Die VK se universiteite word aangeval: hier is hoe hulle reageer
Die VK se universiteite word van alle kante aangeval. In 'n verslag verlede jaar het aan die lig gebring dat dosyne instellings oor die vorige ses jaar ten minste £122m-156m van Chinese bronne aanvaar het. Die probleem? Ongeveer 'n vyfde van hierdie skenkings het gekom van entiteite wat deur die VSA goedgekeur is vir bande met die Chinese weermag. Die onthullings beklemtoon die voorpuntnavorsing wat baie universiteite onderneem, en die strategiese belangrikheid daarvan vir sekere regerings.
Altyd waaksaam vir die bedreiging, MI5 het onlangs ingelig visekanseliers van 24 vooraanstaande universiteite oor volgehoue staatsondersteunde pogings om intellektuele eiendom te bekom. Maar dit is nie net nasiestate waarteen hulle moet verdedig nie. Die bedreiging van finansieel gemotiveerde kubermisdadigers is ook groot.
Moeilik om te verdedig
Die hoër onderwyssektor (HO) lewer 'n dikwels-onderwaardeerde bydrae tot die nasionale ekonomie. Volgens die jongste syfers, universiteite en ander HO-verskaffers maak jaarliks £71 miljard in bruto toegevoegde waarde (BVA) en £130 miljard in algemene ekonomiese uitset verantwoordelik. Dit alleen is rede om dit teen nasionale staat en kubermisdaadgroepe te beskerm.
"Cyber bied 'n ontkenbare roete om inligting te bekom wat andersins nie vir hulle beskikbaar is nie," het die Nasionale Cyber Security Centre (NCSC) sê van staatsondersteunde bedrywighede. “Dit word waarskynlik uitgebuit in plaas van, of saam met, tradisionele roetes om toegang tot navorsing te verkry, soos vennootskappe, 'gesonderde studente' of direkte belegging.”
Tog het HO-instellings te kampe met veelvuldige uitdagings in hul pogings om kuberveerkragtigheid te verbeter. Vir een ding, die meeste het groot getalle personeel en studente wat hul netwerke gebruik. Dit maak uitvissing 'n gewilde metode om netwerktoegangsbewyse en persoonlik identifiseerbare inligting (PII) te verkry. Dit help nie – hoewel 84% van universiteite inligtingsekuriteitsopleiding vir personeel afdwing – maak net 5% dit verpligtend vir studente.
Universiteite moet ook risiko bestuur oor 'n potensieel groot en komplekse IT-netwerktopologie. Volgens die NCSC bevat baie universiteitsnetwerke "'n versameling van kleiner, private netwerke wat hegte dienste vir fakulteite, laboratoriums en ander funksies verskaf". Dit kan die konsekwente toepassing van sekuriteitsbeleid meer uitdagend maak. Dit word vererger deur potensiële risiko by die verspreide rand – insluitend huiswerkers en afgeleë studente.
“Die aard van akademiese navorsing floreer op samewerking en die oop uitruil van inligting. Dit noodsaak oop toegang tot netwerke en hulpbronne, wat dit moeilik maak om te beperkende sekuriteitsmaatreëls te implementeer. Om 'n balans tussen openheid en robuuste sekuriteit te vind, is 'n konstante stryd,” vertel Axians UK CTO, Chris Gilmour, aan ISMS.online.
“Dit word slegs vererger deur studente en personeel wat persoonlike toestelle gebruik – skootrekenaars, slimfone, waar universiteite 'n balans moet vind tussen BYOD en toegang tot sleutelhulpbronne moontlik maak terwyl hulle steeds 'n geskikte sekuriteitsposisie in die algemeen handhaaf. Hierdie onbestuurde toestelle, indien nie behoorlik beveilig nie, kan kwesbaarhede inbring en dien as potensiële toegangspunte vir kuberaanvalle.”
Laastens staar HO-verskaffers “langtermyn, sistemiese druk in die gesig op hul finansiële volhoubaarheid en lewensvatbaarheid”, volgens 'n 2022 Openbare Rekeningkomitee verslag. 'n Voortgesette klasgeldperk en kortertermynfaktore soos stygende energie en leenkoste en inflasie het begroting meer uitdagend gemaak. Dit kan 'n deurslaggewende impak op kuberveiligheidsbegrotings hê, terwyl dit die skade as gevolg van sekuriteitsoortredings versterk. Afgesien van enige direkte koste, moet universiteite ook die potensiële impak van 'n ernstige skending op reputasie in die oë van voornemende studente oorweeg.
