Tri cyber rizika prilikom učenja na daljinu

Stoga su se mnoge škole morale prebaciti na određenu vrstu učenja na daljinu i nastaviti s radom makar su zgrade zatvorene. Prilikom toga, potrebno je paziti na cyber sigurnost i rizike s kojima će se vjerojatno susresti. Škole najčešće koriste aplikacije kao što su Google G Suite, Microsoft 365, Zoom i druge, no ono što je problematično jest da je dostupno premalo načina zaštite. Takva okruženja za online učenje pogodna su za napade cyber kriminalaca, ali i za slučajno otkrivanje podataka učenika i osoblja. Iz tog razloga škole moraju paziti na tri ključna rizika u trenutnoj situaciji.
 
1.      Upravljanje i kontrola pristupa podacima
 
Kontroliranje pristupa kod učenja na daljinu je cyber rizik s kojim će se mnogi susresti zbog korištenja vatrozida umjesto sigurnosti u oblaku (cloudu). Ovakav tip učenja povećava broj onih koji pristupaju sustavu izvan mreže škole. Doug Levin, osnivač i predsjednik K-12 Centra za cyber sigurnost, nedavno je u EdWeeku opisao ovaj rizik koji učenje na daljinu nosi: „S više učitelja i učenika na mreži, posebno ako to rade iz manje kontroliranog okruženja izvan škole, površina za napad na školsku zajednicu se povećava. U mnogim slučajevima sve što je potrebno jest da jedna osoba u školskoj zajednici pogriješi da bi se cijela mreža zarazila ili da bi došlo do proboja podataka“. Situacija je doista kritična. Tradicionalni vatrozidovi i filteri web sadržaja gotovo su beskorisni izvan školske mreže. Ova vrsta otvorenog okruženja onemogućuje IT-u da utvrdi razliku između ovlaštenog i neovlaštenog pristupa.
 
2.      Vidljivost rizika cyber sigurnosti u učenju na daljinu
 
Kaže se da ne možete upravljati onim što ne mjerite. Isto tako, ne možete mjeriti ono što ne vidite. Školski IT odjel vjerojatno koristi vatrozid za nadgledanje aktivnosti kada studenti i zaposlenici pristupaju resursima unutar mreže okruga. Međutim, kada korisnici pristupaju i kreiraju informacije u cloud aplikacijama poput G Suite i Microsoft 365, administratori sustava gube tu vidljivost bez pravih alata. Taj je rizik svojstven bilo kojem okruženju računalstva u oblaku, ali postaje veći u učenju na daljinu. Bez mogućnosti da vidite tko pristupa kakvim informacijama, događaju se curenja podataka.
 
3.      Neverificirane veze EdTech Oauth
 
Dok se učitelji, roditelji i učenici trude pronaći načine kako učenje na daljinu učiniti učinkovitim i zanimljivim, može postojati tendencija isprobavanja više aplikacija za učenje nego ikad prije. Kao odgovor na koronavirusnu krizu, dogodila se prava eksplozija u besplatnim izvorima učenja na daljinu za škole. Iako je lijepo vidjeti da se zajednica okuplja kako bi podržala škole, postoje značajni EdTech sigurnosni rizici uključeni u ovaj trend. Ti se rizici uglavnom vrte oko infrastrukturnih sigurnosnih rizika i OAuth rizika. OAuth veze olakšavaju prijavu u različite SaaS resurse pomoću vjerodajnica za prijavu školskih Google ili Microsoft računa, ali te se veze mogu iskoristiti. Cyber kriminalci lako mogu stvoriti stranicu s naizgled zabavnom aplikacijom te namamiti posjetitelje da iskoriste svoje školske vjerodajnice za prijavu. To hakeru ne daje korisnikovu lozinku, ali mu daje pristupni token pomoću kojeg se može prijaviti u školske sustave. Pomoću tog tokena zaobilaze se zahtjevi za lozinkom i bilo koja dvofaktorska provjera autentičnosti koja postoji.
 
Ovi problemi mogu se rješavati na više načina. Za početak, bilo bi dobro uvesti obaveznu višefaktorsku autentifikaciju. Mogu se i resetirati sve postojeće lozinke i zahtijevati da nove lozinke budu „snažne“. Drugi problem koji treba riješiti je stanje postojeće tehnologije. Potrebno je pokrenuti reviziju infrastrukture za cyber sigurnost okruga kako bi se utvrdili potencijalni nedostaci. Potrebna je višeslojna infrastruktura za cyber sigurnost da bi se dobilo prave komponente za zaštitu podataka. Trenutno nijedno pojedinačno rješenje ne može učiniti sve.