Den nyligen genomförda cyberattacken mot Canvas, det lärplattformssystem som används av tusentals skolor och universitet världen över, är ännu en stark påminnelse om att utbildningssektorn utbildningssektorn är ett av de mest attraktiva målen för cyberbrottslingar. Attacken, som är kopplad till utpressningsgruppen ShinyHunters, påverkade enligt uppgift institutioner i flera länder och exponerade potentiellt stora mängder data om studenter och personal.

För många utbildningsorganisationer gick störningen långt utöver olägenheter. Klasser avbröts, portaler blev otillgängliga, tentor försenades och institutioner tvingades till krishantering under kritiska akademiska perioder. Enligt vissa rapporter ska angriparna ha fått tillgång till hundratals miljoner uppgifter om studenter, lärare och personal över hela världen, liksom inskrivningsuppgifter och privata meddelanden som de ska ha fått tillgång till via Canvas exportfunktioner och API:er.

Den här incidenten belyser en verklighet som många inom cybersäkerhetssektorn har känt till under lång tid. Skolor, högskolor och universitet verkar i en alltmer fientlig digital miljö samtidigt som de ofta saknar de resurser, den insyn och den säkerhetsmognad som krävs för att försvara sig effektivt.

Varför utbildningssektorn är under press

Utbildningsinstitutioner står inför en unikt svår cybersäkerhetsutmaning.

Till skillnad från många kommersiella organisationer är universitet och skolor uppbyggda kring öppenhet och tillgänglighet. Tusentals studenter, föreläsare, entreprenörer och externa partners behöver tillgång till system och data varje dag. Användarna ansluter från personliga enheter, avlägsna platser och okontrollerade nätverk. Forskningssamarbeten involverar ofta tredje part och molnplattformar.

Det är därför som zero trust-säkerhet blir allt viktigare inom hela utbildningssektorn.

Richard Ford, CTO på Integrity360, säger: "Bortsett från budgetbegränsningar är den största utmaningen för utbildningsekosystemen åtkomst. Åtkomst för studenter, lärare och tredje part, där majoriteten använder ohanterade enheter. Det är här som zero trust utmärker sig och bör prioriteras för att säkerställa att principen om minsta möjliga privilegium implementeras och att identiteter och åtkomst säkras.

För skolor och universitet kan detta tillvägagångssätt avsevärt minska risken för komprometterade inloggningsuppgifter, ohanterade enheter och åtkomst från tredje part. Stark identitetsverifiering, åtkomstkontroller med minsta möjliga behörighet, kontinuerlig övervakning och segmentering bidrar alla till att begränsa hur långt angripare kan gå om ett konto blir komprometterat.

Samtidigt lagrar institutioner enorma volymer av mycket värdefull information. Studentregister, finansiella uppgifter, forskningsdata, immateriella rättigheter, examinationsmaterial och känslig kommunikation utgör alla attraktiva möjligheter för angripare.

Canvas-incidenten visar hur ett intrång hos en tredjepartsleverantör av teknik snabbt kan sprida sig till tusentals institutioner samtidigt.

Beroendet av leverantörskedjan håller på att bli en av sektorns största risker.

Många utbildningsorganisationer förlitar sig i hög grad på molnbaserade lärplattformar, samarbetsverktyg och externt hanterade applikationer. Samtidigt som dessa tekniker ger flexibilitet och skalbarhet ökar de också angreppsytan dramatiskt.

Hur cyberattacken mot Canvas inträffade

Instructure, företaget bakom lärplattformen Canvas, bekräftade en cybersäkerhetsincident i början av maj efter att angripare kopplade till gruppen ShinyHunters fått obehörig tillgång till användardata. Intrånget ska ha exponerat namn, e-postadresser, student-ID-nummer och användarmeddelanden kopplade till skolor och universitet över hela världen.

Flera dagar senare eskalerade incidenten när Canvas-inloggningssidor för hundratals utbildningsinstitutioner enligt uppgift förvanskades med lösensummemeddelanden från ShinyHunters. Studenter och personal som försökte logga in omdirigerades till meddelanden som hotade att släppa stulna data om inte förhandlingar ägde rum före en fastställd tidsfrist.

"Ett upprepat intrång med bara några dagars mellanrum understryker två viktiga saker som vi måste vara uppmärksamma på när det gäller cybersäkerhet. För det första är uthållighet genomgripande och angripare kan stanna kvar i en miljö efter inneslutning. Det är oerhört viktigt att övervakning finns på plats efter ett intrång för att säkerställa att inneslutning och utrotning var framgångsrik. För det andra, och om detta var ett helt nytt intrång, visar det hur ihärdiga angripare kan vara för att säkerställa att de får sin lön", säger Richard.

Medan vissa tidiga rapporter spekulerade i att falska inloggningsportaler kan ha varit inblandade, pekar nuvarande bekräftade rapporter mer mot att angriparna utnyttjade sårbarheter kopplade till Instructures "Free-For-Teacher"-miljö och sedan modifierade inloggningssidor som en del av utpressningskampanjen.

Attacken orsakade stora störningar under kritiska tentaperioder och förhindrade tillgång till kurser, uppgifter och kommunikationssystem på tusentals institutioner världen över. Händelsen visar hur beroende utbildningssektorn numera är av molnplattformar och hur ett intrång hos en stor leverantör snabbt kan påverka skolor och universitet över hela världen.

