Bir fidye yazılımı çetesi bir sonraki hedefini seçtiğinde, değerli verileri tutan, hayati bir hizmet sağlayan veya her ikisini birden yapan, güvenliği zayıf bir kuruluş arar. Bu tanıma K-12 okul sistemi kadar mükemmel şekilde uyan çok az kuruluş vardır. Bunu akılda tutarak, okulların ve teknoloji tedarikçilerinin son birkaç yılda çok sayıda siber saldırının kurbanı olması şaşırtıcı değil.
Son PowerSchool ve Canvas ihlallerinin de gösterdiği gibi, tedarik zincirindeki güvenlik açıkları okullar için en büyük tehdidi temsil ediyor. Bu tedarikçi ilişkilerinin sınırlı BT personeli bulunan okullar için yönetilmesi ve güvence altına alınması zordur. Siber suçlular bir satıcının yazılımına sızdıklarında, genellikle bu erişimi okul ağlarında serbestçe dolaşmak için kullanırlar. Burada genellikle çalışanların maaş bordrosu kayıtlarından ebeveynlerin mali bilgilerine ve öğrencilerin sağlık verilerine kadar çok sayıda değerli veri buluyorlar. Los Angeles Birleşik Okul Bölgesi'ni ihlal eden bilgisayar korsanları, öğrencilerin evsizlik durumu ve engellilik durumları hakkındaki bilgileri çaldı.
Siber saldırılardaki artış, federal hükümetin K-12 okullarını ve üniversitelerini fiilen kaderlerine terk etmesiyle ortaya çıktı. Eğitim camiasına yönelik Sektör Risk Yönetimi Ajansı (SRMA) olan ABD Eğitim Bakanlığı, değişim ihtiyacına dair yıllardır yapılan uyarılara rağmen uzun süredir en kötü kaynaklara sahip ve en az yetenekli SRMA'lardan biri oldu ve Trump yönetiminin bakanlığa yönelik kapsamlı kesintileri sorunu yalnızca daha da kötüleştirdi. Yönetim aynı zamanda okullara büyük fayda sağlayan eyalet ve yerel bilgi paylaşım grubuna sağlanan fonları da kaldırdı ve yakın zamanda eğitim sektörü için oluşturulan bir koordinasyon organının ve diğer sektörlere yönelik benzer grupların çalışmalarını askıya aldı.
Muhabirlerin Not Defteri serimizin son bölümünde Siber Güvenlik Dalışı kıdemli muhabiri Eric Geller, Dark Reading özellikleri yazarı Arielle Waldman ve TechTarget SearchSecurity yönetici editörü Sharon Shea ile okulların karşı karşıya olduğu siber güvenlik tehditlerini tartıştı.
Aşağıdaki videoyu izleyin veya dahili bir yapay zeka asistanının yardımıyla uzunluk ve netlik açısından düzenlenen transkripti okumak için videoyu kaydırın.
Sonuç ve Değerlendirme
Dark Reading'den Arielle Waldman: Herkese merhaba. Muhabirlerin Not Defteri'nin başka bir baskısına hoş geldiniz. Bugün eğitim sektörünü ve karşılaştıkları tüm sorunları tartışacağız. Adım Arielle Waldman ve Dark Reading'in uzun metraj yazarıyım. Yanımda Sharon Shea ve Eric Geller var. Kendinizi tanıtmak ister misiniz?
Siber Güvenlik Dalışı'ndan Eric Geller: Evet, ben Siber Güvenlik Dalışı'nın kıdemli muhabiri Eric Geller'im.
Önemli Gelişmeler
TechTarget SearchSecurity'den Sharon Shea: Merhaba, ben Sharon Shea, TechTarget SearchSecurity'nin yönetici editörüyüm.
