Η πραγματικότητα είναι πως οι κυβερνοεπιθέσεις δεν αποτελούν πρόβλημα μόνο για κλάδους όπως το λιανεμπόριο, χρηματοπιστωτικά ιδρύματα, επιχειρήσεις κλπ. Στην 20ετία που πέρασε ήταν πολλές οι περιπτώσεις που ο κλάδος της εκπαίδευσης -ιδιαίτερα τα πανεπιστήμια- βρέθηκαν στο στόχαστρο επιτήδειων σε Ελλάδα αλλά και παγκοσμίως. Ως αποτέλεσμα είχαν την απώλεια μεγάλου όγκου ευαίσθητων δεδομένων, φέρνοντας έτσι στην επιφάνεια το μεγάλο κενό κυβερνοασφάλειας στον συγκεκριμένο κλάδο.

Ας ρίξουμε πρώτα μία γρήγορη ματιά στους πιο συνηθισμένους τρόπους με τους οποίους γίνονται παραβιάσεις.

Αγαπημένη τακτική των επιτήδειων είναι προφανώς το phishing και το social engineering, πρόκειται για αρκετά απλή και εξαιρετικά αποτελεσματική τεχνική η οποία «ξεγελά» τους χρήστες μέσω μηνυμάτων ώστε να αποκαλύψουν ευαίσθητες πληροφορίες ή να εγκαταστήσουν επιβλαβές λογισμικό στις συσκευές τους. Ο «χορός» των κυβερνοεπιθέσεων και μεθόδων μέσω των οποίων μπορεί κάποιος ανεπιθύμητος να αποκτήσει πρόσβαση σε ευαίσθητα στοιχεία συνεχίζεται με ransomware, επιθέσεις DDoS και πολλές άλλες.

Αξίζει να σημειωθεί ότι σε συντριπτικό ποσοστό οι μέθοδοι που χρησιμοποιούνται για παραβιάσεις ανεξάρτητα του κλάδου είναι οι ίδιες. Αυτό που αλλάζει είναι ο «στόχος» δηλαδή το θύμα.

Στις παραβιάσεις κυβερνοασφάλειας οι επιτιθέμενοι στοχεύουν σε πολύτιμα δεδομένα, όπως για παράδειγμα ταυτοποίησης. Τα αρχεία των μαθητών/φοιτητών και προσωπικού εκπαίδευσης, αριθμούς κοινωνικής ασφάλισης, διευθύνσεις και οικονομικές πληροφορίες είναι ιδιαίτερα ελκυστικά για κλοπή ταυτότητας και οικονομική απάτη. Σε αρκετές περιστάσεις στο στόχαστρο μπαίνουν ερευνητικά δεδομένα, πατέντες και πληροφορίες σχετικά με πνευματική ιδιοκτησία. Θέτοντας σε κίνδυνο την ακεραιότητα ερευνών ενός ιδρύματος, το πιθανό ανταγωνιστικό πλεονέκτημα και ασφαλώς τις ροές εσόδων του.

Τα εκπαιδευτικά ιδρύματα μπορούν να υιοθετήσουν διάφορα μέτρα, μεταξύ αυτών συγκαταλέγονται η χρήση προηγμένων firewalls, συστημάτων ανίχνευσης, τακτικές ενημερώσεις στα συστήματα ασφαλείας και συχνοί έλεγχοι για τρωτά σημεία. Ασφαλώς τα παραπάνω και πολλά περισσότερα εφαρμόζονται από τεχνικούς ΙΤ.

Ένα από τα πιο αποτελεσματικά μέτρα το οποίο όμως δυστυχώς πολλές φορές δεν εφαρμόζεται είναι η συνεχής εκπαίδευση εργαζομένων και φοιτητών σε θέματα κυβερνοασφάλειας. Στη συγκεκριμένη περίπτωση βάζουμε στο επίκεντρο βασικές γνώσεις -όχι εξειδικευμένες ή τεχνικές- που οφείλει να έχει πλέον οποιοσδήποτε χρήστης. Η ευαισθητοποίηση σε θέματα cybersecurity εκπαιδεύει το προσωπικό και τους μαθητές σχετικά με τις βέλτιστες πρακτικές, το phishing και την προστασία από αυτό, τη διαχείριση κωδικών πρόσβασης και την υπεύθυνη χρήση των ψηφιακών μέσων.

Στα πλαίσια του cyberawareness είναι εξαιρετικά σημαντικό να επενδυθούν από τα εκπαιδευτικά ιδρύματα πόροι για ένα επιπλέον επίπεδο ασφαλείας. Πρόκειται για ένα επίσης απλό και αποτελεσματικό μέτρο που σε συνδυασμό με τα παραπάνω μειώνει δραματικά τις πιθανότητες παραβιάσεων.

Το YubiKey ενισχύει σημαντικά την ασφάλεια στον κλάδο της εκπαίδευσης, ξεκινώντας με την
ταυτοποίηση πολλαπλών παραγόντων (ΜFA). Το YubiKey απαιτεί από τους χρήστες τη χρήση του φυσικού κλειδιού και του κωδικού πρόσβασης για τον έλεγχο πρόσβασης. Ασφαλώς υπάρχει και η περίπτωση στην οποία εξαλείφεται εντελώς η ανάγκη χρήσης passwords και απαιτείται μόνο το Yubikey (φυσικό κλειδί).

Ας δούμε ένα παράδειγμα για τον τρόπο που ένα εκπαιδευτικό ίδρυμα θα μπορούσε να αντιμετωπίσει με επιτυχία μία επίθεση phisihing

Έστω πως έχουμε το παρακάτω σύνηθες σενάριο.

Φοιτητές εκπαιδευτικού ιδρύματος λαμβάνουν email το οποίο ενημερώνει πως λόγω απόπειρας κυβερνοεπίθεσης στον εν λόγω ίδρυμα πρέπει να αλλαχθούν τα passwords. Αρκεί ένας μόνο φοιτητής να κάνει κλικ στον σύνδεσμο που συνοδεύει το email και να μεταφερθεί σε ιστοσελίδα που θα του ζητά να αλλάξει τον κωδικό ώστε να ξεκινήσει το domino των παραβιάσεων.

Με το YubiKey, ο φοιτητής προστατεύεται ακόμη και αν κάνει κατά λάθος κλικ στον σύνδεσμο phishing. Η διαδικασία επαλήθευσης του κλειδιού διασφαλίζει ότι μπορεί να πιστοποιηθεί μόνο σε συγκεκριμένα websites. Συνεπώς σε έναν ψεύτικο ιστότοπο το YubiKey δεν θα ανταποκριθεί, αφήνοντας με αυτόν τον τρόπο «μετεξεταστέους» τους επιτήδειους.