Dünya çapında eğitim sektörü, siber suçluların en çok hedef aldığı sektörlerden biri hâline geldi.
Okullar ve üniversiteler manşetlere çıktığında bunun nedeni öğrencilerin başarıları olmalı, sınıfların ve kampüslerin kapanmasına neden olan ve ebeveynlerin çocuklarının ve kendi kişisel verilerinin risk altında olduğu konusunda paniğe kapılmasına neden olan bir başka fidye yazılımı saldırısı değil. Ancak durum böyle. Siber suçluların en sık hedef aldığı sektörlerden biri eğitim sektörü.
Bu durum bizi şaşırtmamalı çünkü eğitim sektörü büyük miktarda hassas kişisel veri, araştırma ve finansal veriye sahip veya bunlardan sorumlu. Genellikle eski teknolojilerle çalışıyor ve güçlü bir savunma oluşturmak için gerekli kaynaklara veya uzmanlığa sahip değil. Bu da onları yüksek değerli getirisi olan kolay hedefler hâline getiriyor.
İptal edilen dersler ve seminerler, donmuş öğrenim platformları… Tehlikeye atılan öğrenci ve personel verileri, eğitimin temeli olan güven duygusunu sarsmaktadır. Daha küçük kurumlar için özellikle özel sektörde, itibar kaybı ve finansal kayıplardan kurumun tamamen kapanmasına kadar varan, varoluşsal bir zarar söz konusu olabilir. Yine de tekrarlanan uyarılara rağmen birçok okul hâlâ doğrudan siber saldırıları önleyebilecek bir siber güvenlik duruşu benimsemekte zorlanmaktadır. İngiltere hükümetinin yakın zamanda yaptığı bir ankette, okulların %60’ı son 12 ay içinde bir saldırı veya ihlal yaşadığını doğruladı.
Eğitim sektörü ayrıca öğrenci bilgi sistemleri, öğrenim yönetim sistemleri, müfredat yönetimi ve geniş kapsamlı finans ve İK hizmetlerinde kanıtlanmış bir geçmişe sahip üçüncü taraf bulut tabanlı çözüm sağlayıcılarına büyük ölçüde bağımlıdır. Bazı kurumlar özellikle savunmasız, öğrencilere ait verilerin korunması da dâhil olmak üzere, son derece hassas bilgileri işleyebilir.
Eğitim kurumları ayrıca güvenliği ihlal edildiğinde ciddi aksaklıklara ve veliler arasında endişeye yol açabilecek iletişim sistemlerine de güvenmektedir. Bu sistemler, okulların kapatılması ve kilitlenme veya kampüs olayları hakkında kritik mesajlar dâhil olmak üzere SMS uyarıları ve önemli bilgileri dağıtır.
Eğitim sektöründe önleme açığı
Çok sayıda kurum “biz hedef değiliz” modunda çalışmaktadır. Kaynak yetersizliği nedeniyle yalnızca kesinlikle kritik durumlarda yama uygulamakta ve bu da kötü niyetli kişilere güvenlik açıklarından yararlanma fırsatı vermektedir. Uyum gerekliliklerini karşılamak için yılda bir kez düzenlenen personel eğitimleri, öğretimden değerli zaman çalan ve zaten aşırı çalışan personeli daha da zorlayan bir yük olarak görülmektedir. Bu arada, kıyaslandığında bol miktarda kaynağa sahip olan siber suç grupları, her gün her dakika zayıflıkları taramaktadır.
Bu tutum pervasızdır. Önce önleme, her saldırıyı tahmin etmek anlamına gelmez. Bu, olayların önlenmesi ve dayanıklılığın artırılması için güçlü bir koruma oluşturmak anlamına gelir. Bir olay meydana geldiğinde hızlı bir şekilde tespit edilir, en az düzeyde kesintiye neden olur ve krize dönüşmez. Ayrıca hasar meydana gelmeden önce önlemler almak, olayın ardından temizlik yapmak için olay müdahalesine güvenmemek anlamına da gelir.
