האוניברסיטאות בבריטניה מותקפות מכל עבר. דו"ח בשנה שעברה חשף כי עשרות מוסדות קיבלו לפחות 122-156 מיליון ליש"ט ממקורות סיניים במהלך שש השנים הקודמות. הבעיה? כחמישית מהתרומות הללו הגיעו מגופים שהוענקו על ידי ארה"ב בשל קשרים עם הצבא הסיני. הגילויים מדגישים את המחקר החדשני שאוניברסיטאות רבות עושות, ואת חשיבותו האסטרטגית לממשלות מסוימות.
ערני תמיד לאיום, MI5 תדרוך לאחרונה סגני ראש הממשלה מ-24 אוניברסיטאות מובילות במאמצים מתמשכים בגיבוי המדינה להשיג קניין רוחני. אבל לא רק מדינות לאום הם צריכים להתגונן מפניהם. האיום מצד פושעי סייבר בעלי מניע כלכלי גדול גם הוא.
קשה להגן
מגזר ההשכלה הגבוהה (HE) תורם תרומה לא מוערכת לעתים קרובות לכלכלה הלאומית. על פי הנתונים האחרונים, אוניברסיטאות וספקי HE אחרים נותנים 71 מיליארד ליש"ט מדי שנה בערך מוסף גולמי (GVA) ו-130 מיליארד ליש"ט בתפוקה כלכלית כללית. זה לבדו סיבה להגן עליו מפני מדינות לאום וקבוצות פשעי סייבר.
"סייבר מציע מסלול שניתן להכחיש להשיג מידע שאינו זמין עבורם בדרך אחרת", המרכז הלאומי לביטחון הקיברנטי (NCSC) אומר על פעילים הנתמכים על ידי המדינה. "סביר להניח שהוא מנוצל במקום, או בשילוב עם, מסלולים מסורתיים כדי לקבל גישה למחקר, כגון שותפות, 'סטודנטים משונים' או השקעה ישירה."
עם זאת, מוסדות HE נאלצים להתמודד עם אתגרים מרובים במאמצים שלהם לשפר את חוסן הסייבר. ראשית, לרובם יש מספר רב של צוות וסטודנטים המשתמשים ברשתות שלהם. זה הופך את הדיוג לשיטה פופולרית להשגת אישורי גישה לרשת ומידע אישי מזהה (PII). זה לא עוזר - למרות ש-84% מהאוניברסיטאות אוכפות הדרכות אבטחת מידע לצוות - רק 5% מחייבים אותה עבור תלמידים.
האוניברסיטאות חייבות גם לנהל סיכונים על פני טופולוגיית רשת IT גדולה ומורכבת. לפי ה-NCSC, רשתות אוניברסיטאות רבות מכילות "אוסף של רשתות פרטיות קטנות יותר, המספקות שירותים צמודים לפקולטות, מעבדות ופונקציות אחרות". זה יכול להפוך את אכיפת מדיניות האבטחה באופן עקבי למאתגרת יותר. זה מתווסף לסיכון פוטנציאלי בקצה המבוזר - כולל עובדי בית וסטודנטים מרוחקים.
"טבעו של המחקר האקדמי משגשג על שיתוף פעולה וחילופי מידע פתוחים. הדבר מחייב גישה פתוחה לרשתות ומשאבים, מה שמקשה על יישום אמצעי אבטחה מגבילים מדי. יצירת איזון בין פתיחות ואבטחה איתנה היא מאבק מתמיד", אומר CTO של Axians UK, כריס גילמור, ל-ISMS.online.
"זה מתווסף רק על ידי סטודנטים וצוות המשתמשים במכשירים אישיים - מחשבים ניידים, סמארטפונים, שבהם האוניברסיטאות צריכות למצוא איזון בין BYOD לאפשר גישה למשאבים מרכזיים תוך שמירה על תנוחת אבטחה מתאימה בסך הכל. המכשירים הבלתי מנוהלים הללו, אם אינם מאובטחים כראוי, עלולים להציג פגיעויות ולשמש כנקודות כניסה פוטנציאליות להתקפות סייבר".
לבסוף, ספקי HE מתמודדים עם "לחצים ארוכי טווח, מערכתיים, על קיימותם הפיננסית וכדאיותם", על פי ועדת חשבונות ציבוריים משנת 2022 לדווח. מגבלת שכר לימוד מתמשכת וגורמים לטווח קצר יותר כמו עליית אנרגיה ועלויות אשראי ואינפלציה, הפכו את התקציב למאתגר יותר. זה יכול להשפיע על תקציבי אבטחת סייבר, תוך הגברת הנזק הנובע מפרצות אבטחה. מלבד כל עלויות ישירות, על אוניברסיטאות לשקול גם את ההשפעה הפוטנציאלית של הפרה חמורה על המוניטין בעיני סטודנטים פוטנציאליים.
