Å holde barnehage- og ungdomsskoler trygge mot phishing: Lærdom fra Lightning Chat episode 6

lightning chat episode 6 phishing

3 viktige konklusjoner

  • Phishing er en større trussel enn skolene er klar over: Bare 27% av skoledistriktene ser på phishing som en høy risiko, men det er en viktig måte hackere angriper barnehage- og videregående skoler på, og setter elever, ansatte og data i fare.
  • Bevissthet og verifisering er nøkkelen: Lær ansatte å oppdage phishing-e-poster og bekrefte mistenkelige forespørsler via telefon eller tekstmelding, ikke e-post, for å unngå å bli utsatt for sofistikerte angrep.
  • Bruk gratis verktøy og motstandsdyktig MFA: Plattformer som Microsoft 365 og Google Workspace har innebygde funksjoner for å fange opp phishing, og phishing-resistente MFA-er som PassKeys kan blokkere hackere selv om de stjeler legitimasjon.

Phishing er en stor trussel mot barnehage- og videregående skoler, spesielt siden mange ikke har budsjettet eller personalet til å takle det direkte. I Lightning Chat Episode 6 satte John Genter, Chief Information Security Officer hos Lightspeed Systems, og Brad White, Principal Applications Security Architect, seg ned for å snakke om dette. Med over 30 års samarbeid innen cybersikkerhet og dype bånd til utdanning (John var skolestyremedlem i 22 år, og Brad kommer fra en lærerfamilie) la de frem hvorfor phishing er en større sak enn de fleste skoler tror, og delte praktiske og rimelige måter å bekjempe det på.

Skoler er større mål enn du tror

John startet med et overraskende faktum fra en CoSN-rapport: «Bare 27% av distriktene identifiserte phishing som en høy risiko.» Det er en stor tabbe, spesielt når man tenker på hva Cybersecurity and Infrastructure Security Agency (CISA) sier: «Ondsinnede cyberaktører retter seg mot K-12-utdanningsorganisasjoner over hele landet med potensielt katastrofale konsekvenser for elever, deres familier, lærere og administratorer.» Brad var enig og sa: «K-12 er et relativt mykt mål av flere grunner.» Hvorfor? Her er oversikten:

  • Stramme budsjetter: Skoler har ofte ikke råd til førsteklasses verktøy for cybersikkerhet.
  • Små IT-team: Færre mennesker betyr at det er vanskeligere å holde seg oppdatert på trusler.
  • Feil tankegang: Mange tror ikke skoler er verdt å angripe, men hackere vet at de er et lett mål.

John delte et eksempel fra den virkelige verden: «Bare i løpet av de siste ukene har vi sett fem kompromitterte kontoer hos kunder som prøver å phishe Lightspeed-ansatte.» Brad forklarte hvordan disse angrepene fungerer: «Trusselaktører bruker sofistikerte «adversary-in-the-middle»-angrep ... og stjeler både brukerens brukernavn og passord og økttokenet deres, selv om de bruker MFA.» Disse angrepene kan ramme hvem som helst – IT-ansatte, lærere, you name it – og de kan snike seg forbi standard flerfaktorautentisering (MFA) hvis den ikke er bygget for å stoppe phishing.

Enkle og kostnadsfrie måter å holde seg trygg mot phishing-forsøk

John og Brad var tydelige: man trenger ikke et stort budsjett for å begynne å bekjempe phishing. Bevissthet er det første steget. Brad sa det enkelt: «Det billigste er bare økt bevissthet. Sørg for at brukerne dine vet at de er et mål for phishing-angrep og bør være ekstra forsiktige med uventede e-poster.» John hadde et fengende uttrykk for dette, en replikk fra Ronald Reagan: «stol på, men bekreft», eller enda bedre, «ikke svar, bekreft». Tipsene deres inkluderer:

  • Dobbeltsjekk rare e-poster: Hvis en e-post ber deg om å gjøre noe merkelig, som å klikke på en lenke, ikke svar på den. Ring eller send en tekstmelding til avsenderen i stedet. Brad advarte: «Vi har sett tilfeller der trusselaktørene har kontroll over avsenderens e-postinnboks.»
  • Få alle med på laget: Fra rektorer til forvaltere, sørg for at alle ansatte vet at de kan bli målrettet og hva phishing ser ut.

Tekniske triks for å låse ting ned

På teknologisiden presset de på for phishing-resistent MFA. Brad sa at vanlige MFA-metoder, som tekstkoder eller appvarsler, «kan bli stjålet av «adversary-in-the-middle»-angrep. I stedet bør man velge «FIDO-baserte tokener, som UVKeys eller PassKeys … som Windows Hello». John la til: «Selv grunnleggende MFA er bedre enn ingenting», men den phishing-resistente typen er banebrytende. De pekte også på gratisverktøy i plattformer som Microsoft 365 eller Google Workspace:

  • Følg med på loggene: Se etter merkelige e-postregler, som meldinger som merkes som lest og flyttes til skjulte mapper, eller pålogginger fra merkelige steder.
  • Vær skarp for snikende angrep: Brad bemerket: «De vil observere en brukers oppførsel når de får tilgang ... og får en maskin i nærheten», noe som gjør det vanskelig å oppdage uautoriserte pålogginger.

