Peruskoulujen suojaaminen tietojenkalastelulta: Lightning Chatin 6. jakson opetukset

3 keskeistä oppimateriaalia

• Tietojenkalastelu on suurempi uhka kuin koulut ymmärtävät: Vain 27% koulupiireistä pitää tietojenkalastelua korkeana riskinä, mutta se on merkittävä tapa, jolla hakkerit kohdistavat hyökkäyksiään K-12-kouluihin ja vaarantavat oppilaat, henkilökunnan ja tiedot.
• Tietoisuus ja varmentaminen ovat avainasemassa: Opeta koulun henkilökuntaa tunnistamaan tietojenkalasteluviestit ja tarkistamaan epäilyttävät pyynnöt puhelimitse tai tekstiviestillä sähköpostin sijaan, jotta vältytään joutumasta hienostuneiden hyökkäysten uhreiksi.
• Käytä ilmaisia työkaluja ja kestävää MFA:ta: Microsoft 365:n ja Google Workspacen kaltaisilla alustoilla on sisäänrakennettuja ominaisuuksia tietojenkalasteluhyökkäysten havaitsemiseksi, ja tietojenkalastelulta suojatut MFA:t, kuten PassKeys, voivat estää hakkereita, vaikka he varastaisivat tunnistetiedot.

Tietojenkalastelu on merkittävä uhka K-12-kouluille, varsinkin koska monilla ei ole budjettia tai henkilöstöä puuttua siihen suoraan. Lightning Chat -jaksossa 6 John Genter, Lightspeed Systemsin tietoturvajohtaja, ja Brad White, sovellusten tietoturva-arkkitehti, istuivat alas keskustelemaan K-12-koulujen tietojenkalastelusta. Yli 30 vuoden yhteistyökokemuksella kyberturvallisuuden parissa ja syvien yhteyksien ansiosta koulutukseen (John oli koululautakunnan jäsen 22 vuotta ja Brad tulee opettajaperheestä) he selittivät, miksi tietojenkalastelu on suurempi juttu kuin useimmat koulut ajattelevat, ja jakoivat käytännöllisiä ja edullisia tapoja torjua sitä.

Koulut ovat suurempia tietojenkalastelukohteita kuin luuletkaan

John aloitti homman yllättävällä tosiasialla CoSN-raportti: ”Vain 27% piireistä tunnisti tietojenkalastelun korkean riskin uhriksi.” Tämä on iso virhe, varsinkin kun otetaan huomioon, mitä kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA) sanoo: ”haitalliset kybertoimijat kohdistavat iskujaan K-12-koulutusorganisaatioihin ympäri maata, ja niillä voi olla katastrofaalisia vaikutuksia oppilaisiin, heidän perheisiinsä, opettajiin ja hallintoon.” Brad oli samaa mieltä ja sanoi: ”K-12 on suhteellisen helppo kohde useista syistä.” Miksi? Tässä on erittely:

• Tiukat budjetit: Kouluilla ei usein ole varaa huippuluokan kyberturvallisuustyökaluihin.
• Pienet IT-tiimit: Vähemmän ihmisiä tarkoittaa, että uhkien hallitseminen on vaikeampaa.
• Väärä ajattelutapa: Monet ihmiset ajattelevat, ettei kouluihin kannata iskeä, mutta hakkerit tietävät, että ne ovat helppo maali.

John jakoi käytännön esimerkin: ”Vain muutaman viime viikon aikana olemme nähneet viiden asiakastilin vaarantuneen ja yrittäneen kalasteluhyökkäyksiä Lightspeedin työntekijöiltä.” Brad selitti, miten nämä hyökkäykset toimivat: ”Uhkatoimijat käyttävät hienostuneita välikäteishyökkäyksiä… varastaen sekä käyttäjän käyttäjätunnuksen ja salasanan että istuntotunnuksen, vaikka he käyttäisivätkin MFA:ta.” Nämä hyökkäykset voivat osua kehen tahansa – IT-henkilöstöön, opettajiin, kehen tahansa – ja ne voivat hiipiä ohi tavallisen monivaiheisen todennuksen (MFA), jos sitä ei ole rakennettu estämään tietojenkalastelua.

Helppoja ja ilmaisia tapoja pysyä turvassa koulun tietojenkalasteluyrityksiltä

John ja Brad olivat selviä: tietojenkalastelun torjuntaan ei tarvita suurta budjettia. Tietoisuuden lisääminen on ensimmäinen askel. Brad muotoili asian yksinkertaisesti: ”Halvin asia on vain lisätä tietoisuutta. Varmista, että käyttäjäsi tietävät olevansa tietojenkalasteluhyökkäysten kohteena ja että heidän tulee olla erityisen varovaisia odottamattomien sähköpostien kanssa.” Johnilla oli tähän tarttuva lause, joka viittasi Ronald Reaganin sanoihin: ”luota, mutta tarkista” tai vielä parempi, ”älä vastaa, tarkista”. Heidän vinkkeihinsä kuuluvat:

• Tarkista oudot sähköpostit uudelleen: Jos sähköpostissa sinua pyydetään tekemään jotain outoa, kuten napsauttamaan linkkiä, älä vastaa siihen. Soita tai lähetä tekstiviesti lähettäjälle sen sijaan. Brad varoitti: "Olemme nähneet tapauksia, joissa uhkatoimijoilla on hallussaan lähettäjän sähköpostilaatikko."
• Ota kaikki mukaan: Varmista, että kaikki työntekijät, rehtoreista huoltajiin, tietävät, että he voivat joutua uhreiksi ja miltä tietojenkalastelu näyttää.

