Eğitim sektörüne yönelik saldırılar artıyor: Siber savunmacılar nasıl yanıt verebilir?

Akademik kurumlar, onları kötü aktörler için çekici kılan benzersiz bir özellik kümesine sahiptir. Siber riskin doğru panzehiri nedir?

Hepimiz çocuklarımız için mümkün olan en iyi eğitimi istiyoruz. Ancak en iyi hazırlanmış planlar bile çevik, ısrarcı ve sinsi bir düşmanla karşılaştığında bozulabilir. Ulus devletlere bağlı aktörler ve siber suçlular günümüzde okullar, kolejler ve üniversiteler için en büyük tehditlerden birini oluşturmaktadır. Microsoft’a göre, eğitim sektörü 2024 yılının 2. çeyreğinde en çok hedef alınan üçüncü sektör oldu.  

ESET tehdit araştırmacıları, dünyanın dört bir yanındaki kurumları hedef alan sofistike APT gruplarını gözlemledi. Nisan-Eylül 2024 döneminde eğitim sektörü, Çin’e bağlı APT grupları tarafından en çok saldırıya uğrayan sektörler arasında ilk üçte yer alırken Kuzey Kore ilk ikide, İran ve Rusya’ya bağlı aktörler tarafından ise ilk altıda yer aldı. 

Akademik kurumlar, kendilerini bu kötü aktörler için cazip kılan benzersiz bir dizi özelliğe sahiptir. Ancak neyse ki evrensel en iyi uygulama güvenlik adımları siber riske karşı etkili bir panzehir olmaya devam etmektedir. 

Bilgisayar korsanları neden okulların ve üniversitelerin peşine düşer? 

Hükümet rakamlarına göre, Birleşik Krallık’ta ortaöğretim (lise) okullarının %71’i ve üniversitelerin neredeyse tamamı (%97) geçtiğimiz yıl ciddi bir güvenlik ihlali veya saldırısı tespit ederken bu oran işletmelerin sadece yarısında (%50) görülmektedir. ABD’de, K12 Güvenlik Bilgi Değişimi’nden (SIX) elde edilen en son rakamlar, 2016 ve 2022 yılları arasında ülkenin her okul gününde birden fazla siber olay yaşadığını ortaya koymaktadır.  

Peki eğitim kurumları neden bu kadar popüler bir hedef? 

Bu durum gözenekli ağların, yüksek kullanıcı sayılarının, yüksek oranda paraya dönüştürülebilir verilerin ve sınırlı güvenlik bilgisi ve bütçelerinin bir kombinasyonudur. Bunları daha ayrıntılı olarak ele alalım: 

• Sınırlı bütçe ve bilgi birikimi: Eğitim sektörü, sınırlı siber güvenlik yetenekleri söz konusu olduğunda güvenlik bütçeleri daha fazla olan özel işletmelerle rekabet edemez. Ve aynı bütçe baskısı, kurumların genellikle güvenlik araçlarına harcayacak fazla parası olmadığı anlamına gelir. Bu da kapsam ve kabiliyet açısından tehlikeli boşluklar yaratabilir. Ancak bu tür parasal kaygılar siber riski azaltmayı daha da önemli hâle getiriyor. Bir rapor, 2018’den bu yana ABD’deki okul ve kolejlere yönelik fidye yazılımı saldırılarının yalnızca kesinti süresi olarak 2,5 milyar dolara mal olduğunu iddia ediyor. 

• Kişisel cihazlar: Microsoft’a göre BYOD ABD’deki okullarda yaygındır, üniversitede ise her yerde öğrencilerden kendi dizüstü bilgisayarlarını ve mobil cihazlarını kullanmaları beklenir. Yeterli güvenlik kontrolleri yapılmadan okul ağlarında oturum açmalarına izin verilirse bu cihazlar farkında olmadan tehdit aktörlerine hassas verilere ve sistemlere giden bir yol sağlayabilir. 

• Hatalı kullanıcılar: İnsanlar güvenlik personeli için en büyük zorluklardan biri olmaya devam ediyor. Eğitim ortamlarındaki çok sayıdaki personel ve öğrenci, onları kimlik avı için popüler bir hedef hâline getirmektedir. Farkındalık eğitimi şarttır. Ancak örneğin Birleşik Krallık’ta üniversitelerin yalnızca %5’i bunu öğrenciler için zorunlu kılıyor.  

• Açıklık kültürü: Okullar, kolejler ve üniversiteler tipik işletmeler gibi değildir. Bilgi paylaşımı kültürü ve dış iş birliğine açıklık, riske davetiye çıkarabilir ve tehdit aktörlerinin yararlanabileceği fırsatlar sağlayabilir. Özellikle e-posta iletişimi üzerinde daha sıkı kontroller tercih edilir. Ancak mezunlar ve bağışçılardan hayır kurumlarına ve tedarikçilere   kadar çok sayıda bağlantılı üçüncü taraf varken bu zordur.    

• Geniş bir saldırı yüzeyi: Eğitim tedarik zinciri, son yıllarda sanal öğrenme ve uzaktan çalışmanın ortaya çıkmasıyla genişleyen siber saldırı yüzeyinin sadece bir yönüdür. Bulut sunucularından kişisel mobil cihazlara, ev ağlarına ve çok sayıdaki değişken personel ve öğrenciye kadar, tehdit aktörlerinin hedef alabileceği birçok hedef vardır. Pek çok eğitim kurumunun yamalanmamış ve desteklenmeyen eski yazılım ve donanımları kullanıyor olması da bu durumu daha da kötüleştiriyor. 

