מדוע השכלה גבוהה צריכה לבנות IT כמו גם חוסן סייבר

מאת פיל מונקסטר • 17 ספטמבר 2024

כשומרים של מידע אישי רגיש ביותר ומחקר ברמה עולמית, מוסדות ההשכלה הגבוהה (HE) בבריטניה הם יעדים פופולריים עבור פושעי סייבר ומדינות לאום כאחד. זה צריך לשים חוסן סייבר ממש בראש ברשימת העדיפות של CISOs בתעשייה. אבל כפי שהדגיש ההפסקה האחרונה של CrowdStrike, מגזר ה-HE צריך להיות מוכן ליותר מסתם גורמי איום.

חוסן סייבר הוא חלק אינטגרלי מהמשכיות עסקית, אך ישנם סיכונים נוספים למידע שמוסדות HE מנהלים ולשירותים שהם מספקים שיש לנהל גם. למרבה המזל, ISO 27001 יכול לסייע גם על ידי שמירה על זמינות מערכות המידע, הסודיות והשלמות במקרה של הפרעה בלתי צפויה.

מה קרה?

מתואר כאפשרי הפסקת ה-IT הגרועה בעולם, תקרית ה-CrowdStrike נבעה מעדכון פגום לכלי האבטחה של נקודות הקצה Falcon של החברה, שגרמה לבעיות נרחבות במחשבי Microsoft Windows המריצים את התוכנה. למרות שפחות מ-1% מנקודות הקצה העולמיות של Windows הושפעו, זה היה שווה ליותר מ-XNUMX מיליון מכונות - שרבות מהן הפעילו שירותים קריטיים בבתי חולים, חברות תעופה ומוסדות HE.

לפי דיווחים, השירותים במוסדות HE בבריטניה, כולל מנצ'סטר, איסט אנגליה, אוקספורד ברוקס, לנקסטר ואסטון, הושפעו מההפסקה. רבים אחרים מעבר לאוקיינוס האטלנטי נפגעו גם הם, כאשר פורטלי סטודנטים הורדו וחלקם נאלצו לסגור את שיעורי הקיץ. אם אירוע דומה היה קורה במהלך תקופת הקדנציה, ייתכן שהשיבוש היה הרבה יותר גרוע.

בניית חוסן

אוניברסיטאות בבריטניה עומדות על הרגל האחורית נגד שחקני איומים כבר זמן מה. על פי ה ממשלה, 97% ממוסדות HE זיהו פרצה או מתקפת סייבר בשנה האחרונה, כאשר שישה מתוך 10 טוענים שהם הושפעו ממנה לרעה. שילוב של רשתות מבוזרות מורכבות ומספר רב של צוות וסטודנטים שדורשים גישה לאינטרנט פתוחה יוצר משטח התקפה נרחב להגן עליו. תוכנות כופר, דיוג, גניבת נתונים בגיבוי מדינה והונאות גניבת מידע נפוצים. ולחצים פיננסיים מתמשכים מקשים על CISO לתעדף היכן יש למקד את ההוצאות.

עם זאת, מומחים מאמינים שאירוע CrowdStrike צריך להוות זרז לדיון רחב יותר על חוסן IT שחורג ממניעה, איתור ותגובה לאירועי סייבר זדוניים. לדברי כריס גילמור, CTO של חברת השירותים המנוהלים ב-IT Axians UK, תכנון אירועים מסוג זה צריך לבוא לצד מרכיבי היגיינת הסייבר הרגילים של תיקון, אימות רב-גורמי (MFA) והגבלת גישה לרשת.

"בדיקה קבועה של תוכניות התאוששות מאסון ותכנון מגירה עבור אתגרי 'שדה שמאל' חיונית כדי להבטיח שהם יעילים במקרה של משבר", הוא אומר ל-ISMS.online. "זה גם חשוב להפליא לטפח תרבות של מודעות לאבטחה בקרב צוות וסטודנטים שיכולה לעזור למנוע הפרות ולהפחית את השפעתן."

המנהל הטכני של Trend Micro UK &I, Bharat Mistry, מוסיף כי תוכניות המשכיות עסקית של HE צריכות לכסות IT, תקשורת, גישה לנתונים והוראה.

"תוכניות אלה צריכות לזהות פונקציות ומערכות קריטיות, להתוות נהלים ברורים לשמירה על פעולות חיוניות במהלך שיבושים, ולהגדיר תפקידים ואחריות עבור צוותי תגובה לשעת חירום, כולל פרוטוקולי תקשורת לבעלי עניין", הוא אומר ל-ISMS.online.

