Il recente cyberattacco che ha preso di mira Canvas, il sistema di gestione dell'apprendimento utilizzato da migliaia di scuole e università in tutto il mondo, è un'altra cruda testimonianza del fatto che il settore dell'istruzione non è più in grado di garantire la qualità dell'insegnamento. settore dell'istruzione settore dell'istruzione è uno degli obiettivi più interessanti per i criminali informatici. L'attacco, collegato al gruppo di estorsori ShinyHunters, avrebbe colpito istituzioni di diversi Paesi, esponendo potenzialmente grandi quantità di dati di studenti e personale.
Per molte organizzazioni educative, l'interruzione è andata ben oltre il disagio. Le lezioni sono state interrotte, i portali sono diventati inaccessibili, gli esami sono stati ritardati e le istituzioni sono state costrette a rispondere alla crisi durante periodi accademici critici. Secondo alcuni rapporti, gli aggressori hanno rivendicato l'accesso a centinaia di milioni di dati relativi a studenti, educatori e personale in tutto il mondo, oltre a dettagli di iscrizione e messaggi privati a cui avrebbero avuto accesso attraverso le funzioni di esportazione e le API di Canvas.
Questo incidente evidenzia una realtà che molti nel settore della sicurezza informatica conoscono da tempo. Scuole, college e università operano in un ambiente digitale sempre più ostile e spesso non dispongono delle risorse, della visibilità e della maturità di sicurezza necessarie per difendersi efficacemente.
Le istituzioni educative si trovano ad affrontare una sfida di cybersecurity particolarmente difficile.
A differenza di molte organizzazioni commerciali, le università e le scuole sono concepite all'insegna dell'apertura e dell'accessibilità. Migliaia di studenti, docenti, collaboratori e partner esterni devono accedere ogni giorno a sistemi e dati. Gli utenti si collegano da dispositivi personali, sedi remote e reti non gestite. La collaborazione nella ricerca coinvolge spesso terze parti e piattaforme cloud.
Ecco perché la sicurezza zero trust sta diventando sempre più importante nel settore dell'istruzione.
Richard Ford, CTO di Integrity360, afferma: "Al di là dei vincoli di budget, la sfida principale degli ecosistemi educativi è l'accesso. Accesso per studenti, insegnanti e terze parti, con la maggior parte dei dispositivi non gestiti. È qui che lo zero trust eccelle e dovrebbe essere una priorità per garantire l'attuazione del principio del minimo privilegio e la sicurezza delle identità e degli accessi".
Per le scuole e le università, questo approccio può ridurre in modo significativo il rischio rappresentato da credenziali compromesse, dispositivi non gestiti e accesso di terzi. Una forte verifica dell'identità, controlli dell'accesso con privilegi minimi, monitoraggio continuo e segmentazione contribuiscono a limitare la distanza che gli aggressori possono percorrere se un account viene compromesso.
Allo stesso tempo, le istituzioni conservano enormi volumi di informazioni di grande valore. I dati degli studenti, i dettagli finanziari, i dati di ricerca, la proprietà intellettuale, i materiali d'esame e le comunicazioni sensibili rappresentano tutte opportunità interessanti per gli aggressori.
L'incidente di Canvas dimostra come una compromissione di un fornitore di tecnologia di terze parti possa rapidamente diffondersi a cascata in migliaia di istituzioni contemporaneamente.
Questa dipendenza dalla catena di fornitura sta diventando uno dei maggiori rischi del settore.
Molte organizzazioni educative fanno grande affidamento su piattaforme di apprendimento basate sul cloud, strumenti di collaborazione e applicazioni gestite dall'esterno. Se da un lato queste tecnologie offrono flessibilità e scalabilità, dall'altro ampliano notevolmente la superficie di attacco.
Instructure, l'azienda dietro la piattaforma di apprendimento Canvas, ha confermato un incidente di cybersecurity all'inizio di maggio, dopo che alcuni aggressori legati al gruppo ShinyHunters hanno ottenuto un accesso non autorizzato ai dati degli utenti. La violazione avrebbe esposto nomi, indirizzi e-mail, numeri di identificazione degli studenti e messaggi degli utenti legati a scuole e università di tutto il mondo.
Alcuni giorni dopo, l'incidente si è aggravato quando le pagine di accesso a Canvas di centinaia di istituti scolastici sono state deturpate con messaggi di riscatto da parte di ShinyHunters. Gli studenti e il personale che tentavano di accedere venivano reindirizzati a messaggi che minacciavano di rilasciare i dati rubati a meno che le trattative non avvenissero entro una scadenza prefissata .
"Una compromissione ripetuta, a distanza di giorni, sottolinea due aspetti importanti a cui dobbiamo prestare attenzione nella sicurezza informatica. In primo luogo, la persistenza è pervasiva e gli aggressori possono rimanere in un ambiente anche dopo il contenimento. È di fondamentale importanza che il monitoraggio sia attivo dopo la violazione per garantire che il contenimento e l'eliminazione abbiano avuto successo. In secondo luogo, se si tratta di una violazione completamente nuova, dimostra quanto gli aggressori possano essere persistenti per assicurarsi di ottenere il loro giorno di paga", afferma Richard.
