A pandemia de COVID-19 intensificou os problemas de cibersegurança na indústria da educação. A falta de diretrizes ou políticas para gerenciar a cibersegurança nas escolas causou vulnerabilidades e levou a um aumento nos ataques. Este artigo discute quatro preocupações de cibersegurança e como combatê-las, incluindo aprendizado híbrido (presencial e virtual), ataques de phishing, recursos limitados e má higiene de senhas.

Ameaças cibernéticas continuam a crescer em escolas primárias e secundárias

De acordo com a atividade global de ameaças cibernéticas da Microsoft, a indústria global da educação experimentou 63% dos ataques cibernéticos nos últimos 30 dias, o que representa mais de 5 milhões dos mais de 8 milhões de encontros com dispositivos.

Apesar das evidências do aumento da frequência e gravidade das ameaças cibernéticas em escolas de jardim de infância a 12º ano (K-12), não existem padrões concretos sobre como lidar com ameaças cibernéticas e que proteção de cibersegurança estudantes, pais ou professores podem esperar de suas escolas.

Em relação a isso, Aaron Montemayor Walker, principal de pesquisa, cibersegurança, G2, diz:

"As escolas são frequentemente alvos de ataques cibernéticos, como muitas outras organizações. Mas muitas vezes carecem de recursos para se protegerem adequadamente. Apesar de geralmente faltarem pessoal com treinamento extensivo em cibersegurança, elas ainda devem garantir que todos os dispositivos estejam devidamente configurados e atualizados e que os dados sejam armazenados com segurança em conformidade.

As escolas estão em uma posição excelente para ajudar os alunos no treinamento em cibersegurança. Ferramentas de conscientização de segurança podem ajudar a introduzir os alunos a conceitos como phishing, malware e outras ameaças cibernéticas. Escolas com programas de ciência da computação também podem utilizar treinamento de código seguro para ajudar os alunos a adotar uma abordagem centrada na segurança para codificação e engenharia."

Nos Estados Unidos, a Lei de Cibersegurança K–12 de 2021, assinada em lei em 8 de outubro de 2021, vem em resposta ao crescente número de incidentes de segurança de dados que impactam as escolas K–12 nos últimos anos, incluindo um aumento dramático em ransomware e outras formas de malware. A lei autoriza o diretor da Agência de Segurança Cibernética e de Infraestrutura (CISA) a conduzir um estudo dentro de 120 dias sobre os riscos específicos que impactam as instituições K–12. Nos próximos 60 dias, a CISA desenvolverá recomendações para diretrizes de cibersegurança para escolas K–12, com base nos resultados do estudo. E dentro dos 120 dias seguintes, criará um kit de ferramentas de treinamento online para escolas K–12.

Os distritos escolares enfrentam o desafio de equilibrar a rápida adoção de novas tecnologias com a proteção da privacidade de alunos e funcionários. É essencial entender completamente como uma ferramenta funciona e como ela protege a privacidade dos alunos e adere às leis de privacidade educacional, como a Lei de Direitos Educacionais e Privacidade da Família (FERPA).

Desafios na cibersegurança K-12

Embora a Microsoft tenha notado mais de 8 milhões de encontros com dispositivos de ameaças cibernéticas nos últimos 30 dias, o número de incidentes cibernéticos relatados publicamente é muito menor. Desde 2016, apenas nos Estados Unidos, houve 1.180 incidentes cibernéticos divulgados publicamente por escolas e distritos, de acordo com dados do Centro de Recursos de Cibersegurança K–12. Houve 408 ataques relatados em 2020, o que representa um aumento de 18% em relação a 2019, de acordo com o Relatório de Estado da Cibersegurança K-12 de 2020.

Merry Marwig, CIPP/US, Analista Sênior de Pesquisa de Mercado na G2 disse:

Como a maioria dos crimes, os crimes cibernéticos são frequentemente crimes de oportunidade. Hackers frequentemente miram escolas K-12 porque as escolas geralmente carecem de programas robustos de cibersegurança e os dados que os hackers podem extrair podem ser extremamente valiosos em mercados ilícitos. Por exemplo, arquivos contendo nomes de alunos, endereços, números de segurança social e outras informações pessoalmente identificáveis podem ser vendidos a compradores inescrupulosos que então podem usar esses detalhes pessoais para configurar empréstimos fraudulentos. E honestamente, a maioria dos pais não está monitorando os relatórios de crédito de seus filhos, então esses empréstimos fraudulentos podem passar despercebidos por anos.

É possível que escolas e distritos não saibam necessariamente quando houve um ataque, então eles são incapazes de relatá-lo ou tomar medidas para mitigar riscos futuros. É crítico reformular a abordagem à cibersegurança K-12 para garantir a defesa contra o cenário de ameaças em evolução.

