حماية مدارس الروضة حتى الصف الثاني عشر من التصيد الاحتيالي: دروس من الحلقة السادسة من برنامج Lightning Chat

3 نقاط رئيسية

• التصيد الاحتيالي يشكل تهديدًا أكبر مما تدركه المدارس: ترى 27% فقط من المناطق المدرسية أن التصيد الاحتيالي يشكل خطورة عالية، ولكنه طريقة رئيسية يستخدمها المتسللون لاستهداف المدارس من مرحلة رياض الأطفال حتى الصف الثاني عشر، مما يعرض الطلاب والموظفين والبيانات للخطر.
• الوعي والتحقق هما المفتاح: قم بتعليم موظفي المدرسة كيفية اكتشاف رسائل البريد الإلكتروني الاحتيالية والتحقق من الطلبات المشبوهة عبر الهاتف أو الرسائل النصية، وليس البريد الإلكتروني، لتجنب الوقوع في هجمات معقدة.
• استخدم أدوات مجانية وMFA مقاومة: تحتوي منصات مثل Microsoft 365 وGoogle Workspace على ميزات مدمجة لالتقاط عمليات التصيد الاحتيالي، ويمكن لـ MFA المقاومة للتصيد الاحتيالي مثل PassKeys حظر المتسللين حتى لو سرقوا بيانات الاعتماد.

يُمثل التصيد الاحتيالي تهديدًا كبيرًا لمدارس رياض الأطفال حتى الصف الثاني عشر، خاصةً وأن العديد منها يفتقر إلى الميزانية أو الكوادر اللازمة لمواجهته بشكل مباشر. في الحلقة السادسة من برنامج "دردشة البرق"، جلس جون جينتر، كبير مسؤولي أمن المعلومات في شركة "لايت سبيد سيستمز"، وبراد وايت، كبير مهندسي أمن التطبيقات، للحديث عن التصيد الاحتيالي في مدارس رياض الأطفال حتى الصف الثاني عشر. بخبرة تزيد عن 30 عامًا في مجال الأمن السيبراني وروابط وثيقة بالتعليم (كان جون عضوًا في مجلس أمناء المدرسة لمدة 22 عامًا، بينما ينحدر براد من عائلة من المعلمين)، شرحا لماذا يُعد التصيد الاحتيالي مشكلة أكبر مما تعتقد معظم المدارس، وشاركا طرقًا عملية ومنخفضة التكلفة لمكافحته.

المدارس هي أهداف أكبر للتصيد الاحتيالي مما تظن

بدأ جون الأمور بحقيقة مفاجئة من تقرير CoSN: 27% فقط من المناطق التعليمية حددت التصيد الاحتيالي كخطر كبير. هذا إخفاق كبير، خاصةً بالنظر إلى ما تقوله وكالة الأمن السيبراني وأمن البنية التحتية (CISA): "يستهدف قراصنة الإنترنت مؤسسات التعليم من الروضة إلى الصف الثاني عشر في جميع أنحاء البلاد، مما قد يُخلف آثارًا كارثية على الطلاب وعائلاتهم ومعلميهم والإداريين". وافق براد، قائلاً: "التعليم من الروضة إلى الصف الثاني عشر هدف سهل نسبيًا لعدة أسباب". لماذا؟ إليكم التفاصيل:

• الميزانيات الضيقة: في كثير من الأحيان لا تستطيع المدارس تحمل تكلفة أدوات الأمن السيبراني عالية الجودة.
• فرق تكنولوجيا المعلومات الصغيرة: إن قلة عدد الأشخاص تعني أنه من الصعب البقاء على رأس التهديدات.
• عقلية خاطئة: يعتقد الكثير من الناس أن المدارس لا تستحق الاستهداف، لكن المتسللين يعرفون أنها هدف سهل.

شارك جون مثالاً واقعياً: "في الأسابيع القليلة الماضية فقط، شهدنا خمسة حسابات مُخترقة لعملاء يحاولون التصيد الاحتيالي لموظفي Lightspeed". شرح براد آلية عمل هذه الهجمات قائلاً: "يستخدم مُجرمو الإنترنت هجمات متطورة تُسمى "الخصم الوسيط"... يسرقون اسم المستخدم وكلمة المرور ورمز الجلسة الخاص بالمستخدم، حتى لو كانوا يستخدمون المصادقة الثنائية (MFA)." يمكن لهذه الهجمات أن تُصيب أي شخص - سواءً موظفي تكنولوجيا المعلومات أو المعلمين أو غيرهم - ويمكنها التسلل عبر المصادقة الثنائية (MFA) القياسية إذا لم تكن مُصممة لمنع التصيد الاحتيالي.