De utmaningar som skolor och universitet står inför

Begränsade resurser för cybersäkerhet

Många skolor och universitet kan helt enkelt inte konkurrera med den privata sektorn när det gäller budgetar för cybersäkerhet och rekrytering av talanger.

Säkerhetsteamen är ofta små, överbelastade och har till uppgift att skydda alltmer komplexa miljöer med begränsad finansiering. Detta kan leda till försenad patchning, inkonsekvent övervakning och luckor i beredskapen för incidenthantering.

Angripare känner till detta.

Utbildning är fortfarande en av de mest utsatta sektorerna globalt eftersom hotaktörer ofta ser institutioner som mjukare mål med värdefull data och svagare försvarsförmåga.

Mycket distribuerade miljöer

Moderna utbildningsmiljöer är decentraliserade till sin natur.

Institutioner kan ha flera campus, distanselever, hybrida undervisningsmodeller, molnapplikationer och tusentals ohanterade slutpunkter som ansluter dagligen. Det blir svårt att få överblick, särskilt när äldre infrastruktur och moderna molntjänster samexisterar.

Detta skapar möjligheter för angripare att utnyttja svaga autentiseringskontroller, komprometterade referenser eller dåligt säkrade integrationer.

Stort beroende av plattformar från tredje part

Canvas-attacken förstärker de risker som är förknippade med tredjepartsleverantörer.

Även institutioner med starka interna kontroller kan exponeras om en betrodd extern plattform drabbas av ett intrång. Lärplattformar, kommunikationsplattformar, forskningsportaler och administrativa system utgör alla potentiella attackvektorer.

Utbildningsorganisationer måste nu tänka längre än att bara säkra sin egen infrastruktur. De måste också ha insyn i leverantörsrisker och exponering för tredje part.

Nätfiske och identitetsattacker

Studenter och personal är fortfarande de främsta måltavlorna för nätfiskekampanjer och social engineering-attacker.

Akademiska kalendrar skapar förutsägbara attackfönster. Inskrivningsperioder, tentamensperioder och deadlines för ekonomiskt stöd ger alla angripare möjlighet att utge sig för att vara betrodda system eller utnyttja brådskande situationer.

Där det finns ett stort antal oerfarna eller tillfälliga användare ser angripare ofta en enkel väg in i institutionella miljöer.

Störningar i den operativa verksamheten

Cyberattacker inom utbildningssektorn handlar inte längre bara om datastöld. Störningar i sig har blivit ett vapen.

Om systemen för online-lärande inte fungerar kan lärosätena få svårt att leverera undervisning, behandla kursuppgifter eller kommunicera effektivt med studenterna. I vissa fall kan hela den akademiska verksamheten stanna upp.

Skadorna på anseendet kan också bli allvarliga, särskilt när det gäller studenternas förtroende och ansvar för att skydda dem.

Det växande behovet av proaktiv cybersäkerhet

Det traditionella reaktiva förhållningssättet till cybersäkerhet räcker inte längre för utbildningssektorn.

Att vänta tills en incident inträffar innan man investerar i synlighet, upptäckt och respons skapar onödiga risker. Utbildningsinstitutioner behöver proaktiva cybersäkerhetsstrategier som kan identifiera misstänkt aktivitet innan störningen eskalerar.

Detta inkluderar:

  • Kontinuerlig övervakning av nätverk, molnmiljöer och identiteter
  • Snabbare upptäckts- och svarsfunktioner
  • Starkare identitets- och åtkomsthantering
  • Utbildning i säkerhetsmedvetenhet för personal och studenter
  • Planering och testning av incidenthantering
  • Riskhantering från tredje part
  • Sårbarhetshantering och penetrationstestning
  • Säkerhetskontroller anpassade till förändrade krav på efterlevnad
  • Incidenthantering och kriminaltekniska undersökningar
  • Penetrationstestning och säkerhetsbedömningar
  • Identitets- och åtkomsthantering
  • Moln- och e-postsäkerhet
  • Utbildning i säkerhetsmedvetenhet
  • Tjänster för styrning, risk och efterlevnad
  • Hotinformation och proaktiv övervakning

Cyberresiliens inom utbildning handlar nu om att upprätthålla driftskontinuitet lika mycket som att skydda data.

Hur Integrity360 kan hjälpa till

Utbildningsorganisationer behöver partners inom cybersäkerhet som förstår komplexiteten i sektorn och som kan tillhandahålla praktiskt, skalbart stöd.

Integrity360 arbetar med organisationer inom utbildning och den bredare offentliga sektorn för att stärka cyberresiliensen, förbättra synligheten och minska den operativa risken samt hjälpa institutioner att upptäcka och reagera på hot snabbt innan de blir till större incidenter.

Tjänster som kan stödja skolor, högskolor och universitet inkluderar:

Integrity360 är också certifierat enligt NCSC Cyber Incident Response scheme, vilket ger ytterligare förtroende för organisationer som söker erfaret stöd för incidenthantering under en kris.

Cyberattacken mot Canvas kommer sannolikt inte att vara den sista större incidenten som påverkar utbildningssektorn. I takt med att institutionerna fortsätter att expandera sina digitala ekosystem kommer angriparna att fortsätta leta efter svagheter att utnyttja.

Utbildningsorganisationer kan inte eliminera risker helt och hållet, men de kan dramatiskt förbättra sin motståndskraft, synlighet och förmåga att reagera.

Är du orolig för din cybersäkerhet? Ta kontakt med experterna på Integrity360.

 

Kontakta oss