Teknisiä vinkkejä asioiden lukitsemiseen

Teknologian osalta he ajoivat tietojenkalastelulta suojattua monitärkeää autentikointia (MFA). Brad sanoi, että yleiset MFA-menetelmät, kuten tekstiviestillä lähetetyt koodit tai sovellusilmoitukset, "voidaan varastaa hyökkääjien välikäden kautta". Sen sijaan kannattaa käyttää "FIDO-pohjaisia tokeneita, kuten UVKeys tai PassKeys... kuten Windows Hello". John lisäsi: "Jopa perus-MFA on parempi kuin ei mitään", mutta tietojenkalastelulta suojattu menetelmä on mullistava. He viittasivat myös ilmaisiin työkaluihin alustoilla, kuten Microsoft 365 tai Google Workspace:

• Pidä lokeja silmällä: Tarkista outoja sähköpostisääntöjä, kuten viestien merkitsemistä luetuiksi ja siirtämistä piilotettuihin kansioihin tai kirjautumisia oudoista paikoista.
• Pysy valppaana salakavalia hyökkäyksiä vastaan: Brad huomautti: ”He tarkkailevat käyttäjän toimintaa, kun tämä saa pääsyn… ja saa koneen lähelle”, mikä vaikeuttaa luvattomien kirjautumisten havaitsemista.

Tietojenkalasteluvahinkojen rajoittaminen pienimmillä käyttöoikeuksilla

Toinen tärkeä ajatus oli pääsyn rajoittaminen vahinkojen minimoimiseksi, jos joku joutuu hakkeroinnin kohteeksi. Brad sanoi: ”Älkää automaattisesti antako heille pääsyä kaikkeen. Antakaa heille pääsy vain siihen, mitä he tarvitsevat.” John vertasi sitä sukellusveneeseen: ”Jos yhdessä osassa on murto… se ei upota koko sukellusvenettä.” Näin se tehdään:

• Anna juuri sopivasti käyttöoikeuksia: Office 365:ssä tai Google Workspacessa anna henkilöstön käyttää vain tarvitsemiaan työkaluja, kuten sähköpostia tai Wordia, älä SharePointia tai Teamsia.
• Säädä samalla: Jos jonkun työ muuttuu, päivitä hänen käyttöoikeutensa pitääksesi asiat turvassa hidastamatta heitä.

Lyhyt ja tiheä harjoittelu voittaa pitkät luennot

Unohda kerran vuodessa pidettävät tunnin mittaiset koulutustilaisuudet. John ja Brad sanoivat, että lyhyet, säännölliset muistutukset toimivat paremmin. John kertoi, kuinka Lightspeed käyttää "viikon vinkkiä" uutiskirjeessään, ja Brad piti ajatuksesta "lyhyemmästä, säännöllisemmästä viestinnästä", jotta kaikki pysyisivät valppaina. He ehdottivat:

• Viikoittaiset päivitykset: Lähetä lyhyitä sähköposteja, joissa on todellisia esimerkkejä, kuten "tässä on mitä siellä nyt tapahtuu... tässä on linkkejä muihin K-12-organisaatioihin, jotka ovat vaarantuneet".
• Tee raportoinnista helppoa: Kannusta henkilökuntaa merkitsemään outoja sähköposteja nopeasti, älä tuomitse.

Yhteenveto: Pysy valppaana tietojenkalasteluhyökkäysten varalta

Bradin viimeinen sana oli tyly: ”Varmista, että käyttäjäsi ovat tietoisia siitä, että he ovat tietojenkalastelun kohteita. He ovat ehdottomasti tietojenkalastelun kohteita, taattu, 100%.” Hän kannatti useimmilla laitteilla toimivien salasanojen käyttöä muilla kuin opiskelijoiden tileillä. John ehdotti CoSN-raportin ja CISA:n verkkosivuston tarkistamista lisäneuvojen saamiseksi.

Tietojenkalastelu ei ole vain suuryritysten ongelma – se iskee kovaa kouluihin. Levittämällä tietoisuutta, käyttämällä tietojenkalastelulta suojattua monitieteistä autentikointia ja hyödyntämällä ilmaisia työkaluja koulut voivat vähentää riskejään huomattavasti. Kuten John ja Brad osoittivat Lightning Chatin jaksossa 6, muutama fiksu ja edullinen toimenpide voi suojata oppilaita, henkilökuntaa ja tietoja. Katso koko jakso ja pysy valppaana!