"יש לבצע תרגילים וסימולציות תכופות גם כדי לבדוק תוכניות המשכיות עסקיות ולזהות חולשות. זה עוזר להבטיח שהצוות מוכן להגיב ביעילות במהלך תקריות אמיתיות".

מובילי טכנולוגיה ואבטחה ב-HE צריכים לשקול גם את תשתית ה-IT שהם משתמשים בהם. Mistry ממליצה על פתרונות מבוססי ענן כדי להבטיח נגישות, איזון עומסים ומעבר לכשל כדי לשמור על זמינות השירות, כמו גם על ארכיטקטורות ענן היברידיות לפיזור הסיכון על פני מספר סביבות.

"הימנע מהסתמכות יתר על ספק או מערכת בודדים. הטמעת מערכות מיותרות וגיוון שירותים קריטיים יכולים לסייע בשמירה על פעילות אם מערכת אחת נכשלת", הוא מוסיף. "זה כולל שימוש במספר פתרונות אבטחת סייבר של ספקים שונים, שמירה על גיבויים לא מקוונים של נתונים ומערכות קריטיות, והטמעת חיבורי רשת וספקי כוח מיותרים."

גם גילמור וגם מיסטרי דוגלים בנתיחה שלאחר המוות שלאחר האירוע כדי להבטיח שצוותי IT ילמדו את הלקחים של פרצות והפסקות אבטחה חמורות. אלה יכולים לעזור לספק "ניתוח יסודי של תקריות, גילוי סיבות שורש והדגשת תחומים לשיפור תהליכים" ולטפח "תרבות של אחריות ולמידה מתמשכת ברחבי הארגון", אומר מיסטרי.

ISO 27001 ומעבר לכך

השאלה היא: מאיפה להתחיל? ISO 27001 ו-Cyber Essentials מוכרים היטב למובילי IT ואבטחה רבים כדרכים לשיפור הסייבר והאבטחה הבסיסית. אבל בעוד שהאחרון מתמקד בבקרה טכנית עבור מערכות הפונות לאינטרנט כדי למזער את סיכוני הסייבר, ISO 27001 מציע ללא ספק יותר שניתן לקשור גם לתכנון המשכיות עסקית/התאוששות מאסון.

זה כולל תחומי מפתח כגון:

ניהול סיכונים של ספקים
תגובה לאירוע
תקשורת עם בעלי עניין/לקוחות פנימיים וחיצוניים
בדיקות תוכנה
הכשרת עובדים

תוך שימוש ב-ISO 27001 כנקודת מוצא, ארגוני HE יכולים לבנות חוסן סייבר תוך יצירת היסודות לגישה מקיפה יותר לחוסן IT רחב יותר.

"על ידי אימוץ הסטנדרטים הללו, אוניברסיטאות יכולות לבסס גישה שיטתית לניהול סיכונים, תגובה לאירועים והגנה על נתונים. מסגרות אלו מציעות קבוצה מקיפה של שיטות עבודה מומלצות שיכולות לעזור לארגונים לזהות ולטפל בפגיעויות, לשפר את החוסן שלהם ולעמוד בדרישות הרגולטוריות", אומר Gilmour מ-Axians UK.

"אימוץ ויישום התהליכים והמדיניות של תקנים אלה פירושו שאוניברסיטאות יכולות לשפר באופן משמעותי את עמדת אבטחת הסייבר שלהן ולהגן על הנתונים והפעולות הרגישות שלהן."

ה-Mistry של Trend Micro מוסיף שארגונים רבים מתחילים עם Cyber Essentials ואז בונים עליו עם תקן ISO 27001 "המקיף יותר" כדי לשפר עוד יותר את האבטחה והחוסן.

"מסגרות כמו ISO 27001 ו-Cyber Essentials ממלאות תפקידים מכריעים בבניית חוסן IT וסייבר, ומציעות לארגונים נתיב מובנה לשיפור נוהלי האבטחה שלהם", הוא מסכם. "על ידי מינוף המסגרות הללו, ארגונים יכולים לשפר באופן שיטתי את יכולתם למנוע, לזהות, להגיב ולהתאושש מתקריות סייבר, ובסופו של דבר לחזק את עמדת החוסן הסייבר הכולל שלהם."

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.