Ve okulların bunu yapmamasının nedenlerinden biri de kurumlar tarafından yetersiz fon, yetersiz personel ve yetersiz destek almalarıdır.
Ancak eğitim sisteminin durumuna ilişkin sorumluluğu toplu olarak kabul etmeliyiz. Eğitim sektörünün çoğunu vergilerle finanse ediyoruz ve onları hem desteklemeli hem de hesap verebilir olmalarını sağlamalıyız. Bir finans kurumu müşteri verilerini korumayı ve mevduatları güvence altına almayı başaramazsa güvenimiz azalır ve alternatifler ararız.
Yine de okulların gerekli siber güvenlik önlemlerini almakta zorlandığını ve kişisel hassas verileri, nasıl korunacağına dair bilgi talep etmeden veya politikacılardan güçlü bir siber güvenlik önlemi sağlamak için yeterli kaynak sağlamalarını talep etmeden teslim etmeye devam ettiğini hepimiz biliyoruz. Kişisel verileri teslim edip veri ihlali olduğunda şikâyet etmek gibi “kumda kafasını gömme” yaklaşımı, öncelikle önleme odaklı bir tutuma ve güvenlikle ilgili soruları önceden sormaya dönüşmelidir.
Siyasi bir kör nokta
Eğitim sektörü, günümüzde en acil siber güvenlik riskleriyle karşı karşıyadır. Bu riskler, öğrenmeyi aksatabilir, hassas verileri tehlikeye atabilir ve halkın güvenini sarsabilir. Sosyal mühendislik, tek başına en büyük tehdit olmaya devam etmektedir. Kimlik bilgilerini çalmak, kötü amaçlı yazılım yaymak ve bazı durumlarda, tehlike fidye yazılımı saldırısıyla sonuçlandığında tüm okul sistemlerini felce uğratmak için personel ve öğrencileri hedef alan kimlik avı e-postaları gönderilmektedir.
Dağıtık Hizmet Engelleme (DDoS) saldırıları, hem kurum içi hem de kurum dışı sunucuları ve hizmetleri aşırı yükleyerek dijital sınıflara, ödevlere ve iletişim kanallarına erişimi keserek bir başka aksaklık katmanı eklemektedir. Yükseköğretim düzeyinde, fikri mülkiyet hırsızlığı, bilimsel, tıbbi veya mühendislik araştırmalarının suç grupları veya rakip araştırma kurumları tarafından giderek daha fazla hedef alınmasıyla benzersiz bir tehlike oluşturmaktadır.
Eğitim için ayrılan bütçe yetersiz
Bu gerçeklere rağmen eğitim, siber güvenlik konusunda kritik derecede yetersiz finanse edilmektedir. Politikacılar ve kurumlar genellikle okullarda “dijital dönüşümü” savunurlar ancak eğitim sektörünün kendini korumak ve güvenli bir şekilde çalışmak için ihtiyaç duyduğu finansmanı veya kaynakları sağlamada başarısız olabilirler.
Fidye yazılımı talepleri çok haneli rakamlara ulaşabilir ve bazı ülkeler kamu kaynaklarından bu tür ödemelerin yapılmasını yasaklamıştır. Ancak bu, saldırganları caydırmamaktadır. Çünkü dark web’de hassas kişisel verileri satmak veya kamu sektörü müşterilerinden elde edilen gelirlerle finanse ediliyor olsalar da fidyeyi ödemeyi seçebilecek ticari kuruluşlar gibi üçüncü taraf hizmet sağlayıcıları hedef almak önemli bir fırsattır.
