Безопасность учетных записей в академической сфере — чек-лист для разработчиков, студентов и преподавателей

Сектор образования сталкивается с кибератаками не меньше, чем другие направления. За последние 2 года от атак программ-вымогателей пострадали 60% учебных заведений в США. Компания Microsoft также установила, что 8 из 10 зарегистрированных кибератак произошли в учебных заведениях.

Переход на удалённое и гибридное обучение после пандемии стал нормой, и это неизбежно привлекло внимание злоумышленников. При этом тысячи личных устройств (смартфонов, планшетов) часто подключаются к университетской сети и тут же — к глобальной.

Это неизбежно приводит к уязвимостям университетской IT-инфраструктуры. Чем могут навредить злоумышленники, проникнув в неё:

• получить доступ к финансовой части с целью снятия средств со счетов;
• нарушить доступность платформы с целью получения вознаграждения за её восстановление;
• получить доступ к образовательным материалам, с целью перепродажи их на чёрном рынке по более низкой цене;
• извлечь конфиденциальную информацию: тысячи документов, паспортов, студенческих билетов, телефонов, адресов и прочих данных могут попасть в чужие руки и быть использованы для перепродажи, оформления поддельных документов или взятия кредитов;
• получить доступ к персональным данным аккаунтов студентов в незащищённой сети, а они могут быть связаны с почтой, соцсетями и облегчить мошенникам доступ к другим данным, например, платёжной информации;
• заразить устройства вирусами с целью вымогательства.

Шаги для повышения безопасности

Знания в области кибербезопасности становятся всё более важными, особенно в академической сфере, где хранятся базы с конфиденциальной информацией. Поэтому мы как специалисты по кибербезопасности рекомендуем разработать список правил, которые помогут повысить защиту.

Базовые рекомендации разработчикам веб-приложений для академий

• Регулярно проводите аудит безопасности вашей платформы (можно привлекать для этого надёжные проверенные агентства) с целью обнаружения уязвимости и своевременного устранения их;
• используйте защищённые облачные сервисы для того, чтобы иметь возможность защититься от DDos-атак и снизить стоимость хранения данных при постоянно возрастающем трафике;
• установите программное обеспечение(например, Gluu) для идентификации пользователей и контроля доступа пользователей в системе в зависимости от их роли (администратор или пользователь);
• сохраняйте все версии программного продукта на альтернативных носителях (в том же облаке), чтобы иметь возможность быстро восстановить данные, даже если хакеры попытаются уничтожить их;
• проходите подготовку и проводите переподготовку сотрудников, чтобы быть в курсе последних тенденций в сфере информационной безопасности;
• используйте передовые технологии для защиты аккаунтов ваших пользователей — в частности двухфакторную аутентификацию: обезопасьте аккаунты OTP-паролями, электронной цифровой подписью, отпечатком пальца или ключами безопасности, защищающими от фишинговых атак;
• разработайте политику безопасности в вашем учебном заведении для каждой роли и ознакомьте с ней каждого из участников: администраторов, преподавателей, студентов.

Базовые рекомендации для студентов и преподавателей

• Всегда используйте максимально сложные пароли и почаще меняйте их, чтобы предотвратить подбор паролей злоумышленниками;
• подключите двухфакторную аутентификацию к своему аккаунту, если ваша площадка предлагает такую возможность;
• старайтесь не использовать общедоступные сети Wi-Fi, по крайней мере подключайтесь через VPN, если нужно совершить платежи, и не забывайте выходить из аккаунтов после их посещения;
• храните пароли в надёжном месте, чтобы предотвратить их кражу;
• создавайте отдельные почтовые ящики для личной почты и для использования в вашем учебном заведении, чтобы злоумышленник не смог получить более важную личную информацию, если доступ к рабочему email будет вами утрачен;
• внимательно проверяйте адреса ссылок в рассылках, которые вам прислали и не вводите пароли или данные банковских карт на подозрительных сайтах;
• читайте инструкции, проходите подготовку и выполняйте рекомендации по безопасности, если таковые предлагаются администрацией;
• используйте ключи безопасности для того, чтобы надёжно защититься от фишинга и/или не беспокоиться о том, где хранить пароли.

Преимущества ключей безопасности:

• открывать аккаунты ключами легко и удобно, это похоже на то, как вы открываете квартиру или личный автомобиль;
• никто не сможет открыть аккаунт без наличия физического ключа, поэтому даже если пароль будет подобран, украден или скомпрометирован вами на фишинговом сайте, мошенник всё равно не сможет попасть в ваш аккаунт;
• аппаратные ключи могут иметь различные форм-факторы (если вы используете ключи YubiKey — американского производителя), поэтому их легко можно подобрать для любых устройств;
• ключи YubiKey не требуют загрузки драйверов и «работают прямо из коробки».

Более подробно ознакомиться с ключами безопасности вы можете в нашем обзоре.

Какие ключи безопасности лучше использовать

Мы как специалисты в сфере безопасности с 30-летним опытом и как официальный дистрибьютор американской компании Yubico рекомендуем из перечня две основные линейки продукции для всех учебных заведений:

• YubiKey FIPS — ключи для администраторов или менеджеров, управляющих кабинетами остальных участников и имеющих доступ к критически важной информации;

YubiKey FIPS

• YubiKey Security Key — самая недорогая серия, имеющая минимальный набор функций, при этом доступна как для преподавателей, так и для студентов, ещё не имеющих дохода.

YubiKey Security Key

Для IT-академий, предполагающих использование более дорогого и сложного оборудования мы рекомендуем ключи серий YubiKey 5 и YubiKey Bio. Первые имеют больше функций и выбор форм-факторов для любых используемых вами устройств. Вторые – дополнительную защиту с сенсором отпечатков пальцев.

Yubikey 5

YubiKey Bio