Siekdamos apsisaugoti nuo vis dažnėjančių grėsmių, švietimo įstaigos turėtų investuoti į patikimus skaitmeninio saugumo sprendimus, šviesti darbuotojus ir mokinius, reguliariai atnaujinti sistemas bei taikyti papildomas apsaugos priemones. Tai padės ne tik apsaugoti jautrią informaciją, bet ir užtikrinti saugią ugdymo aplinką.