Zayıf parolalar ve paylaşılan cihazlardan yararlanan kimlik avı saldırıları, genellikle uygun denetimden yoksun üçüncü taraf EdTech platformları ve siber suçlular için kolay bir av olmaya devam eden eski sistemler ile saldırı yüzeyi geniştir ve bunların tümü günümüz eğitiminde günlük gerçeklerdir. Eğitim gerçekten toplumlarımızın temeli ise onu korumak tartışılmaz bir konu olmalıdır. Önce önleme zihniyeti, okulların ve üniversitelerin en önemli konuya, yani kesinti tehdidi olmadan gelecek nesli şekillendirmeye odaklanabilmelerini sağlamanın tek yoludur.
Eğitim sektörü için bir yol haritası
İyi haber şu ki önleme odaklı bir yaklaşım oluşturmak için büyük kurumsal bütçeler gerekmiyor. Disiplin ve liderlik ön planda olmalı. Okullar ve KOBİ düzeyindeki eğitim kurumları şunlarla başlayabilir:
- Risk değerlendirmeleri: Güvenlik açıklarını belirlemek için düzenli taramalar.
- Siber güvenlik çerçevelerini takip edin: Bulut güvenliğini güçlendirmek, en iyi uygulamaları hayata geçirmek ve riski azaltmak için genel BT kılavuzu olarak Yükseköğretim Topluluğu Tedarikçi Değerlendirme Araç Seti (HECVAT) veya NIST CSF’yi kullanın.
- Güvenlik açığı ve yama yönetimi: Uç noktalarda ve sunucularda dağıtılan fidye yazılımlarına ve sıfır gün tehditlerine karşı gerçek zamanlı koruma ile desteklenen otomatik taramalar ve hızlı yama uygulamaları.
- Kimlik bilgilerinin güvenliği: Çok faktörlü kimlik doğrulama (MFA), yaygın giriş noktalarını engellemek için varsayılan bir gereklilik olmalıdır.
- Satıcı denetimi: EdTech sağlayıcılarının güvenlik uygulamalarını incelemek ve erişimlerini sınırlamak.
- Eğitim ve farkındalık: Personel ve öğrencilerin kimlik avı ve güvenli olmayan uygulamaları tanımaları için düzenli, pratik eğitimler.
- Olay müdahalesi ve siber dayanıklılık planlaması: Bir sorun çıktığında (çıkarsa değil) ne yapılacağına dair net bir plan.
Bunlar isteğe bağlı ekstralar değildir. Modern risk yönetiminin asgari gereklilikleridir.
Liderlere çağrı
Okullar bu sorunu tek başına çözemez. Politikacılar, devlet kurumları, siber güvenliği “olsa iyi olur” gibi bir şey olarak görmekten vazgeçmeli ve bunun yerine kritik bir altyapı olarak finans desteği sağlamalıdır. Düzenleyiciler, hassas öğrenci verilerini işleyen EdTech tedarikçilerinden hesap verebilirlik talep etmelidir. Okul ve üniversitelerdeki liderlik ekipleri, siber güvenliği bir maliyet yükü olarak görmekten vazgeçmeli ve bunun yerine, eğitimi koruyan bir risk yönetimi olarak görmelidir.
Seçmenler olarak, politikacıların bizim için çalıştığını ve gerçekleştirdikleri eylemlerin genellikle yeniden seçilmelerini sağlayacak konulara cevap verdiğini unutmamalıyız. Bu nedenle, eğitimde siber güvenlik konusunun önceliğini artırmalıyız. Eğitimde siber güvenlikli bir ortam yaratılmasını talep etmeliyiz.
Eğitim iyileştirmeyi hak ediyor
Düzeltilmemiş her güvenlik açığı, yeniden kullanılan her parola ve kontrol edilmemiş her satıcı platformu, gerçekleşmesi an meselesi olan bir felakettir. Önce önleme yaklaşımına geçmezsek çalınan öğrenci verileri, iptal edilen dersler ve sarsılan güvenle ilgili daha fazla manşet göreceğiz. Okullar, gençlere bir gelecek sunmak için vardır. Eğitimde önleme, isteğe bağlı değil, acildir.
