Odpowiedzialna cyfryzacja polskich uczelni

Przygotowany przez Microsoft raport „Global threat activity” jednoznacznie wskazuje, że sektor edukacji jest silnie narażony na cyberataki. Aż 81 proc. zgłoszonych przypadków zetknięcia się ze złośliwym oprogramowaniem pochodzi właśnie z instytucji i placówek edukacyjnych. Biorąc pod uwagę fakt, że w 2020 roku szkoły i uczelnie zostały postawione przed koniecznością scyfryzowania swoich procesów edukacyjnych i administracyjnych, niezwykle istotne dzisiaj jest zadbanie o bezpieczeństwo wdrożonych systemów i rozwiązań. Aby pomóc władzom uczelni i osobom decyzyjnym wdrożyć odpowiednią politykę bezpieczeństwa, Microsoft przygotował publikację zawierającą bazę wiedzy na temat cyberbezpieczeństwa wraz z wnioskami i rekomendacjami opracowanymi w oparciu o obszary zarządzania uczelniami. Jest to pierwszy tego typu materiał, który został stworzony z dedykacją dla Władz i osób zarządzających w sektorze edukacji i nauki.

Rynek edukacyjny jest bez wątpienia celem hakerów. Zwłaszcza dzisiaj, gdy w procesie nauki wykorzystuje się coraz więcej cyfrowych narzędzi, a szkoły i uczelnie zrzeszają w swoich strukturach tysiące osób: kandydatów, studentów, doktorantów, nauczycieli akademickich oraz pracowników administracyjnych. Dodatkowo, posiadają one wiele cennych zasobów, takich jak dane osobowe czy informacje o badaniach naukowych i grantach. Nic więc dziwnego, że uzyskanie do nich dostępu staje się coraz częściej celem cyberprzestępców.

Sytuacji nie polepsza fakt, że hakerzy nieustannie zmieniają metody swoich działań i dostosowują je do zmieniających się warunków. W konsekwencji wzrasta ogólna liczba zagrożeń, na które narażeni są użytkownicy Internetu. Microsoft w raporcie „Digital Defence Report” sklasyfikował aż 25 odmiennych sposobów ataku za pomocą wiadomości e-mail. Wśród najbardziej powszechnych znajdują się ataki ransomware oraz phisingowe.

Wszystko to sprawia, że władze uczelni powinny kłaść coraz większy nacisk na bezpieczeństwo wdrożonych systemów cyfrowych. W swojej publikacji „Odpowiedzialna cyfryzacja polskich uczelni. O bezpiecznej społeczności akademickiej w wirtualnej przestrzeni” Microsoft wskazuje główne zagrożenia, z jakimi spotyka się sektor edukacji i nauki, a także rekomendacje, jak się przed nimi chronić.

„Choć dokument przeznaczony jest sektorowi nauki i szkolnictwa wyższego, rekomendacje w nim zawarte mogą być stosowane również w szkołach niższego szczebla. Warto pamiętać, że bezpieczeństwo cyfrowe jest uniwersalne i te same mechanizmy i procedury mają zastosowanie zarówno w szkole wyższej, jak i podstawowej czy nawet w biznesie. Bezpieczeństwo cyfrowe to nasza wspólna odpowiedzialność. Poprzez zebranie najważniejszych rekomendacji w jednym dokumencie, chcemy wesprzeć naszych klientów i partnerów w ich bezpiecznej cyfryzacji” – powiedział Kacper Zubrzycki, ekspert w dziale edukacji w polskim oddziale Microsoft.

Najsłabsze ogniwa bezpieczeństwa cyfrowego

Efektywna ochrona środowiska informatycznego uczelni jest zagadnieniem łączącym w sobie wiele aspektów. Przede wszystkim należy pamiętać, że procedury bez wsparcia technologii to ochrona iluzoryczna. W przypadku wielotysięcznych społeczności, jakimi bez wątpienia są szkoły i uczelnie, ważne jest, aby procedury bezpieczeństwa wsparte były odpowiednimi narzędziami. Niezwykle istotne jest dzisiaj również to, aby wszystkie zabezpieczenia były budowane z uwzględnieniem polityki Zero Trust, czyli Zasady Ograniczonego Zaufania. Opiera się ona na założeniu, że każde zabezpieczenie może zostać naruszone, dlatego wymagana jest weryfikacja każdej prośby o dostęp do danego zasobu, tak jakby stanowiła ona potencjalne zagrożenie.

