Eğitim sektörüne yönelik siber saldırılar artıyor

Microsoft’a göre, eğitim sektörü 2024 yılının 2. çeyreğinde en çok hedef alınan üçüncü sektör oldu. ESET tehdit araştırmacıları, dünyanın dört bir yanındaki kurumları hedef alan sofistike APT gruplarını gözlemledi. Nisan-Eylül 2024 döneminde eğitim sektörü, Çin’e bağlı APT grupları tarafından en çok saldırıya uğrayan sektörler arasında ilk üçte yer alırken Kuzey Kore ilk ikide, İran ve Rusya’ya bağlı aktörler tarafından ise ilk altıda yer aldı. Resmi rakamlara göre, Birleşik Krallık’ta ortaöğretim (lise) okullarının yüzde 71’i ve üniversitelerin neredeyse tamamı (%97) geçtiğimiz yıl ciddi bir güvenlik ihlali veya saldırısı tespit ederken bu oran işletmelerin sadece yarısında (%50) görülmektedir. ABD’de, K12 Güvenlik Bilgi Değişimi’nden (SIX) elde edilen en son rakamlar, 2016 ve 2022 yılları arasında ülkenin her okul gününde birden fazla siber olay yaşadığını ortaya koyuyor.

Eğitim kurumları neden bu kadar popüler bir hedef?

Sınırlı bütçe ve bilgi birikimi: Eğitim sektörü, sınırlı siber güvenlik yetenekleri söz konusu olduğunda güvenlik bütçeleri daha fazla olan özel işletmelerle rekabet edemez. Aynı bütçe baskısı, kurumların genellikle güvenlik araçlarına harcayacak fazla parası olmadığı anlamına gelir. Bu da kapsam ve kabiliyet açısından tehlikeli boşluklar yaratabilir.

Kişisel cihazlar: Microsoft’a göre BYOD ABD’deki okullarda yaygın, üniversitede ise her yerde öğrencilerden kendi dizüstü bilgisayarlarını ve mobil cihazlarını kullanmaları bekleniyor. Yeterli güvenlik kontrolleri yapılmadan okul ağlarında oturum açmalarına izin verilirse bu cihazlar farkında olmadan tehdit aktörlerine hassas verilere ve sistemlere giden bir yol sağlayabilir.

Hatalı kullanıcılar: İnsanlar güvenlik personeli için en büyük zorluklardan biri olmaya devam ediyor. Eğitim ortamlarındaki çok sayıdaki personel ve öğrenci, onları kimlik avı için popüler bir hedef hâline getiriyor.

Açıklık kültürü: Okullar, kolejler ve üniversiteler tipik işletmeler gibi değildir. Bilgi paylaşımı kültürü ve dış iş birliğine açıklık, riske davetiye çıkarabilir ve tehdit aktörlerinin yararlanabileceği fırsatlar sağlayabilir. Özellikle e-posta iletişimi üzerinde daha sıkı kontroller tercih edilir. Ancak mezunlar ve bağışçılardan hayır kurumlarına ve tedarikçilere  kadar çok sayıda bağlantılı üçüncü taraf varken bu zordur.

Geniş bir saldırı yüzeyi: Eğitim tedarik zinciri, son yıllarda sanal öğrenme ve uzaktan çalışmanın ortaya çıkmasıyla genişleyen siber saldırı yüzeyinin sadece bir yönüdür. Bulut sunucularından kişisel mobil cihazlara, ev ağlarına ve çok sayıdaki değişken personel ve öğrenciye kadar, tehdit aktörlerinin hedef alabileceği birçok hedef vardır. Pek çok eğitim kurumunun yamalanmamış ve desteklenmeyen eski yazılım ve donanımları kullanıyor olması da bu durumu daha da kötüleştiriyor.

PII ve IP: Okullar ve üniversiteler, sağlık ve finansal veriler de dahil olmak üzere personel ve öğrenciler hakkında büyük hacimlerde kişisel olarak tanımlanabilir bilgi (PII) depolar, yönetir ve işler. Bu da onları finansal motivasyonlu fidye yazılımı aktörleri ve dolandırıcılar için cazip bir hedef hâline getiriyor. Pek çok üniversitenin yürüttüğü hassas araştırmalar da onları ulus devletlerin dikkatine sunuyor.

Eğitim kurumları  siber riski nasıl azaltabilir?

Tehdit aktörlerinin okulları, kolejleri ve üniversiteleri hedef almasının kendine özgü bir dizi nedeni olabilir. Ancak genel olarak konuşmak gerekirse bunu yapmak için kullandıkları teknikler denenmiş ve test edilmiştir. Bu da olağan güvenlik kurallarının geçerli olduğu anlamına gelir.

·       Hesapları korumak için güçlü, benzersiz parolalar ve çok faktörlü kimlik doğrulama (MFA) kullanın

• Hızlı yama, sık yedekleme ve veri şifreleme ile iyi bir siber hijyen uygulayın
• Bir ihlalin etkisini en aza indirmek için sağlam bir olay müdahale planı geliştirin ve test edin
• Kimlik avı e-postalarının nasıl tespit edileceği de dahil olmak üzere en iyi güvenlik uygulamaları konusunda personeli, öğrencileri ve yöneticileri eğitin
• Öğrencilerle cihazlarına önceden yüklemelerini beklediğiniz güvenlik önlemleri de dahil olmak üzere ayrıntılı bir kabul edilebilir kullanım ve BYOD politikasını paylaşın
• Kuruluşunuzun uç noktalarını, verilerini ve fikri mülkiyetlerini koruyan saygın siber güvenlik tedarikçisiyle bir iş ortaklığı yapın
• Şüpheli faaliyetleri 7/24 izlemek ve tehditleri kurumu etkilemeden önce yakalayıp kontrol altına almaya yardımcı olmak için yönetilen algılama ve yanıt (MDR) kullanmayı düşünün.