האיום הוא אמיתי
כאשר מדינות אינן יכולות להשיג את מה שהן רוצות על ידי תרומות "אלטרואיסטיות" גדולות למוסדות HE, הן נופלות על ריגול סייבר מסורתי. בינתיים, קבוצות פשעי סייבר מכוונות יותר ויותר לצוות ולתלמידים PII ומערכות חשופות באמצעות תוכנות כופר. לדברי שותף IT באוניברסיטה ג'יסק, תוכנות כופר נתפסות כאיום הסייבר מספר אחת על המגזר, ואחריה הנדסה חברתית/דיוג ופגיעויות שלא טופלו. המלכ"ר טוען ש-97% מספקי ה-HE כוללים כעת סייבר במרשם הסיכונים שלהם, ו-87% מדווחים באופן קבוע על סיכוני סייבר לדירקטוריון שלהם. אבל זה לא גורם לאתגר פשוט להיעלם.
למעשה, זה בולט יותר מאי פעם. ממשלה לדווח מאפריל 2023 טוענים ש-85% ממוסדות הבריאות זיהו הפרות או התקפות ב-12 החודשים הקודמים, בהשוואה ל-32% בלבד מהעסקים.
הרסנית הפרה באוניברסיטת מנצ'סטר בשנת 2023 הביאה לפשרה של למעלה ממיליון רישומי חולי NHS, ונבעה מהתקפת פישינג. למעשה, התקפות של תוכנות כופר כמו זה הן תופעה שכיחה, והתקפות המתוזמנות חופפות לתקופת הסליקה הקריטית - כמו רבים - יכולה להיות השפעה מוגזמת.
האיום מצד גורמי המדינה הוא עדין יותר אך עדיין נפוץ. בפברואר 2021, כנראה הפרו האקרים הנתמכים על ידי המדינה החטיבה לביולוגיה מבנית של אוניברסיטת אוקספורד, שעבדה באותה עת על חיסון נגד COVID-19 עם AstraZeneca. עוד בשנת 2018, האקרים איראנים כוונו אוניברסיטאות בבריטניה לגנוב מחקר רגיש.
מכה בחזרה
למרבה המזל, אפילו מוסדות HE חסרי כסף יכולים לשפר את חוסן הסייבר שלהם עם כמה שיטות עבודה מומלצות בדוקות, לפי גילמור.
"מתן עדיפות להכשרת הצוות במודעות לאבטחת סייבר מעצימה את כולם לזהות ולהימנע מאיומים", הוא טוען. "הטמעת כלי אבטחה בקוד פתוח ומינוף משאבים ממשלתיים בחינם יכולים לסתום כמה פערי אבטחה. ועידוד תרבות של מזעור נתונים ותעדוף מערכות קריטיות מאפשר להם לעשות יותר בפחות."
טים ליין, ראש השירותים בבתי ספר מאובטחים, מוסיף כי הגנה לעומק היא המפתח. אימות רב-גורמי, תכנון תגובה לאירועים, גיבויים חזקים, זיהוי נקודות קצה (EDR), חומות אש והצפנה צריכים להיות בראש סדר העדיפויות, הוא אומר ל-ISMS.online. הפריסה של פקדים כאלה, ושיטות עבודה מומלצות, לרבות תיקון מהיר, שימוש מקובל ותצורה מאובטחת, צריכים להיות מתוארים במדיניות ברורה "המתווה ציפיות ומגדיר כללים", מוסיף ליין.
"חשבו על כל שליטה מאובטחת כמו פרוסת גבינה שוויצרית", הוא מסביר. "לנתח אחד יש הרבה חורים וניתן לפרוץ אותו בקלות. הוסף עוד נתח של בקרת אבטחה, וזה סוגר חלק מהחורים בפרוסה הראשונה, וכך הלאה עד שהסיכון מצטמצם לרמה שנמדדת כמקובלת".
גם Line וגם Gilmour מצביעים על הערך של תקני אבטחה מומלצים כמו ISO 27001 והצעות כמו NIST Cybersecurity Framework.
"ISO 27001 מציע גישה מובנית לניהול אבטחת מידע. על ידי הטמעת הבקרות שלה, אוניברסיטאות יכולות לזהות ולנהל סיכוני אבטחת סייבר, לפתח תרבות של מודעות לאבטחה ולבסס תהליכים ברורים לתגובה לאירועים", אומר גימור.
אפילו יותר יוזמות בסיסיות כמו Cyber Essentials יכולות להיות שימושיות בהפחתת הסיכון, מוסיף Line.
"הם לעולם לא יפחיתו את הסיכון לאפס - בדיוק כמו שהטמעת גלאי עשן, דלתות אש, אזעקות אש ונהלי פינוי לא מפחיתה את הסיכון לחווית שריפה לאפס", הוא מסכם. "עם זאת, זה מפחית באופן משמעותי את הסיכון להתרחשות, להתפשטות האש ולשריפה השפעה משמעותית על אנשים ופעולות".