Begrense phishing-skader med minst mulig privilegium

En annen viktig idé var å begrense tilgangen for å redusere skade hvis noen blir hacket. Brad sa: «Ikke bare gi dem automatisk tilgang til alt. Gi dem tilgang til det de trenger.» John sammenlignet det med en ubåt: «Hvis du har et brudd i én del ... senker det ikke hele ubåten.» Slik gjør du det:

  • Gi akkurat nok tilgang: I Office 365 eller Google Workspace, la bare ansatte bruke verktøyene de trenger, som e-post eller Word, ikke SharePoint eller Teams.
  • Juster underveis: Hvis noens jobb endres, bør du oppdatere tilgangen deres for å holde ting sikkert uten å bremse dem ned.

Kort, hyppig opplæring er bedre enn lange forelesninger

Glem timelange treningsøkter én gang i året. John og Brad sa at korte, regelmessige påminnelser fungerer bedre. John delte hvordan Lightspeed har et «ukens tips» i nyhetsbrevet sitt, og Brad likte ideen om «kortere, mer regelmessig kommunikasjon» for å holde alle oppmerksomme. De foreslo:

  • Ukentlige oppdateringer: Send korte e-poster med reelle eksempler, som «her er hva som skjer der ute nå ... her er noen lenker til andre K-12-organisasjoner som har blitt kompromittert.»
  • Gjør rapportering enkelt: Oppfordre ansatte til å flagge rare e-poster raskt, uten å dømme.

Oppsummering: Vær oppmerksom på phishing

Brads siste ord var direkte: «Sørg for at brukerne dine er klar over at de er mål for phishing. De er absolutt mål for phishing, garantert, 100%.» Han presset på for å bruke passord, som fungerer på de fleste enheter, for kontoer som ikke er studentkontoer. John foreslo å sjekke ut CoSN-rapporten og CISAs nettsted for mer råd.

Phishing er ikke bare et problem for store selskaper – det rammer skolene hardt. Ved å spre bevissthet, bruke phishing-resistent MFA og benytte seg av gratisverktøy, kan skolene redusere risikoen betraktelig. Som John og Brad viste i Lightning Chat Episode 6, kan noen smarte og rimelige grep beskytte elever, ansatte og data. Se hele episoden og vær årvåken!

Anbefalt innhold

Bygge samarbeid mellom IT og lærere

Med dagens digitale læringsmiljø som er gjennomgående på alle nivåer av grunnskoleutdanning, er effektiv bruk av edtech avgjørende for å levere ønskede læringsresultater for studentene. Men å gjøre det krever...

Vi feirer studentenes suksess i klasserommet

En stor del av læreryrket innebærer å påpeke feil, rette feil og lignende. Men, som alltid, er det viktig å presentere en balanse mellom konstruktive, korrigerende tilbakemeldinger ved...

Hva skal en lærer gjøre for å håndtere distraksjoner i klasserommet?

Effektiv håndtering av distraksjoner i klasserommet har vært en utfordring for lærere i generasjoner. Først nå, i en tid med det digitalt bemyndigede klasserommet, effektivt håndtere klasseromsdistr...
Nylige innlegg

Tilbake til skolen: Navigering av de skjulte risikoene ved voldstoppen etter sommeren

Mens skoleklokkene ringer og elevene strømmer tilbake til klasserommene etter en lang sommerferie, fylles luften av spenning. Nye ryggsekker, friske forsyninger og løftet om et nytt år. Men under overflaten dukker det opp en bekymringsfull trend: en økning i skolevold og trusler etter hvert som elevene tilpasser seg skolelivets struktur.

Den virkelige kostnaden ved passivitet i britiske skoler

I dag er det ikke valgfritt å ha en proaktiv tilnærming til skolesikkerhet. Det er essensielt. Selv om de fleste skoler har sikkerhetsplaner på plass, oppstår de største risikoene ofte når tidlige varseltegn blir oversett eller ikke rapportert.

Forbedring av sikkerheten på skolene i grunnskolen og videregående: Hvorfor forebygging, oppdagelse og oppsamling er viktig

Skolesikkerhet handler ikke bare om å ha de riktige sikkerhetskameraene eller en solid beredskapsplan (selv om det er viktige brikker i puslespillet). Dagens utdanningsledere forstår at det å skape virkelig trygge læringsmiljøer krever en flerlags tilnærming som adresserer potensielle problemer før de eskalerer til kriser.