Bugün bize katıldığınız için hepinize teşekkür ederiz. Eğitim teknolojisi, eğitim sektörü ve siber güvenlik hakkında sohbet etmekten heyecan duyuyoruz. Yani, insanların tarihte eğitime yönelik en büyük saldırı olarak adlandırdığı olayın hemen ardından geliyoruz. Nisan sonu ve Mayıs başında eğitim teknolojisi şirketi Instructure, Canvas Öğrenme Yönetim Sistemine yönelik bir siber saldırıyı doğruladı. Tehdit grubu ShinyHunters, saldırının sorumluluğunu üstlendi ve yaklaşık 9.000 okuldaki 275 milyon kullanıcının bilgileri de dahil olmak üzere 3,65 TB veri çaldıklarını söyledi. Instructure, 11 Mayıs itibarıyla saldırganlarla anlaşmaya varıldığını ve yazılımın kullanımının güvenli olduğunu söyledi. Fidye ödeyip ödemediklerini bildiğimizi sanmıyorum ama "anlaşmaya varmak" ne anlama geliyorsa.
Ve daha geçen hafta, ShinyHunters ayrıca Oracle PeopleSoft yazılım paketlerini, ERP, CRM ve HCM için [satıcıları] istismar ederek yüksek öğrenime yönelik başka saldırıların sorumluluğunu da üstlendi ve yüksek öğrenimin öğrenci kayıtlarını, kabullerini ve mali yardımlarını yönetmesine yardımcı olacak kampüs uygulamalarına sahipler. Google, bazı kuruluşların bu son saldırı turundan önce güvenlik açıklarını engelleyebildiklerini veya düzeltebildiklerini, ancak diğerlerinin ele geçirildiğini ve verilerinin veri sızıntısı sitelerinde yayınlandığını belirtti. Yani eğitim benzersizdir. Pek çok tehdide karşı karşıya ve bu sadece tedarik zinciri tarafına, yazılım tedarik zincirine dokunuyor ve kuruluşların, Canvas ve PeopleSoft yazılımında olduğu gibi, yazılım tedarikçileri nedeniyle darbe aldığını biliyorsunuz.
Ayrıca biraz fidye yazılımı da var, değil mi? Çünkü saldırganlarla konuşup anlaşmaya vardılar. Arielle, gördüğün ve hakkında yazdığın diğer saldırılar ve yaşadıkların hakkında biraz daha konuşmak ister misin bilmiyorum deneyimli. Yani tecrübeli değil ama...
Sistem Güvenliği
DR'den Arielle Waldman: Elbette. Bu sadece en son tedarik zinciri saldırısı gibi görünüyor. Bence sorunlardan biri, yalnızca belirli platformları ve yazılımları kullanan okulların yoğunlaştığı alan. Ve sadece son beş yılda çok fazla saldırı yaşadılar. 2023'te Progress Software'in MOVEit'iyle büyük bir olay yaşandı. Bu, okulların kullandığı bir dosya aktarımıdır ve bu aynı zamanda bir fidye yazılımı saldırısıdır ve birçok okulu da etkilemiştir; sektörde çok yaygın olan başka bir tedarik zinciri fidye yazılımı durumudur. Ve birkaç yıl önce gerçekleşen PowerSchool veri ihlali. PowerSchool eğitim teknolojisi bulut tabanlı bir platformdur. K'dan 12'ye kadar okulda kullanılıyor. Bu durumda, bu bir veri ihlaliydi ve saldırganlar isimleri, adresleri, doğum tarihlerini, akademik kayıtları ve hatta tıbbi bilgileri ele geçirmişlerdi.