Aqui estão quatro desafios de cibersegurança e ideias sobre o que pode ser feito para combatê-los:

Misturando instrução digital e presencial

O movimento "aprender em casa" em resposta à pandemia global de COVID-19 trouxe muitas mudanças para o setor educacional e é provável que algumas delas permaneçam à medida que continuamos a evoluir. Alunos e professores receberam laptops, tablets ou outros dispositivos para acomodar o aprendizado virtual. A mudança para o aprendizado digital permitiu que os alunos permanecessem na escola durante a pandemia. No futuro, esses dispositivos de hardware e ferramentas, como software de sala de aula virtual, permitirão maior flexibilidade e acesso ao aprendizado. Por exemplo, as escolas podem permanecer abertas durante o mau tempo, ou alunos e professores não precisam tirar um dia inteiro de aula para uma consulta médica.

Este é um grande progresso, mas também pode introduzir vulnerabilidades se a cibersegurança não for uma consideração primordial nas estratégias e políticas de aprendizado digital. Durante os primeiros dias da pandemia, vimos invasões de aulas e reuniões através de hacks de videoconferência, malware, invasão de e-mails e ataques a sites e redes sociais. Para ajudar a detectar esses ataques, os administradores escolares devem investir em ferramentas de análise de malware ou software de resposta a incidentes.

Essas ameaças continuarão a crescer à medida que os distritos escolares usam dispositivos para expandir o acesso ao aprendizado. Os administradores escolares precisarão criar melhores práticas e políticas para monitorar dispositivos e acesso a aplicativos de software. É essencial garantir que todos os dispositivos tenham as atualizações mais recentes e que os dispositivos sejam verificados quanto a malware antes de se conectarem à rede escolar.

Ataques de phishing

O phishing está entre os ataques de ransomware mais comuns. Os administradores escolares precisam fornecer treinamento e educação de conscientização de segurança para funcionários, alunos e pais para que possam estar atentos a esses esquemas. Os funcionários escolares devem investir em software de treinamento de conscientização de segurança. Essas ferramentas oferecem ataques simulados ou e-mails fraudulentos para ajudar os funcionários a identificar melhor conteúdos maliciosos antes de encontrá-los em cenários da vida real.

No webinar O Estado da Cibersegurança, Segurança e Privacidade K-12 de 2021, Doug Levin, Diretor Nacional do K12 SIX, compartilha que de 2016 a 2020, a quantidade mediana de dinheiro roubado de distritos escolares através de campanhas de phishing foi de 2 milhões de dólares. Mas atingimos um novo recorde em 2020, com 9,8 milhões de dólares sendo roubados de um único distrito escolar.

As escolas devem ter um plano de como responderiam, bem como um plano de como prevenir esses ataques, como realizar exercícios de cibersegurança, monitorar logins suspeitos, avaliar dados internos e promover educação e treinamento em cibersegurança para alunos, funcionários e pais.

Recursos limitados

Os incidentes de cibersegurança escolar viram um aumento maciço durante a mudança para aprendizado remoto em resposta à pandemia de COVID-19.

Em um mundo ideal, o pessoal do distrito escolar teria mais tempo e dinheiro para se dedicar à criação de políticas e práticas de segurança, teriam os recursos e a infraestrutura em vigor para apoiá-los na implementação de programas de cibersegurança, e teriam diretrizes de cibersegurança federais ou estaduais para ajudá-los ao longo do caminho. Sem isso, é improvável que seja tratado como uma prioridade alta, se é que será tratado.

Má higiene de senhas

Todos nós já criamos aquelas senhas fáceis de lembrar—título de música favorita, comida favorita, cor favorita, nome do nosso animal de estimação mais alguns números e caracteres especiais, e assim por diante. Elas são fáceis de lembrar e podem ser facilmente hackeadas. Alunos e funcionários provavelmente recorrerão a essas senhas simples quando enfrentarem a criação de credenciais para contas.

Como parte de seu foco renovado em cibersegurança, as escolas devem estar cientes dessa ameaça e investigar soluções de auditoria de senhas que possam mitigar o risco. Para uma melhor segurança, as escolas podem usar software de autenticação multifator para acesso a contas ou utilizar software de gerenciamento de identidade e acesso (IAM).

O que vem a seguir?

Educadores e especialistas em cibersegurança estão trabalhando juntos para criar padrões e orientações. Kindergarten Through Twelfth Grade Security Information Exchange (K12 SIX) é uma comunidade sem fins lucrativos de compartilhamento de inteligência de ameaças para ajudar distritos escolares a prevenir e responder a ameaças cibernéticas. O K12 SIX oferece treinamento de resiliência em cibersegurança para manter os distritos escolares funcionando e os alunos aprendendo. A colaboração é a única maneira de acompanhar o ritmo das ameaças cibernéticas.