Die Bedreiging Is Werklik
Wanneer state nie kan kry wat hulle wil hê deur groot 'altruïstiese' skenkings aan HO-instellings te maak nie, val hulle terug op tradisionele kuberspioenasie. Intussen teiken kubermisdaadgroepe toenemend personeel en studente PII en blootgestelde stelsels via losprysware. Volgens universiteit IT-vennoot Jisc, word losprysware as die nommer een kuberbedreiging vir die sektor beskou, gevolg deur sosiale ingenieurswese/phishing en onopgeloste kwesbaarhede. Die nie-winsgewende eis 97% van HO-verskaffers sluit nou kuber op hul risikoregister in, en 87% rapporteer gereeld oor kuberrisiko aan hul uitvoerende raad. Maar dit maak nie dat die uitdaging eenvoudig weggaan nie.
Trouens, dit is meer uitgesproke as ooit. 'n Regering verslag van April 2023 beweer 85% van HO-instellings het oortredings of aanvalle in die vorige 12 maande geïdentifiseer, vergeleke met net 32% van besighede.
'n Verwoestende oortreding by Manchester Universiteit in 2023 het gelei tot die kompromie van meer as een miljoen NHS pasiëntrekords, en spruit uit 'n uitvissing-aanval. Trouens, ransomware-aanvalle soos hierdie is 'n algemene verskynsel, en aanvalle wat saamval met die kritieke skoonmaakperiode – soos baie is – kan 'n groot impak hê.
Die bedreiging van staatsakteurs is meer subtiel, maar steeds algemeen. In Februarie 2021, waarskynlik staatsondersteunde kuberkrakers oortree die Universiteit van Oxford se afdeling vir strukturele biologie, wat destyds aan 'n COVID-19-entstof met AstraZeneca gewerk het. So ver terug as 2018, Iranse kuberkrakers geteiken Britse universiteite om sensitiewe navorsing te steel.
Slaan terug
Gelukkig kan selfs HO-instellings wat kontant is, hul kuberveerkragtigheid verbeter met 'n paar beproefde beste praktyke, volgens Gilmour.
“Die prioritisering van personeelopleiding in kuberveiligheidsbewustheid bemagtig almal om bedreigings te identifiseer en te vermy,” voer hy aan. “Die implementering van oopbron-sekuriteitsinstrumente en die gebruik van gratis regeringshulpbronne kan sekere sekuriteitsgapings toestop. En deur ’n kultuur van data-minimalisering aan te moedig en kritieke stelsels te prioritiseer, kan hulle meer doen met minder.”
Tim Line, hoof van dienste by Secure Schools, voeg by dat verdediging-in-diepte die sleutel is. Multifaktor-verifikasie, insidentreaksiebeplanning, robuuste rugsteun, eindpuntopsporing (EDR), firewalls en enkripsie behoort alles 'n prioriteit te wees, sê hy aan ISMS.online. Die ontplooiing van sulke kontroles, en operasionele beste praktyke, insluitend vinnige pleister, aanvaarbare gebruik en veilige konfigurasie moet uiteengesit word in duidelike beleide "wat verwagtinge uiteensit en reëls stel", voeg Line by.
"Dink aan elke veilige beheer as 'n sny Switserse kaas," verduidelik hy. “Een sny het baie gate en is maklik breekbaar. Voeg nog 'n stukkie sekuriteitsbeheer by, en dit maak sommige van die gate op die eerste sny toe, en so aan totdat die risiko verminder is tot 'n vlak wat as aanvaarbaar gemeet word.”
Beide Line en Gilmour wys ook op die waarde van beste praktyk sekuriteitstandaarde soos ISO 27001 en aanbiedinge soos die NIST Cybersecurity Framework.
“ISO 27001 bied 'n gestruktureerde benadering tot bestuur van inligtingsekuriteit. Deur sy beheermaatreëls te implementeer, kan universiteite kuberveiligheidsrisiko’s identifiseer en bestuur, ’n kultuur van sekuriteitsbewustheid ontwikkel en duidelike prosesse vir insidentreaksie daarstel,” sê Gimour.
Selfs meer basislyninisiatiewe soos Cyber Essentials kan nuttig wees om risiko te verminder, voeg Line by.
“Hulle sal nooit die risiko tot nul verminder nie – net soos die implementering van rookverklikkers, branddeure, brandalarms en ontruimingsprosedures nie die risiko van 'n brand tot nul verminder nie,” sluit hy af. "Dit verminder egter die risiko van voorkoms, die verspreiding van die brand en die brand wat 'n beduidende impak op mense en bedrywighede het, aansienlik."