Ve bu durumda dosyaların silinmesi için fidye ödedikleri doğrulandı sanırım, ki bu da belki eğitim sektöründe yaygın bir durum gibi görünüyor. Her zaman doğrulanıyor mu bilmiyorum ama sizin de söylediğiniz gibi saldırganlarla konuşmuşlar gibi görünüyor, bu da veriler öğrenciler açısından çok değerli ve hassas olduğundan fidye ödediklerini ima ediyor olabilir. Ve en son Canvas'ta yaşanan olay final haftasında yaşandı ve bu da başka bir tür engel oluşturdu, okulun daha da aksamasına neden oldu. Ama öğrencilerin bu kadar üzüldüğünü düşünmüyorum. Sosyal medyada öğrencilerin ShinyHunters'a finallerini aksattıkları için teşekkür ettikleri ve bunun gibi şeylerle ilgili pek çok şey gördüm, biliyorsunuz, bence bugünlerde çocuklar buna karşı o kadar bağışık ki okulları saldırıya uğruyor ve herkes gibi onlar da veri ihlallerine maruz kalıyor ve bu saldırılar bunu göstermeye devam ediyor.
Teknik Analiz
Eric, okulların neden bu kadar büyük bir hedef olduğunu öğrenmek ister misin?
CD'den Eric Geller: Bu, birçok faktörün toksik bir birleşimi. Öncelikle ellerinde çok fazla veri var. İkincisi, hayatlarının en başında olan insanlarla ilgili pek çok veriye sahipler. Yani bu insanlar çok genç olduğundan Sosyal Güvenlik numaraları ve kişisel bilgiler çok daha uzun süre kullanılabilecek. Bu bilgiyi çalarsanız, bazı durumlarda, eğer kişi bu bilgilerin bir kısmını değiştirmezse ve siz de Sosyal Güvenlik numarasını değiştiremezseniz, bu bilgiyi 80 yıl daha kullanabilirsiniz. Yani verilerin ömrü çok daha uzun ve bunu, bunların iyi korunmayan kuruluşlar olmadığı gerçeğiyle birleştirdiğinizde, yerel yönetimler tarafından finanse ediliyorlar. Siber güvenlik dışında çok daha fazla fon ve öğretmen maaşı altyapısı alan ciddi ihtiyaçları var. Bunlar yalnızca içerdikleri veriler nedeniyle değerli hedefler değil, aynı zamanda işlettikleri ağlar nedeniyle de kolay hedeflerdir.
Onlar için başka bir güvenlik sorunu daha var çünkü biliyorsunuz birçoğu tablet dağıtıyor ve tabletlerin güvenliğini yönetmek her zaman kolay olmuyor. Dizüstü bilgisayarlar için de durum aynı, ancak öğrenciler okula kendi cihazlarını da getiriyor. BYOD'nin güvenlik riskleri nedeniyle yönetilen bir cihaz politikasını uygulamaya çalıştığınız bir iş ortamını düşünürseniz, okul ortamında bu çok daha zordur. Yani, ağa gelen tüm bu dış cihazlar var ve bunu öğrencinin kötü niyetli olmadığı bir iç tehdit olarak düşünebilirsiniz.
Ancak saldırgan, siber güvenliğe öncelik vermediği için öğrencinin cihazına girmeyi başarırsa ve aralarında kim varsa, bu da onların içeri girebileceği başka bir vektördür. Ve sonra ağ üzerinden hareket edebilirler çünkü o bilgisayara okuldaki ağ altyapısına erişim izni verilmiştir. Yani bunlar siber güvenliğe öncelik verecek paraya sahip olmayan yerlerdir. Genellikle üst düzey siber güvenlik uzmanlarını kendileri için çalışmaya çekmekte zorlanıyorlar. Bazı durumlarda diğer yerel yönetim altyapılarıyla bağlantılıdırlar ve bu altyapı da savunmasızdır. Ve tüm bunlar, içeri girmenin neden kolay olduğunu açıklamaya yardımcı oluyor. Ve tabii ki dediğim gibi, bir kez içeri girdiğinizde almanız gereken pek çok güzel şey var. Yani bu şeylerin birleşimi onları gerçekten kolay ve değerli bir hedef haline getiriyor.
Gelecekte Ne Bekleniyor?
