3 vigtige konklusioner
- Phishing er en større trussel, end skolerne er klar over: Kun 27% af skoledistrikterne ser phishing som en høj risiko, men det er en vigtig måde, hvorpå hackere målretter grundskoler og gymnasier, hvilket sætter elever, personale og data i fare.
- Bevidsthed og verifikation er nøglen: Lær skolens personale at genkende phishing-e-mails og verificere mistænkelige anmodninger via telefon eller sms, ikke e-mail, for at undgå at blive udsat for sofistikerede angreb.
- Brug gratis værktøjer og resistent MFA: Platforme som Microsoft 365 og Google Workspace har indbyggede funktioner til at fange phishing, og phishing-resistente MFA'er som PassKeys kan blokere hackere, selvom de stjæler legitimationsoplysninger.
Phishing er en stor trussel mod grundskoler og ungdomsuddannelser, især fordi mange ikke har budgettet eller personalet til at tackle det direkte. I Lightning Chat Episode 6 satte John Genter, Chief Information Security Officer hos Lightspeed Systems, og Brad White, Principal Applications Security Architect, sig ned for at tale om phishing i grundskoler og ungdomsuddannelser. Med over 30 års samarbejde inden for cybersikkerhed og dybe bånd til uddannelsessektoren (John var skolebestyrelsesmedlem i 22 år, og Brad kommer fra en lærerfamilie) forklarede de, hvorfor phishing er en større sag, end de fleste skoler tror, og delte praktiske og billige måder at bekæmpe det på.
Skoler er større mål for phishing end du tror
John startede med en overraskende kendsgerning fra en CoSN-rapport: "Kun 27% af distrikterne identificerede phishing som en høj risiko." Det er en stor fejl, især når man tager i betragtning, hvad Cybersecurity and Infrastructure Security Agency (CISA) siger: "Ondsindede cyberaktører går efter grundskole- og gymnasieuddannelsesorganisationer over hele landet med potentielt katastrofale konsekvenser for elever, deres familier, lærere og administratorer." Brad var enig og sagde: "Gymnasie- og gymnasieuddannelser er et relativt svagt mål af flere årsager." Hvorfor? Her er fordelingen:
- Stramme budgetter: Skoler har ofte ikke råd til cybersikkerhedsværktøjer af høj kvalitet.
- Små IT-teams: Færre mennesker betyder, at det er sværere at holde styr på truslerne.
- Forkert tankegang: Mange mennesker tror ikke, at skoler er værd at angribe, men hackere ved, at de er et let mål.
John delte et eksempel fra den virkelige verden: "Bare i løbet af de sidste par uger har vi set fem kompromitterede konti hos kunder, der forsøger at phishe Lightspeed-medarbejdere." Brad forklarede, hvordan disse angreb fungerer: "Trusselsaktører bruger sofistikerede "adversary-in-the-middle"-angreb ... de stjæler både brugerens brugernavn og adgangskode samt deres sessionstoken, selvom de bruger MFA." Disse angreb kan ramme alle – IT-personale, lærere, you name it – og de kan snige sig forbi standard multifaktor-godkendelse (MFA), hvis den ikke er bygget til at stoppe phishing.
Nemme og gratis måder at beskytte sig mod phishingforsøg i skolen
John og Brad var klare: man behøver ikke et stort budget for at begynde at bekæmpe phishing. Bevidsthed er det første skridt. Brad udtrykte det enkelt: "Det billigste er blot øget bevidsthed. Sørg for, at dine brugere ved, at de er mål for phishing-angreb, og at de bør være ekstra forsigtige med uventede e-mails." John havde en iørefaldende sætning til dette, der inspirerede Ronald Reagan: "stol på, men bekræft", eller endnu bedre, "svar ikke, bekræft". Deres tips inkluderer:
- Dobbelttjek mærkelige e-mails: Hvis en e-mail beder dig om at gøre noget mærkeligt, som f.eks. klikke på et link, så svar ikke på den. Ring eller send i stedet en sms til afsenderen. Brad advarede: "Vi har set tilfælde, hvor trusselsaktørerne har kontrol over afsenderens e-mailindbakke."
- Få alle med på vognen: Fra skoleledere til værger, sørg for at alle medarbejdere ved, at de kan blive mål for angreb, og hvordan phishing ser ud.
Tekniske tricks til at låse tingene ned
På den teknologiske side pressede de på for phishing-resistent MFA. Brad sagde, at almindelige MFA-metoder, som sms-koder eller app-notifikationer, "kan blive stjålet af adversary-in-the-middle-angreb." I stedet bør man vælge "FIDO-baserede tokens, som UVKeys eller PassKeys ... som Windows Hello." John tilføjede: "Selv grundlæggende MFA er bedre end ingenting," men den phishing-resistente type er banebrydende. De pegede også på gratis værktøjer på platforme som Microsoft 365 eller Google Workspace:
- Hold øje med logfilerne: Tjek for mærkelige e-mailregler, f.eks. beskeder der markeres som læst og flyttes til skjulte mapper, eller logins fra mærkelige steder.
- Vær skarp til luskede angreb: Brad bemærkede: "De vil observere en brugers adfærd, når de får adgang ... og får en maskine i nærheden," hvilket gør det svært at få øje på uautoriserede logins.
Begrænsning af phishing-skader med færrest mulige rettigheder
En anden vigtig idé var at begrænse adgangen for at reducere skaden, hvis nogen bliver hacket. Brad sagde: "Giv dem ikke bare automatisk adgang til alt. Giv dem adgang til det, de har brug for." John sammenlignede det med en ubåd: "Hvis du har et brud på én del ... sænker det ikke hele ubåden." Sådan gør du:
- Giv lige præcis nok adgang: I Office 365 eller Google Workspace skal du kun lade personalet bruge de værktøjer, de har brug for, f.eks. e-mail eller Word, ikke SharePoint eller Teams.
- Justér undervejs: Hvis en persons job ændrer sig, skal du opdatere deres adgang for at holde tingene sikre uden at forsinke deres arbejde.
Kort, hyppig træning er bedre end lange forelæsninger
Glem timelange træningssessioner én gang om året. John og Brad sagde, at korte, regelmæssige påmindelser fungerer bedre. John delte, hvordan Lightspeed laver et "ugens tip" i deres nyhedsbrev, og Brad kunne lide ideen om "kortere, mere regelmæssig kommunikation" for at holde alle opmærksomme. De foreslog:
- Ugentlige opdateringer: Send hurtige e-mails med virkelige eksempler, som f.eks. "Her er hvad der sker derude lige nu ... her er nogle links til andre K-12-organisationer, der er blevet kompromitteret."
- Gør rapportering nemt: Opfordr personalet til at markere mærkelige e-mails hurtigt, uden at dømme.
Opsummering: Vær opmærksom på phishing
Brads sidste ord var direkte: "Sørg for, at dine brugere er klar over, at de er mål for phishing. De er helt sikkert mål for phishing, garanteret, 100%." Han pressede på for at bruge adgangskoder, som virker på de fleste enheder, til ikke-studerende konti. John foreslog at tjekke CoSN-rapporten og CISAs hjemmeside for yderligere rådgivning.
Phishing er ikke kun et problem for store virksomheder – det rammer skolerne hårdt. Ved at udbrede bevidstheden, bruge phishing-resistent MFA og udnytte gratis værktøjer kan skoler reducere deres risici betydeligt. Som John og Brad viste i Lightning Chat Episode 6, kan et par smarte, billige tiltag beskytte elever, personale og data. Se hele episoden og vær årvågen!