طرق سهلة ومجانية لحماية نفسك من محاولات التصيد الاحتيالي في المدارس

كان جون وبراد واضحين: لستَ بحاجة إلى ميزانية كبيرة لبدء مكافحة التصيد الاحتيالي. الوعي هو الخطوة الأولى. عبّر براد ببساطة: "أقلّ شيء تكلفة هو زيادة الوعي. تأكّد من أن مستخدميك يدركون أنهم هدف لهجمات التصيد الاحتيالي، وعليهم توخي الحذر الشديد مع رسائل البريد الإلكتروني غير المتوقعة". استخدم جون عبارةً جذابةً لوصف هذا، مُستلهمًا من رونالد ريغان: "ثق ولكن تحقّق"، أو الأفضل من ذلك، "لا تردّ، تحقّق". تشمل نصائحهما:

• التحقق مرة أخرى من رسائل البريد الإلكتروني الغريبة: إذا طلب منك بريد إلكتروني القيام بشيء غريب، كالنقر على رابط، فلا ترد عليه. اتصل بالمرسل أو راسله. حذّر براد قائلاً: "لقد رأينا حالاتٍ يتحكم فيها مُهدّدو البريد الإلكتروني بصندوق الوارد الخاص بالمرسل".
• إشراك الجميع على متن الطائرة: من المديرين إلى الأمناء، تأكد من أن جميع الموظفين يعرفون أنهم قد يكونون هدفًا وكيف يبدو التصيد الاحتيالي.

حيل تقنية لتأمين الأشياء

من الناحية التقنية، شجعوا على استخدام مصادقة متعددة العوامل (MFA) مقاومة للتصيد الاحتيالي. قال براد إن أساليب المصادقة المتعددة العوامل الشائعة، مثل الرموز النصية أو إشعارات التطبيقات، "يمكن سرقتها من خلال هجمات الخصم في المنتصف". بدلاً من ذلك، استخدم "رموز FIDO، مثل مفاتيح UVKeys أو مفاتيح المرور... مثل Windows Hello". وأضاف جون: "حتى المصادقة المتعددة العوامل الأساسية أفضل من لا شيء"، لكن النوع المقاوم للتصيد الاحتيالي يُحدث فرقًا كبيرًا. كما أشاروا إلى أدوات مجانية في منصات مثل Microsoft 365 أو Google Workspace.

• راقب السجلات: تحقق من قواعد البريد الإلكتروني الغريبة، مثل وضع علامة على الرسائل كمقروءة ونقلها إلى مجلدات مخفية، أو تسجيلات الدخول من أماكن غريبة.
• كن حذرًا من الهجمات الماكرة: وأشار براد إلى أنهم "سيلاحظون سلوك المستخدم بمجرد حصولهم على إذن الدخول... والحصول على جهاز قريب"، مما يجعل من الصعب اكتشاف عمليات تسجيل الدخول غير المصرح بها.

الحد من أضرار التصيد الاحتيالي بأقل قدر من الامتيازات

فكرة مهمة أخرى كانت تقييد الوصول لتقليل الضرر في حال تعرض أحدهم للاختراق. قال براد: "لا تمنحهم حق الوصول إلى كل شيء تلقائيًا، بل امنحهم ما يحتاجونه". شبّه جون الأمر بغواصة: "إذا حدث اختراق في جزء واحد... فلن يُغرق الغواصة بأكملها". إليك كيفية القيام بذلك:

• امنح ما يكفي من الوصول: في Office 365 أو Google Workspace، اسمح للموظفين فقط باستخدام الأدوات التي يحتاجون إليها، مثل البريد الإلكتروني أو Word، وليس SharePoint أو Teams.
• قم بالتعديل أثناء التنقل: إذا تغيرت وظيفة شخص ما، فقم بتحديث إمكانية وصوله للحفاظ على أمان الأشياء دون إبطائه.

التدريب القصير والمتكرر أفضل من المحاضرات الطويلة

انسَ جلسات التدريب التي تستغرق ساعة واحدة سنويًا. قال جون وبراد إن التذكيرات القصيرة والمنتظمة أفضل. شارك جون كيف تُقدّم لايت سبيد "نصيحة الأسبوع" في نشرتها الإخبارية، وأعجب براد بفكرة "التواصل الأقصر والأكثر انتظامًا" لإبقاء الجميع في حالة تأهب. واقترحا:

• التحديثات الاسبوعية: أرسل رسائل بريد إلكتروني سريعة تحتوي على أمثلة حقيقية، مثل "إليك ما يحدث هناك الآن... إليك بعض الروابط الخاصة بمؤسسات أخرى للتعليم ما قبل الجامعي تعرضت للاختراق".
• جعل إعداد التقارير سهلاً: شجع الموظفين على الإبلاغ عن رسائل البريد الإلكتروني الغريبة بسرعة، دون إصدار أحكام.

اختتامًا: كن متيقظًا بشأن التصيد الاحتيالي

كانت كلمة براد الأخيرة صريحة: "تأكدوا من أن مستخدميكم يدركون أنهم عرضة للتصيد الاحتيالي. إنهم بالتأكيد عرضة للتصيد الاحتيالي، مضمون، 100%". وحثّ على استخدام مفاتيح مرور، تعمل على معظم الأجهزة، للحسابات غير الطلابية. واقترح جون الاطلاع على تقرير CoSN وموقع CISA الإلكتروني لمزيد من النصائح.

لا يقتصر التصيد الاحتيالي على الشركات الكبرى فحسب، بل يُلحق ضررًا بالغًا بالمدارس. من خلال نشر الوعي، واستخدام تقنيات المصادقة الثنائية المقاومة للتصيد الاحتيالي، والاستفادة من الأدوات المجانية، يمكن للمدارس تقليل مخاطرها بشكل كبير. وكما أوضح جون وبراد في الحلقة السادسة من برنامج "دردشة سريعة"، يُمكن لبعض الخطوات الذكية منخفضة التكلفة حماية الطلاب والموظفين والبيانات. شاهد الحلقة كاملة و ابقى يقظا!