Dane prezentowane przez Microsoft wskazują również, że najwięcej ataków przebiega z wykorzystaniem podstawowych protokołów uwierzytelniania, np. gdy do logowania wykorzystywana jest jedynie nazwa użytkownika i hasło. Takie zabezpieczenie jest stosunkowo proste do obejścia. Zwłaszcza biorąc pod uwagę fakt, że organizacja składająca się z 5 000 użytkowników generuje około 245 000 czynności uwierzytelnienia tygodniowo. Istotne jest więc zwiększenie ochrony tożsamości i dostępu do wewnętrznych zasobów uczelni, np. poprzez wykorzystanie uwierzytelniania wieloskładnikowego (MFA), które jest bezpłatne we wszystkich usługach chmurowych Microsoft. Każdy użytkownik przy pierwszym logowaniu powinien potwierdzać swoją tożsamość na telefonie za pomocą aplikacji, np. Microsoft Authenticator. Dodatkowo ważne jest również używanie silnych haseł, a usługa pozwala generować je automatycznie.

Za pomocą MFA możemy chronić również dane wrażliwe. Dokumenty i wiadomości, które przeznaczone są tylko dla wybranej grupy użytkowników, powinny zostać zabezpieczone tzw. etykietą poufności. Funkcja blokuje otwarcie, odczyt i edycję plików osobom nieupoważnionym. Warto wprowadzić również zasadę szyfrowania, np. w oparciu o usługę Microsoft Information Protection.

Istotnym elementem polityki bezpieczeństwa jest również stały monitoring infrastruktury informatycznej. Uczelnie powinny sprawować kontrolę nad wykonywanymi przez użytkowników czynnościami w aplikacjach chmurowych, takimi jak modyfikowanie dokumentów czy usunięcie ważnych plików.

Podstawową zasadą w zadbaniu o bezpieczeństwo powinny być też regularne aktualizacje systemu. Ponadto nieprawidłowe zabezpieczenia, jak chociażby brak oprogramowania antywirusowego stwarza wysokie ryzyko wystąpienia ataku np. typu ransomware. W jego wyniku uczelnie mogą stracić dostęp do narzędzi, danych i całej infrastruktury IT, a cyberprzestępcy, w zamian za przywrócenie dostępu, mogą wymagać okupu, który nie zawsze daje gwarancję pomyślnego zakończenia sprawy. Zobrazowanie sobie takiej sytuacji i jej konsekwencji w sektorze edukacji powinno już teraz zachęcić uczelnie do stworzenia kopii zapasowych najważniejszych plików.

Jednak wdrożone mechanizmy i technologie nie dają pełnej gwarancji bezpieczeństwa uczelnianych zasobów. Stara już zasada mówi, że najsłabszym ogniwem cyberbezpieczeństwa jest człowiek. Dlatego tak ważne jest, aby edukować wszystkich użytkowników uczelnianych systemów, od studentów po pracowników administracji. Organizowane szkolenia powinny poruszać temat istniejących zagrożeń oraz najpopularniejszych metod wykorzystywanych przez cyberprzestępców. Tylko dzięki połączeniu odpowiednich kompetencji i technologii możliwe jest stworzenie odpowiedniej ochrony przed atakami.

„Bezpieczeństwo informatyczne powinno być na liście priorytetów każdej placówki edukacyjnej. Na uczelniach spoczywa wielka odpowiedzialność ze względu na posiadane przez nie informacje, a także konieczność bycia wzorem dla młodych ludzi i otoczenia akademickiego. Nawet najmniejsze zaniedbanie w tej kwestii może przynieść ogromne konsekwencje. Dlatego tak ważne jest, aby wraz z cyfryzacją, która dotyczy każdej szkoły i uczelni, władze zadbały również o bezpieczeństwo cyfrowe” – powiedziała Barbara Michalska, dyrektor rynku edukacyjnego Microsoft w Polsce.

Uczelnie (cyber)bezpieczne

Standardy bezpiecznej cyfryzacji sektora edukacji wyznaczają polskie szkoły wyższe, które otrzymały tytuł „Uczelni w Chmurze Microsoft”. Tworzą one bezpieczną oraz wydajną infrastrukturę informatyczną zapewniając całkowite wsparcie pracy uczelni. Dodatkowo w ramach programu studenci i pracownicy posiadają dostęp do usług Office 365 również do użytku prywatnego oraz usług Microsoft Azure lub Dynamics 365, które stanowią ważną pomoc np. w prowadzeniu badań naukowych.

Link do pobrania darmowej publikacji: https://aka.ms/OdpowiedzialnaCyfryzacjaUczelni

Więcej artykułów

Microsoft Ignite 2023: Transformacja AI i technologia napędzająca zmiany

Czy AI uzdrowi sektor zdrowia?

Szpiegostwo napędza globalne cyberataki

Przyszłość bezpieczeństwa napędzanego AI

Szpiegostwo napędza globalne cyberataki 