5 高等教育中的資料安全與合規性議題

九月 02, 2020 安全與合規性, MOVEit

對於攻擊者來說,對大專院校進行網路攻擊著實有利可圖。 

這些機構儲存大量學生及家長的資料,包含個人身分識別資訊(personally-identifying information,PII)、付款紀錄及病歷之類的資訊。 而且大專院校在保護此等資訊方面一直都做得不是很好。

因而導致針對高等教育攻擊的頻率與嚴重性呈倍數成長。在2019年《資料洩露調查報告(Data Breach Investigations Report)》所述382次針對高等教育的確認攻擊中,導致超過25%的資訊遺失或被竊。

若您擔任一所大專院校的管理員,可能會覺得有必要趕快採取行動。 這裡有一些保護學生與教職員的最佳方法。

您是高等教育行業中的IT或資安專業人士嗎?免費下載《高等教育檔案傳輸合規性》電子書!

1. 保障您通訊線路的安全

我們要談的第一件事代表了威脅金字塔的全新一層-Zoom。從現在到COVID-19危機解除之前,學生們都是利用世界上各種協作工具上課並與學校主管溝通,而 Zoom 是其中最主要的一種(擁有超過2億的活躍用戶)。而這也帶來一些問題。

首先,Zoom 有一些使用上的問題,意即如果沒有正確配置,則未經授權的參與者也可以加入通話,稱為 Zoom亂入轟炸(Zoombombing)現象。儘管這看起來很像是討厭的騷擾行為,但實際上是一種犯罪,而且在最壞的情況下,可能使攻擊者能夠竊聽機密資訊。換句話說,若想提高資訊安全並保持合規性,就需要調查您的人員是如何使用協作工具並將資安措施標準化。

2. 防止社交工程

網路釣魚攻擊常以教育機構為目標-很容易將目標鎖定為可能從相對陌生的學生地址接收大量電子郵件的職員,而且學生本身可能也不瞭解保障資訊安全的最佳實務。2019年,透過垃圾郵件傳遞的特洛伊木馬惡意程式佔所有隨機式攻擊的71%,其中教育界是最主要的目標行業。

保護學生及教職員避免遭受網路釣魚攻擊需要兩種方式。首先是資安意識訓練,通常採取短時間課堂講解之後定期測驗的形式,旨在要求使用者辨別網路釣魚電子郵件。雖然這很有效,但並不完美-能將成功攻擊的可能性最多降低15%。更重要的是應建立強大的電子郵件過濾器,以及安全的檔案傳輸方法。若您一直使用電子郵件以外的其他方式傳輸檔案,就更容易發現網路釣魚詐騙了。

3. 分析潛在風險

您去年面臨的資安風險可能不再適用-特別是現在。打造一個讓每個人都能在家工作及學習的安全網路所面臨的挑戰完全不同,甚至可以說比保護一座堅固的校園還要困難。攻擊者正忙於找尋並利用過時的VPN系統控制 不安全的家用路由器,或使用與COVID-19有關的資訊作為散播惡意程式的管道。

身為資安管理員,您的工作是建立新的威脅態勢,納入這些新攻擊途徑的嚴重性及可能性,然後提出能保護每個人的資安解決方案,不論他們在何處工作。

4. 瞭解合規性暴露

除了網路攻擊本身外,網路攻擊的後果也可能使大專院校遭受懲處。FERPA(家庭教育權利及隱私法)要求教育機構採用合理的方法確保學生紀錄的安全。違反 FERPA 的處分可能包含失去聯邦資金。此外,透過政府契約進行研究的大專院校必須依照《NIST特刊800-171(NIST Special Publication 800-171)》保障自身的資訊安全。

如同網路安全,治理及合規性也應隨著當前環境而與時俱進。最近一次的教育部網路研討會提出教育機構如何在保持社交距離的情況下,維持符合 FERPA 規定的方法。值得注意的是,避免違反 FERPA 意味著不鼓勵非學生旁聽課程,而這把我們帶回到第一點保障通訊線路安全的部分。

5. 準備好使用 Progress 保護自己

對於此新時代,可以肯定的是高等教育機構將單打獨鬥,經歷一段更為艱難的時期。保護學生及教職員的資訊本來就已經很難下手,而保持社交距離這件事更是讓情況雪上加霜。

借助類似 Progress 的 MOVEit受管檔案傳輸等服務,您將能建立一個安全的通訊基礎架構,能夠抵擋網路釣魚、惡意程式及隱私洩露。

Andrew Sanders

Writer on technology, information security, telecommunications, and more.