DR'den Arielle Waldman: Bir şeyi ekleyeceğim. Öğrenciler aynı zamanda içeriden de tehdit oluşturuyor. Bazen sisteme sızmaya çalışıyorlar, ya sırf hackleyebileceklerini görmek için ya da notlarını değiştirmek için, belki de bilgisayarlarında, internete girebilmek için güvenlik önlemlerini aşmak istiyorlar. Bu şekilde hacklemeye çalışacaklar.
TTSS'den Sharon Shea: Evet.
Nasıl Önlem Alınmalı?
DR'den Arielle Waldman: Yani, bu tehditleri sadece saldırganlar değil, okullar da pek çok açıdan yaşıyor. Açıkçası, sizin de söylediğiniz gibi, öğrenciler kötü niyetli olmaya çalışmıyorlar, ancak bu gerçekten sadece gürültüyü artırıyor. Ve sizin de söylediğiniz gibi, çok az kaynak ve personele sahipler. Herhangi bir gürültünün eklenmesi, bu ekiplerin zaten meşgul olmasına neden oluyor ve gürültüyü giderip onun bir öğrenci olduğunu anlayacak zamanları yok ve sadece daha fazla kaynak alıyorlar. Yani okullar her yönden buna sahip.
TTSS'den Sharon Shea: Kesinlikle. Ayrıca bahsettiğiniz şeye de değinecektim, biliyorsunuz, öğrencilerin Sosyal Güvenlik numaraları ve her şeyi ve aynı zamanda onların ebeveynleri de var, biliyorsunuz, aynı zamanda mali tablolara imza atan insanlar ve her şey. Personeliniz var, başka öğretim üyeleriniz var ve hatta mali yardım verileriniz, ödeme verileriniz ve pek çok sağlık hizmeti bilginiz de okula da aktarılacak. Yani başka bir büyük vektör. Ayrıca yüksek öğrenim kurumlarının birçoğu araştırma tesisleridir. Yani tüm bu fikri mülkiyet hakları da risk altında.
Uzmanların Görüşleri
CD'den Eric Geller: Evet, bir tarafta K-12 sektöründeki, hayatlarının başında olan öğrenciler var ve onların verileri çok değerli. Ve diğer tarafta, öğrencilerin biraz daha yaşlı olduğu üst düzey araştırma üniversiteleri var, ancak diğer veriler çok daha değerli çünkü bunlar ebeveynlerin mali bilgileri değil. Bazı durumlarda bu, patentlenebilir fikri mülkiyettir, uygulamalı araştırma yenilikleri hakkındaki bu gizli verilerdir ve biliyorsunuz, eğitim sektöründe bundan bahsediyoruz, ancak savunma sektörüyle de bir örtüşme var çünkü bazı üniversitelerin savunma sözleşmeleri var. Ya da eğer askeri bir konuyla ilgili değilse, başka bağlamlarda hükümet için bilimsel araştırmalar üzerinde çalışıyorlar. Yani, küçük çocukların en küçüğünün okulda ne öğrendiklerini gerçekten umursamamanız ilginç bir ikiliktir. Onların aritmetik ödevlerini almaya çalışmıyorsunuz ama kimlik hırsızlığı kurbanları olarak onlar çok değerli. Ve diğer tarafta, öğrenciler aslında yaptıkları işten dolayı okuldaki kişilerin kimliklerinden daha ilgi çekicidirler.
TTSS'den Sharon Shea: Sanırım okulların kaynaklarına da değindik. Biliyorsunuz, pek çok okul eski şirketler gibi eski altyapıya sahip ve bunların yamalanması zor, sınırlı bütçeler ve sınırlı personel ile yönetilmesi zor.
DR'den Arielle Waldman: Harika bir nokta. Sık sık yama yapmak için kesinti süresini göze alamam.
TTSS'den Sharon Shea: Kesinlikle. BYOD sorununun ve içeriden gelen tehditlerin ötesinde, altyapıda başka ne tür sorunlar görüyoruz ve yüksek öğrenimde neden sorunlar var?