Mentre alcune prime notizie ipotizzavano il coinvolgimento di portali di login fasulli, le notizie attualmente confermate indicano piuttosto che gli aggressori hanno sfruttato le vulnerabilità connesse all'ambiente "Free-For-Teacher" di Instructure, modificando poi le pagine di login come parte della campagna di estorsione.
L'attacco ha causato gravi disagi durante i periodi critici degli esami, impedendo l'accesso ai corsi, ai compiti e ai sistemi di comunicazione in migliaia di istituti in tutto il mondo. L'incidente evidenzia quanto il settore dell'istruzione dipenda oggi dalle piattaforme cloud e come una compromissione di uno dei principali provider possa avere un impatto rapido su scuole e università di tutto il mondo.
Molte scuole e università non possono competere con il settore privato quando si tratta di budget per la cybersecurity e di acquisizione di talenti.
I team di sicurezza sono spesso piccoli, sovraccarichi e incaricati di proteggere ambienti sempre più complessi con fondi limitati. Questo può portare a ritardi nell'applicazione delle patch, a un monitoraggio incoerente e a lacune nella preparazione alla risposta agli incidenti.
Gli aggressori lo sanno.
L'istruzione rimane uno dei settori più bersagliati a livello globale perché gli attori delle minacce spesso considerano le istituzioni come obiettivi più morbidi, con dati preziosi e capacità difensive più deboli.
I moderni ambienti educativi sono per natura decentralizzati.
Le istituzioni possono avere più campus, studenti remoti, modelli di insegnamento ibridi, applicazioni cloud e migliaia di endpoint non gestiti che si connettono quotidianamente. La visibilità diventa difficile, soprattutto quando coesistono infrastrutture legacy e moderni servizi cloud.
Questo crea opportunità per gli aggressori di sfruttare controlli di autenticazione deboli, credenziali compromesse o integrazioni poco sicure.
L'attacco Canvas rafforza i rischi associati ai fornitori di terze parti.
Anche le istituzioni con solidi controlli interni possono essere esposte se una piattaforma esterna di fiducia subisce una violazione. I sistemi di gestione dell'apprendimento, le piattaforme di comunicazione, i portali di ricerca e i sistemi amministrativi rappresentano tutti potenziali vettori di attacco.
Le organizzazioni educative devono ora pensare a non proteggere solo la propria infrastruttura. Hanno anche bisogno di visibilità sul rischio dei fornitori e sull'esposizione di terzi.
Gli studenti e il personale rimangono i primi obiettivi delle campagne di phishing e degli attacchi di social engineering.
I calendari accademici creano finestre di attacco prevedibili. I periodi di iscrizione, le stagioni degli esami e le scadenze degli aiuti finanziari offrono agli aggressori l'opportunità di impersonare sistemi affidabili o di sfruttare l'urgenza.
Laddove esiste un gran numero di utenti inesperti o transitori, gli aggressori vedono spesso un percorso facile per entrare negli ambienti istituzionali.
Gli attacchi informatici nel settore dell'istruzione non riguardano più solo il furto di dati. L'interruzione stessa è diventata un'arma.
Se i sistemi di apprendimento online falliscono, le istituzioni possono avere difficoltà a impartire l'insegnamento, a elaborare i corsi o a comunicare efficacemente con gli studenti. In alcuni casi, l'intera attività accademica può subire un arresto.
Anche il danno alla reputazione può essere grave, in particolare quando sono coinvolte la fiducia degli studenti e le responsabilità di tutela.
Il tradizionale approccio reattivo alla sicurezza informatica non è più sufficiente per il settore dell'istruzione.
Aspettare che si verifichi un incidente prima di investire in visibilità, rilevamento e risposta crea rischi inutili. Gli istituti scolastici hanno bisogno di strategie di cybersecurity proattive, in grado di identificare le attività sospette prima che le interruzioni si intensifichino.
Questo include:
La resilienza informatica nel settore dell'istruzione riguarda oggi il mantenimento della continuità operativa e la protezione dei dati.
Le organizzazioni educative hanno bisogno di partner per la cybersecurity che comprendano la complessità del settore e siano in grado di fornire un supporto pratico e scalabile.
Integrity360 collabora con organizzazioni del settore dell'istruzione e del settore pubblico in generale per rafforzare la resilienza informatica, migliorare la visibilità e ridurre il rischio operativo, aiutando le istituzioni a rilevare e rispondere rapidamente alle minacce prima che diventino incidenti gravi.
I servizi che possono supportare scuole, college e università includono:
Integrity360 è anche garantita dallo schema NCSC Cyber Incident Response, che offre ulteriore fiducia alle organizzazioni che cercano un supporto esperto nella risposta agli incidenti durante una crisi.
È improbabile che il cyberattacco Canvas sia l'ultimo grave incidente che colpisce il settore dell'istruzione. Poiché le istituzioni continuano a espandere i loro ecosistemi digitali, gli aggressori continueranno a cercare punti deboli da sfruttare.
Le organizzazioni educative non possono eliminare completamente il rischio, ma possono migliorare drasticamente la loro resilienza, visibilità e capacità di risposta.
Siete preoccupati per la vostra sicurezza informatica? Contattate gli esperti di Integrity360.