Взгляд CISO DeVry University на киберугрозы в сфере высшего образования

В этом интервью для Help Net Security Фред Квонг, вице-президент и директор по информационной безопасности в Университете ДеВрай, объясняет, как учебное заведение находит баланс между академической открытостью и киберрисками. Он описывает, как системы для студентов отделены от внутренних операционных процессов, чтобы ограничить потенциальные угрозы.

Квонг также обсуждает, как изменились данные студентов за последнее десятилетие. Теперь информация централизована в системах управления обучением, что улучшает отчётность, но повышает ставки в случае утечки. В интервью также затрагиваются гибридное обучение, защита идентичности, подключения сторонних сервисов и безопасность исследований. Поскольку студенты входят в систему с неподконтрольных устройств по всему миру, многоуровневый контроль, строгая аутентификация и активный мониторинг являются центральными элементами защиты учётных записей и конфиденциальных данных.

Нахождение правильного баланса между открытостью и академической свободой критически важно для высшего образования. В ДеВрае это означает разделение ресурсов, необходимых для внутренних университетских операций, и систем, к которым нужен доступ нашим учащимся. Такой подход гарантирует, что у студентов есть инструменты для академических успехов, а у университета — гибкость для защиты и ограничения доступа к своим системам.

Комитет по киберрискам, в который входит руководство университета, помогает оценивать и определять допустимый порог риска. В состав этого межфункционального комитета, включая меня, входят руководители из разных подразделений ДеВрая. Комитет постоянно анализирует риски через призму вероятности и потенциального ущерба. Команда безопасности помогает количественно оценить риск, после чего бизнес-лидерам и академическим руководителям представляются варианты по его снижению или принятию. Оценка включает уверенность учащихся, количество затронутых студентов, восприятие бренда, достоверность угрозы и возможное влияние на приватность.

Если риск превышает наш допустимый порог, то документируется исключение. На этом этапе мы выясняем, какие компенсирующие меры контроля существуют, назначаем ответственного за риск и устанавливаем дату пересмотра для комитета. Все исключения пересматриваются комитетом как минимум раз в год.

Десять лет назад данные студентов были гораздо менее централизованы, чем сегодня. Тогда личная информация учащихся хранилась в множестве систем, а иногда даже на бумаге, что создавало сложности для директоров по информационной безопасности. Это часто означало повышенный риск из-за неясного владения данными, неравномерного контроля и ограниченной видимости мест хранения конфиденциальной информации.

Современные системы управления обучением (LMS) объединяют данные учащихся, обеспечивая наличие гораздо более полной информации в одном месте. Такая централизация упрощает расширение возможностей отчётности, но потенциально может привести к повышенным рискам в случае компрометации системы. Тем не менее, централизованная LMS позволяет нам гарантировать, что собираются только необходимые данные, которые впоследствии удаляются в соответствии с политикой хранения.

Для минимизации рисков, связанных с этими системами, директорам по информационной безопасности (CISO) необходим полный контроль над данными, поступающими в систему и исходящими из неё, а также обеспечение соответствующих защитных мер. Это начинается с установления политик, регулирующих обработку данных, при одновременном сборе и хранении только необходимой информации. Это снижает вероятность утечки данных в случае инцидента. Кроме того, CISO должны обеспечить соблюдение модели «наименьших привилегий», чтобы уменьшить потенциальную поверхность для атак, а также гарантировать, что доступ надлежащим образом проверяется и регистрируется для выявления аномалий, на которые можно оперативно отреагировать.

С ростом популярности гибридного обучения произошёл переход учебных заведений от кампусо-ориентированного периметра безопасности к распределённой модели, где «границей» является любое местонахождение обучающегося.

По мере роста изощрённости атакующих, средства защиты также должны развиваться. Защита электронной почты на основе ИИ, устойчивая к фишингу многофакторная аутентификация и верификация личности становятся новой нормой для соответствия изменившемуся периметру. В этой новой модели аутентификация, авторизация и постоянная верификация являются ключевыми требованиями.

Гибридные модели также требуют новых способов предоставления информации обучающимся. Ушли в прошлое дни физических лабораторий, где они получали доступ к программному и аппаратному обеспечению. Вместо этого их заменили подключения к сторонним компаниям, предоставляющим эти услуги, или виртуальные лабораторные среды. Эта новая реальность открывает не только киберриски, но и операционные риски, находящиеся вне нашего контроля, поэтому обеспечение безопасности API, используемых для подключения наших систем, становится как никогда важным.

В распределённой среде обучения, где конечные точки находятся вне вашего контроля, основное внимание смещается на защиту учётных записей учащихся. Постоянные попытки злоумышленников скомпрометировать учётные записи — это общая проблема для всей отрасли, которую мы ежедневно предотвращаем с помощью различных мер, включая многофакторную аутентификацию, антифишинговые меры с использованием ИИ и верификацию личности.

Кроме того, мы применяем детективные меры контроля, такие как поиск угроз и мониторинг даркнета на предмет признаков компрометации учетных записей. Мы также работаем напрямую со студентами, когда подозреваем, что их аккаунты были скомпрометированы. В ходе этого процесса мы обеспечиваем сброс не только их университетских учетных данных, но и личных электронных почтовых ящиков, поскольку именно там часто и происходит утечка. Эти и другие шаги задокументированы в сценариях действий, которые помогают нам оперативно восстанавливать доступ студентам. Мы также проводим кампании по безопасности, обучая наших учащихся и сотрудников распознавать фишинговые атаки, защищать свои учетные записи и применять другие полезные практики цифровой гигиены.

Ключ к защите от взлома учетных записей — внедрение защитных уровней на протяжении всего жизненного цикла идентификации. Это помогает снизить вероятность несанкционированного доступа, сократить время обнаружения инцидента и ускорить восстановление.

Мы шифруем все конфиденциальные данные, чтобы минимизировать риск компрометации. Это включает в себя все коммуникации между нашими сотрудниками и учащимися, чтобы информация не была раскрыта. Системы укреплены, и на каждом устройстве установлен наш защитный комплекс, что гарантирует полную видимость.

Мы также сегментируем среду, обеспечивая невозможность использования доступа к одной зоне для проникновения в другие или в наши внутренние системы. Это соответствует модели наименьших привилегий, ограничивая доступ только необходимым ресурсам.

В конечном счете, наша цель — сохранить академическую свободу, одновременно минимизируя риск утечки данных и непреднамеренных операционных сбоев.