Безпека облікових записів в академічній сфері – чек-лист для розробників, студентів та викладачів

Сектор освіти стикається з кібератаками не менше, ніж інші напрямки. За останні 2 роки від атак програм-здирників постраждали 60% навчальних закладів у США. Компанія Microsoft також встановила, що 8 із 10 зареєстрованих кібератак відбулися у навчальних закладах.

Перехід на віддалене та гібридне навчання після пандемії став нормою, і це неминуче привернуло увагу зловмисників. При цьому тисячі особистих пристроїв (смартфонів, планшетів) часто підключаються до університетської мережі та відразу — до глобальної.

Це неминуче призводить до вразливостей університетської IT-інфраструктури. Чим можуть нашкодити зловмисники, проникнувши до неї: 

• отримати доступ до фінансової частини з метою зняття коштів із рахунків;
• порушити доступність платформи для одержання винагороди за її відновлення;
• отримати доступ до освітніх матеріалів з метою перепродажу їх на чорному ринку за нижчою ціною;
• отримати конфіденційну інформацію: тисячі документів, паспортів, студентських квитків, телефонів, адрес та інших даних можуть потрапити в чужі руки та бути використані для перепродажу, оформлення підроблених документів або взяття кредитів;
• отримати доступ до персональних даних акаунтів студентів у незахищеній мережі, а вони можуть бути пов’язані з поштою, соцмережами та полегшити шахраям доступ до інших даних, наприклад, платіжної інформації;
• заразити пристрої вірусами з метою здирництва.

Кроки для підвищення безпеки

Знання в галузі кібербезпеки стають все більш важливими, особливо в академічній сфері, де зберігаються бази з конфіденційною інформацією. Тому ми як фахівці з кібербезпеки рекомендуємо розробити список правил, які допоможуть підвищити захист.

Базові рекомендації розробникам вебдодатків для академій

• Регулярно проводьте аудит безпеки вашої платформи (можна залучати для цього надійні перевірені агенції) з метою виявлення вразливості та своєчасного усунення їх;
• використовуйте захищені хмарні сервіси для того, щоб мати можливість захиститися від DDos-атак і знизити вартість зберігання даних за наявності трафіку, що постійно зростає;
• встановіть програмне забезпечення (наприклад, Gluu) для ідентифікації користувачів та контролю доступу користувачів у системі залежно від їхньої ролі (адміністратор або користувач);
• зберігайте всі версії програмного продукту на альтернативних носіях (у тій же хмарі), щоб мати можливість швидко відновити дані, навіть якщо хакери спробують знищити їх;
• проходьте підготовку та проводьте перепідготовку співробітників, щоб бути в курсі останніх тенденцій у сфері інформаційної безпеки;
• використовуйте передові технології для захисту акаунтів ваших користувачів — зокрема двофакторну автентифікацію: убезпечте акаунти OTP-паролями, електронним цифровим підписом, відбитком пальця або ключами безпеки, що запобігають фішинговим атакам;
• розробіть політику безпеки у вашому навчальному закладі для кожної ролі та ознайомте з нею кожного з учасників: адміністраторів, викладачів, студентів.

Базові рекомендації для студентів та викладачів

• Завжди використовуйте максимально складні паролі та частіше змінюйте їх, щоб запобігти підбору паролів зловмисниками;
• підключіть двофакторну автентифікацію до свого облікового запису, якщо ваш майданчик пропонує таку можливість;
• намагайтеся не використовувати загальнодоступні мережі Wi-Fi, принаймні підключайтеся через VPN, якщо потрібно зробити платежі, і не забувайте виходити з облікових записів після їх відвідування;
• зберігайте паролі в надійному місці, щоб запобігти їх крадіжці;
• створюйте окремі поштові скриньки для особистої пошти та для використання у вашому навчальному закладі, щоб зловмисник не зміг отримати важливішу особисту інформацію, якщо доступ до робочого email буде втрачено;
• уважно перевіряйте адреси посилань у розсилках, які вам надіслали та не вводьте паролі чи дані банківських карток на підозрілих сайтах;
• читайте інструкції, проходьте підготовку та виконуйте рекомендації щодо безпеки, якщо такі пропонуються адміністрацією;
• використовуйте ключі безпеки для того, щоб надійно захиститися від фішингу та/або не турбуватися про те, де зберігати паролі.

Переваги ключів безпеки:

• відкривати акаунти ключами легко та зручно, це схоже на те, як ви відкриваєте квартиру або особистий автомобіль;
• ніхто не зможе відкрити обліковий запис без наявності фізичного ключа, тому навіть якщо пароль буде підібраний, вкрадений або скомпрометований вами на фішинговому сайті, шахрай все одно не зможе потрапити до вашого облікового запису;
• апаратні ключі можуть мати різні формфактори (якщо ви використовуєте ключі YubiKey – американського виробника), тому їх легко можна обрати для будь-яких пристроїв;
• ключі YubiKey не вимагають завантаження драйверів і «працюють прямо з коробки».

Більш детально ознайомитись із ключами безпеки ви можете у нашому огляді.

Які ключі безпеки краще використовувати

Ми як фахівці з безпеки з 30-річним досвідом і як офіційний дистриб’ютор американської компанії Yubico рекомендуємо з переліку дві основні лінійки продукції для всіх навчальних закладів:

• YubiKey FIPS — ключі для адміністраторів або менеджерів, які керують кабінетами решти учасників та мають доступ до критично важливої інформації;

YubiKey FIPS

• YubiKey Security Key — найдешевша серія, яка має мінімальний набір функцій, доступна як для викладачів, так і для студентів, які ще не мають доходу.

YubiKey Security Key

Для IT-академій, що передбачають використання дорожчого та складного обладнання, ми рекомендуємо ключі серій YubiKey 5 та YubiKey Bio. Перші мають більше функцій і вибір формфакторів для будь-яких пристроїв, що вами використовуються. Другі — додатковий захист із сенсором відбитків пальців.

Yubikey 5

YubiKey Bio