• PII ve IP: Okullar ve üniversiteler, sağlık ve finansal veriler de dahil olmak üzere personel ve öğrenciler hakkında büyük hacimlerde kişisel olarak tanımlanabilir bilgi (PII) depolar, yönetir ve işler. Bu da onları finansal motivasyonlu fidye yazılımı aktörleri ve dolandırıcılar için cazip bir hedef hâline getiriyor. Ama dahası da var. Pek çok üniversitenin yürüttüğü hassas araştırmalar da onları ulus devletlerin dikkatine sunuyor. MI5 genel müdürü Nisan 2024’te Birleşik Krallık’ın önde gelen üniversitelerinin yöneticilerini tam da bu konuda uyarmıştı. 

Tehdit gerçek 

Bunlar teorik tehditler değildir. K12 SIX, 2016’dan bu yana ABD okul bölgelerini etkileyen, kamuya açıklanmış 1.331 okul siber olayını listelemiştir. AB güvenlik ajansı ENISA ise Temmuz 2023 ile Haziran 2024 arasında sektörü etkileyen 300’den fazla olayı belgelemiştir. Rapor edilmemiş çok daha fazlası da var. Üniversiteler bazen yıkıcı etkilere yol açacak şekilde fidye yazılımı aktörleri tarafından sürekli olarak ihlal edilmektedir. 

Eğitim sektörünün karşılaştığı tipik tehdit aktörü TTP’leri 

Eğitim sektörü kurumlarını hedef almak için kullanılan taktikler, teknikler ve prosedürlere (TTP’ler) gelince bu, nihai hedefe ve tehdit aktörüne bağlıdır. İran’a bağlı Ballistic Bobcat grubundan gelenler (diğer adıyla APT35, Mint Sandstorm) gibi devlet destekli saldırılar genellikle karmaşıktır. Bir örnekte ESET, aktörün zararsız süreçlere kötü amaçlı kod enjekte ederek ve tespit edilmekten kaçınmak için birden fazla modül kullanarak EDR dahil güvenlik yazılımlarını atlatmaya çalıştığını gözlemledi. 

Birleşik Krallık’ta fidye yazılımları üniversiteler tarafından sektöre yönelik bir numaralı siber tehdit olarak görülmekte, bunu sosyal mühendislik/oltalama ve yamalanmamış güvenlik açıkları takip etmektedir. ABD’de ise İç Güvenlik Bakanlığı’nın bir raporuna göre “K-12 okul bölgeleri, okul sistemlerinin BT bütçe kısıtlamaları ve özel kaynak eksikliği ve fidye yazılımı aktörlerinin belirli tarih ve saatlerde çalışması gereken bazı okullardan ödeme alma konusundaki başarısı nedeniyle neredeyse sürekli bir fidye yazılımı hedefi olmuştur.” 

Kişisel cihazlar, eski teknoloji, çok sayıda kullanıcı ve açık ağlar da dahil olmak üzere saldırı yüzeyinin büyüyen boyutu, tehdit aktörünün işini çok daha kolay hâle getiriyor. Microsoft, QR kodu tabanlı çabaların arttığı konusunda bile uyarıda bulundu. Bunlar, e-postalar, el ilanları, park kartları, mali yardım formları ve diğer resmi iletişimler üzerindeki kötü amaçlı kodlar aracılığıyla kimlik avı ve kötü amaçlı yazılım kampanyalarını desteklemek için tasarlanmıştır. 

Okullar ve kolejler siber riski nasıl azaltabilir? 

Tehdit aktörlerinin okulları, kolejleri ve üniversiteleri hedef almasının kendine özgü bir dizi nedeni olabilir. Ancak genel olarak konuşmak gerekirse bunu yapmak için kullandıkları teknikler denenmiş ve test edilmiştir. Bu da olağan güvenlik kurallarının geçerli olduğu anlamına gelir. Aşağıdaki ipuçlarından bazılarıyla insanlara, süreçlere ve teknolojiye odaklanın: 

• Hesapları korumak için güçlü, benzersiz parolalar ve çok faktörlü kimlik doğrulama (MFA) uygulayın, 

• Hızlı yama, sık yedekleme ve veri şifreleme ile iyi bir siber hijyen uygulayın, 

• Bir ihlalin etkisini en aza indirmek için sağlam bir olay müdahale planı geliştirin ve test edin, 

• Kimlik avı e-postalarının nasıl tespit edileceği de dahil olmak üzere en iyi güvenlik uygulamaları konusunda personeli, öğrencileri ve yöneticileri eğitin, 

• Öğrencilerle cihazlarına önceden yüklemelerini beklediğiniz güvenlik önlemleri de dahil olmak üzere ayrıntılı bir kabul edilebilir kullanım ve BYOD politikasını paylaşın, 

• Kuruluşunuzun uç noktalarını, verilerini ve fikri mülkiyetlerini koruyan saygın siber güvenlik tedarikçisiyle bir iş ortaklığı yapın, 

• Şüpheli faaliyetleri 7/24 izlemek ve tehditleri kurumu etkilemeden önce yakalayıp kontrol altına almaya yardımcı olmak için yönetilen algılama ve yanıt (MDR) kullanmayı düşünün. 

Küresel eğitimcilerin zaten beceri eksikliğinden finansman zorluklarına kadar başa çıkmaları gereken pek çok sorunu var. Ancak siber tehdidi görmezden gelmek onu ortadan kaldırmayacaktır. İhlaller büyümeye bırakılırsa özellikle üniversiteler için felaket olabilecek muazzam mali ve itibar hasarına neden olabilir. Nihayetinde, güvenlik ihlalleri kurumların mümkün olan en iyi eğitimi verme kabiliyetini azaltmaktadır. Bu hepimizin endişe duyması gereken bir konudur.