9月6日,美国联邦调查局网络安全和基础设施安全局警告称,“随着2022/2023学年的开始,(网络)攻击可能会增加,犯罪勒索软件组织发现了成功攻击的机会。”这一警报是在一系列袭击事件中发出的自8月1日以来,至少有七次-最著名的是ransomware攻击在劳工节周末洛杉矶联合学区举行。这是对评估贵地区网络安全方法的另一个警钟。
在过去的几年里,技术在我们学校的使用比以往任何时候都增长得更快,超过了提供必要的培训的速度。在向日葵密西西比州印第安纳诺拉县联合学区。我们不得不迅速采用在线学习管理系统和其他数字学习工具。科技对学习的突然需求意味着,我们经常缺乏时间对员工、教师和学生进行安全风险培训,这些风险在一定程度上创造了FBI警告中提到的“感知到的机会”。
要抓住这些显而易见的机遇并非易事。随着数十年来技术使用的增长,私营部门建立安全培训和系统的速度更为缓慢。另一方面,我们的学校必须以显著降低的预算迅速建立系统和培训,并确保它们能够包容更多样化的终端用户,包括家庭、儿童和工作人员。
培训是各区普遍采用的网络安全方法,现在在学校几乎无处不在;事实上,根据Clever最近的一项调查,超过90%的管理人员计划今年为教师提供网络安全和数据隐私方面的培训。但现实是,再多的训练也无法保证安全。
开始你的网络安全方法
首先,很难确定谁构成了最大的风险。例如,同一项调查显示,大约66%的K-12管理人员认为教师面临的风险最大。与此同时,几乎相同比例的K-12教师表示,学生是最脆弱的。而且,如上所述,学区为广泛的用户提供服务——一个典型的学区为管理人员、教师、学生和家庭提供访问服务——考虑到用户年龄和数字复杂程度的较大差异,这对学区的IT专业人员构成了挑战。学区还面临着更加独特的情况:分权的区办公室拥有分散的权力,这进一步使访问和权限复杂化。
第二,或许也是更重要的一点,培训永远无法消除人为错误的风险。毕竟,人孰能无过,这种易犯错误的可预见性意味着仅靠训练所能达到的效果是有限的。这就是为什么社会工程攻击人们总是会表现得像,嗯,人。
考虑到这一点,负责您地区网络安全方法的人员可以采取以下三个步骤来减轻这些风险:
1.自动化安全流程是成功的一半
这是一个简单的理念:为了保护系统免受不必要的入侵,限制人类的交互。自动化不仅限制了人为错误的可能性,而且还防止IT部门过于紧张,特别是考虑到过去两年设备和应用程序的大量涌入。密码控制和管理是网络威胁的常见接入点,是一个可以从自动化中大大受益的领域。
自动化身份管理、单点登录和名册是地区开始的好地方。它确保只有那些应该拥有它的人才能访问它,保持密码的管理和最新,并通过确保不应该再访问系统的人实际上没有它来防止区域系统的潜在故障点。
为了确保第三方供应商不引入故障点,学区可以选择自动保护学生隐私的解决方案,例如多因素识别或限制数据访问和共享的内置控制。其他自动化流程包括来自第三方的漏洞测试,以识别弱点,并使用加密本地或云文件的系统,这意味着它们可以在勒索软件攻击后继续运行。
2.小而简单的安全步骤可以起到很大的帮助
一些最重要的网络安全解决方案是最容易实现的。例如,在向日葵CCSD,我们花了15分钟通过我们的数字合作伙伴谷歌和Active Directory来设置自动身份管理,以确保只有需要访问我们网络的人才能使用它。
地区还可以减少最终用户必须记住的密码数量,例如,在整个地区采用单点登录工具。这是确保登录安全的一个简单但重要的步骤。学区还可以消除对用户容易猜到的密码的依赖,或者可以使用简单的徽章和个人识别码来确保学生的登录安全。
实现多因素身份验证是另一种标准的网络安全方法,可以增加更多的保护层。具有禁止从某些网络或位置登录的控件的多因素身份验证解决方案,以及支持基于硬件或应用程序的令牌作为因素的多因素身份验证解决方案,可以提供智能而简单的帐户安全性。此外,教师可以使用工具发现过程来选择经过隐私和安全审查的应用程序。
低技术含量的方法包括要求教师使用便利贴,提醒他们离开办公桌时关闭电脑。
3.简化报告安全问题的路径
每个地区的网络安全方法都需要一个清晰、简单的方法来报告安全问题,例如网络钓鱼或密码攻击,每个利益相关者都可以使用。学校可以很容易地专门为此目的的电子邮件地址,比如security-risk@district.edu。此外,从所有用户群体(管理员和教师、学生和家长)收集关于安全问题的定期反馈,可以帮助地区领导人设计和实施用户更可能使用的系统。
甚至相对而言宽松的培训关于安全危险信号以及如何识别和轻松报告网络钓鱼和恶意软件,可以帮助员工为不可避免的网络攻击做好准备。我们的目标是让每个系统用户都觉得他们是挫败黑客的更大努力的一部分,并使他们很容易采取必要的步骤来保持系统的安全。
当所有用户都了解他们在保护隐私方面所扮演的角色时,一个地区的技术是最安全的。给员工提供的信息再多也不为过。
迪伦·琼斯(Dylan Jones)是密西西比州印第安纳诺拉市向日葵县联合学区的数据和信息技术专家。
莫希特·古普塔(Mohit Gupta)是数字学习公司Clever的集团产品经理学校和网络安全调查.
SmartBrief贡献者所表达的观点是他们自己的。
_________________________
订阅SmartBrief的免费电子邮件通讯查看最新的热门话题在EdTech.它是SmartBrief的产品之一超过250份行业时事通讯.