Detaylar ve Etkileri
CD'den Eric Geller: Bence büyük zorluklardan biri, bu okul bölgelerinin, satın alma gerekliliklerini yerine getirmek için satıcılar nezdinde çok fazla baskıya sahip olmaması. Yani, görmeye başlayacağınızı düşündüğüm şeylerden biri, yerel yönetimlerin ilçe çapında veya eyalet genelinde ihtiyaç duydukları yazılımı gerçekten bir araya getirmeye çalışacakları, böylece satıcılarla daha iyi koşullar elde edebilecekleri ve böylece daha büyük bir satın alma siparişi verebilecekleri, yalnızca okulların satın alacağı çok özel okul yazılımının aksine satıcı üzerinde biraz daha fazla nüfuza sahip oldukları, satıcının okuldan çok daha avantajlı bir konumda olduğu çünkü çok fazla satış yapıyorlar okulların. Okul sadece birkaç satıcıdan alışveriş yapıyor. Çoğu durumda okul, ihtiyaç duydukları özelliklere tam olarak sahip olmadığı için ya da yıllardır aynı satıcıyı kullandıkları ve geçiş yapmak çok zor olacağı için başka bir satıcıya yönelemez. Ve böylece buradaki ilişki, bilirsiniz, yazılımın güvenliği söz konusu olduğunda siber güvenlikte göreceğimizi düşündüğüm en büyük değişiklikler, satın alma koşullarının, yani alıcının sahip oldukları gücün bir sonucu olarak satıcıdan talep edebileceği şeylerin sonucudur.
Ve bu K-12'de, en azından eğitim ortamında var olan bir şey değil. Yüksek öğrenim ortamıyla ilgili konuşmayacağım çünkü çoğu zaman bu devlet üniversitesi sistemleri, büyük kurumlar oldukları için tedarikçileri üzerinde çok fazla etkiye sahiptir. Ancak genel olarak yerel yönetim bir yana, yerel bir okul bölgesi de çok daha zor zamanlar geçirecek. Ve sanırım şu anda gördüğünüz şey, aslında yakın zamanda eğitim teknolojisi hakkında bir konuşmanın yapıldığı bir konferanstaydım. Ve sanırım, mümkün olan yerlerde bu şartları sözleşmelere dahil etmeye çalışmak ve daha sonra açıkça daha güçlü bir siber güvenlik diline sahip olmanın mümkün olmadığı durumlarda, satıcıların siber güvenlik konusunda daha iyi şeyler yapmalarını sağlamak için mevcut yasalara dayanarak bir ihlal sonrasında dava açmaya çalışmak, böylece diğer müşterilerle kendilerini bu tür bir sorumluluğa maruz bırakmamaları için bir baskı olacaktır.
Sorumluluk, tedarikçi beklentileri ve satın alma ekosistemi, önümüzdeki birkaç yıl içinde eğitim teknolojileri siber güvenliğiyle ilgileniyorsanız, izlenmesi ilginç bir alan olduğunu düşünüyorum. Bu nasıl gelişiyor? Satıcılara tam olarak ne yapmaları gerektiğini söyleme yetkileri olmasa da bölgeler satın aldıkları yazılımdan nasıl daha fazla yararlanacaklar?
DR'den Arielle Waldman: Okullar için çok fazla seçenek yoksa veya sizin de söylediğiniz gibi, bir süredir tek satıcıyı kullanıyorlarsa ve değiştirebilecekleri çok fazla kaynak yoksa, satıcıların güçlü güvenliği dahil etme konusunda ne kadar motive olduklarını bilmiyorum. Yani evet, eğer bu bir şekilde yerleşikse, belki bunu yapmak için daha motive olurlar.
TTSS'den Sharon Shea: Ve sanırım Instructure'da gördüğümüz gibi, bir satıcının darbe aldığını ve onun 9.000 okulu olduğunu da göreceksiniz. Yani görmek ilginç olacak.
