Um novo dia se inicia. Uma importante instituição (que durante a pandemia criou planos de digitalização para sustentar suas estratégias de negócio e garantiu a continuidade das aulas de forma remota) percebe que os sistemas estão fora do ar.
A liderança aciona TI e recebe a seguinte resposta: “Sofremos um Ciberataque e não estamos conseguindo restabilizar nossos sistemas”.
A preocupação começa a pairar: “Meu Deus! São quase 500 mil alunos remotos que ficarão sem aulas, por tempo indeterminado. Será que dados de clientes vazaram? Puxa vida, ignoramos a LGPD, e agora?”
A perda financeira é a primeira que vem à mente, pois sem o serviço alguns alunos poderão negociar o valor da mensalidade. Mas há ainda os incontabilizáveis danos na imagem e reputação, pois alguém CERTAMENTE compartilhará nas redes sociais o que está acontecendo.
…
Parece um cenário muito distante da sua realidade? Pois saiba que isso vai acontecer com a sua organização uma hora ou outra…
Migrar o aprendizado para o ambiente virtual e ampliar a digitalização, como medida alternativa para o período de pandemia da COVID-19, criou o contexto perfeito para os criminosos digitais se capitalizarem e atacarem acirradamente as redes das instituições de ensino.
E esta não é mais uma preocupação somente das GRANDES CORPORAÇÕES! Qualquer organização que estiver na Internet – inclusive as médias e pequenas – precisa se preocupar com isso!
O Microsoft Security Intelligence descobriu que, de 14 de agosto a 12 de setembro de 2021, instituições educacionais foram alvos de mais de 5,8 milhões de ataques de malware (softwares intencionalmente feitos para causar danos a dispositivos) em todo o mundo – representando 63% de todos os ataques.
Um relatório da Kaspersky revelou que em 2021 os ciberataques às plataformas de ensino online cresceram mais de 350% no primeiro semestre.
Os números estão mostrando que é preciso se preparar…
Mas que tipo de interesse os criminosos podem ter pelas instituições de ensino?
Elas são miradas, em grande parte, porque possuem muitos dados sensíveis como:
· Perfil dos alunos;
· Chats de uso interno;
· Notas;
· Performance de alunos;
· Acessos a fechaduras eletrônicas;
· Senhas;
· Dados de mensalidades pagas e de inadimplência;
· e até informações salariais.
Para complicar, na pandemia estas organizações se tornaram muito mais dependentes de tecnologia, passando a distribuir, por exemplo, conteúdos para milhões de novos dispositivos pessoais, em novos canais de acesso à Internet, além de desenvolverem plataformas e aplicativos para facilitar o acesso e o aprendizado dos usuários.
Estas mudanças abriram ainda mais portas para os hackers se infiltrarem nas redes de comunicação atuais. Agora, basta um ingênuo clique de um professor, aluno ou pai em um e-mail de phishing (comunicações falsas, usadas para enganar usuários e obter informações confidenciais) e um ataque de ransomware (tipo de software de sequestro de dados) pode estar em andamento dentro da instituição. Simples assim!
No universo dos negócios, os ataques cibernéticos significam perdas financeiras, mas no universo escolar, significam também a perda da capacidade de ensino.
Mas quem são estes criminosos cibernéticos que têm as escolas e universidades como alvo?
Para citar somente alguns:
· Alunos, professores ou colaboradores insatisfeitos ou entediados, que possuem algum conhecimento de tecnologia;
· Pessoas relacionadas à instituição de ensino, que possuem senhas importantes (que alguém forneceu ou deixou vazar);
· Criminosos cibernéticos, que enviam milhões de e-mails de spam, para todos os endereços eletrônicos que encontram. Podem se passar por empresas populares de streaming, financeira, de entretenimento, etc. Em geral contém anexos destinados a espalhar vírus e coletar credenciais de pessoas, para uso posterior;
· Ou a pior de todas: organizações criminosas, geralmente internacionais, em localidades difíceis de serem descobertas pelas nossas autoridades.
Como as instituições podem se proteger desses ataques?
Não é possível eliminar os riscos, apenas mitigá-los. Um levantamento e avaliação deles pode ajudar as instituições a compreenderem quais são e onde estão seus pontos vulneráveis, para se prevenir e se preparar.
Ficar sem fazer nada não é uma opção. Para os líderes de TI, tanto no setor educacional quanto em qualquer outro, promover uma cultura de hipervigilância dentre os públicos envolvidos é fundamental.
Isso significa operar não com a SUPOSIÇÃO, mas com a CERTEZA de que um dia um ataque irá acontecer.
Para ambientes de aprendizagem híbrida (presencial e virtual) a adoção de uma Política de Segurança da Informação bem definida, divulgada e aplicada, em conjunto com boas práticas de “Zero Trust” (confiança zero ou segurança sem perímetro), é um excelente começo. Elas devem incluir:
- Estratégias de engajamento e sensibilização ao tema, nos níveis operacionais, de liderança e na rede de parceiros;
- Workshops periódicos sobre o assunto, com os públicos envolvidos (alunos, colaboradores, etc.);
- Alto uso de VPN (Virtual Private Network ou Rede Privada Virtual), autenticação multifator, firewalls (programas de segurança virtual) e antimalware, para combater phishing;
- Adoção do Princípio do Mínimo Privilégio para acesso à rede, ou seja, conceder apenas as autorizações mínimas necessárias para o desempenho de uma atividade específica;
- Medidas de segurança de dados aprimoradas, para proteger registros confidenciais de alunos;
6. Boas práticas de backup e testes de recuperação;
7. Contingência dos processos críticos e das tecnologias envolvidas, inclusive testando-os em simulados práticos de exposição à cenários críticos (ex.: exercícios table tops);
8. E protocolos de respostas a incidentes, conhecidos e seguidos por todos os públicos envolvidos.
Para implantar as medidas de cuidado no ambiente virtual das organizações, deve-se começar de cima para baixo, ou seja, pelos órgãos de controle e pela liderança, descendo depois para todos os níveis.
Por fim, além da premissa básica de incluir a segurança física e digital na estratégia de negócio das instituições de ensino, é imprescindível eliminar de vez a visão de que TI é despesa. Custa menos se preparar para uma crise do que ser pego de surpresa por ela.
E quando acontecer?
Em qualquer emergência, o tempo de resposta é o fator que pode mudar tudo. Quanto mais rápido e assertivo for o acionamento do time necessário e o cumprimento dos protocolos previamente definidos para a situação, menores serão os prejuízos.
A Cosafe é o maior hub especializado em gestão de crises do país, com serviços de ponta a ponta para organizações, incluindo consultorias, treinamentos e uma plataforma digital exclusiva para comunicação em situações críticas, que permite o aviso imediato e em massa, em caso de incidentes e acionamentos de emergência.
Convido a todos para conhecerem as soluções fornecidas pela Cosafe, que conta com expertise em gestão de crises em ambientes educacionais aqui no Brasil e na Europa.
Contem conosco!
Por Fernando Dondeo, CTO da Cosafe LATAM