DR'den Arielle Waldman: Ele aldığım bir diğer tehdit de hayalet öğrenciler. Yani bu, okulların uğraştığı başka bir konudur. Temel olarak bunlar sahte öğrencilerdir. Bot veya buna benzer bir şey olabilirler. Ve bu tehdit aktörleri maddi yardım ve diğer şeylere başvurdukları için kaynakları ele geçiriyorlar. Ve bunu gerçek öğrencilerden alıyorlar. Yani onlar bir nevi sahte başvuru sahipleri. Bazen ünlü isimleri veya çalıntı kimlikleri kullanabiliyorlar.
Ve bu şekilde kabul veya mali yardım sağlıyorlar. Ve bu gerçekten yüksek öğretim kurumlarındaki kaynakları zorluyor. Temel olarak, kişi başvuru sürecinden geçer, ancak gerçekte katılmayacaktır. Dolandırıcılar veya botlar olabilirler. Ve neden bir vakada, sahte bir öğrenci Kaliforniya devlet kolejlerinden sadece bir yıl içinde 10 milyon dolardan fazla federal finansman çaldı? Yani kesinlikle orada birikiyor ve daha da fazla kaynağı alıp götürüyor. Saldırganlar okulların gerçekten yetersiz kaynak ve personele sahip olduğunu bildikleri için bundan yararlanmaya devam ediyorlar.
TTSS'den Sharon Shea: Bu ilginç bir nokta. Okulların sınırlı kaynaklarla bununla nasıl mücadele ettiğini gördünüz mü?
DR'den Arielle Waldman: Gerçekten zorlaşıyor. Bazılarının üstesinden gelmeyi başardıklarını sanmıyorum. Bence farkındalık şu anda başladığı noktadır ve sadece bu tehditlere karşı dikkatli olmak ve bunun gerçekleştiğini bilmektir. Yetersiz kadroya sahip ekiplerin bu durumlarda ne arayacaklarını bilmeleri için artan farkındalığın ilk adım olduğunu düşünüyorum. Çünkü sanırım önceden daha az biliniyordu ve karşılaştıkları tüm tehditler arasında bunu ayırt etmek zordu. Dolayısıyla farkındalığın orada faydalı olduğunu düşünüyorum.
TTSS'den Sharon Shea: Kesinlikle.
DR'den Arielle Waldman: Ve açıkçası fidye yazılımı büyük bir sorun olmaya devam ediyor. COVİD'den bu yana okullara karşı şiddetin arttığını ve yavaşlamadığını hissediyorum. Bu yavaşlayacak mı bilmiyorum. Görünüşe göre okullar, kesinti süresi ve tüm hassas veriler nedeniyle fidye yazılımlarını gerçekten kaldıramıyor. Yani, bilirsiniz, bu saldırıları yapmaya devam ediyorlar ve okullar kurban olmaya devam ediyor ve artık herkesin evdeki bazı araçları kullandığı çok farklı yollar var, örneğin ebeveynler, bilirsiniz, çocuklar bunları eve getirir ve ebeveynlerin farklı oturum açma bilgileri vardır, öğretmenler, öğrenciler, artık orada çok farklı türde saldırı vektörleri var, bu da bunu çok daha zorlaştırıyor. Ebeveynlerin bile bu kimlik avı e-postalarına dikkat etmesi veya bildiğiniz gibi bunun üzerinde durması gerekir. Sadece eğitimciler ve öğrenciler değil.
TTSS'den Sharon Shea: Kimlik avı, kimlik güvenliği, MFA, kimlik avına dayanıklı kimlik doğrulamanın tüm endüstrilerde bir sorun olacağını düşünüyorum, ama aynı zamanda eğitim teknolojisinde de.
Sanırım bugün burada bazı ilginç bilgiler edindik. Bize katıldığınız için herkese teşekkür etmek istiyorum. TechTarget SearchSecurity'den ben Sharon Shea.
CD'den Eric Geller: Ve Siber Güvenlik Dalışı'ndan ben Eric Geller. DR'den Arielle Waldman: Dark Reading'den, ben Arielle Waldman. Teşekkür ederim.