Napad ucjenjivačkim softverom na Sveučilište Mount Royal ugrozio podatke studenata i zaposlenika
Napad ucjenjivačkim softverom na Sveučilište Mount Royal (MRU) u Calgaryju kompromitirao je osobne podatke studenata i zaposlenika, postavljajući hitna pitanja o tome kako visokoškolske ustanove postupaju s objavom povreda podataka i kakvu zaštitu duguju onima koji su najviše pogođeni. Sveučilište je potvrdilo da su u napadu ukradeni korporativni podaci, no odluka da se praćenje kreditne sposobnosti ponudi samo zaposlenicima, ali ne i studentima, izazvala je kritike i navela mnoge da se zapitaju jesu li njihovi podaci doista sigurni.
Ovaj incident nije izoliran slučaj. Obrazac napada ucjenjivačkim softverom na sveučilišta i povreda podataka postao je jedna od najpostojanijih priča u području kibernetičke sigurnosti posljednjih godina, pri čemu su visokoškolske ustanove pod neprestanim pritiskom kriminalnih skupina koje kampuse vide kao mete visoke vrijednosti, često nedovoljno zaštićene.
Zašto su sveučilišta visokovrijedne mete za ucjenjivački softver
Sveučilišta se nalaze na neobičnom raskrižju: posjeduju velike količine osjetljivih osobnih, financijskih i istraživačkih podataka, a istovremeno djeluju u otvorenim, suradničkim mrežnim okruženjima koja prednost daju pristupu umjesto ograničenjima. Bolnica ili banka mogu opravdati agresivnu kontrolu pristupa; od sveučilišnog se kampusa očekuje da po svojoj prirodi bude otvoren.
Ta otvorenost stvara strukturne ranjivosti. Studenti, nastavno osoblje, vanjski suradnici i gostujući istraživači povezuju se na iste mreže, često s osobnih uređaja s nedosljednim sigurnosnim postavkama. IT timovi u većini visokoškolskih ustanova suočeni su s prevelikim opsegom posla u odnosu na razmjere infrastrukture kojom upravljaju. A budući da sveučilišta često uz osobne podatke posjeduju i intelektualno vlasništvo, skupine koje koriste ucjenjivački softver mogu zaprijetiti objavom obje kategorije podataka, čime maksimiziraju svoj utjecaj.
Financijski izračun za napadače je jednostavan. Malo je vjerojatno da će sveučilišta u potpunosti obustaviti rad, što znači da su pod snažnim pritiskom da plate ili pregovaraju. Za razliku od privatnih tvrtki, često imaju javno vidljive upravljačke strukture, podatke o broju upisanih studenata i izvore financiranja, što napadačima pomaže procijeniti koliki pritisak mogu izvršiti.
Koji su podaci kompromitirani na Sveučilištu Mount Royal
Sveučilište MRU potvrdilo je da su tijekom napada ukradeni korporativni podaci o sveučilištu, zajedno s osobnim podacima studenata i zaposlenika. Sveučilište je upozorilo da bi potpuna analiza toga što je točno bilo dostupno mogla potrajati nekoliko tjedana ili mjeseci, što je uobičajena i frustrirajuća stvarnost nakon incidenata s ucjenjivačkim softverom. Forenzička istraga je spora, a napadači ne ostavljaju uvijek jasne tragove o tome što su iznijeli.
Ono što je već jasno jest da su se podaci zaposlenika u odgovoru MRU-a tretirali drugačije od podataka studenata. Sveučilište nudi praćenje kreditne sposobnosti zaposlenicima, ali ne i studentima, tvrdeći da studentski podaci ne nose isti profil financijskog rizika. Ovu razliku vrijedi pažljivo preispitati.
Zašto odluka MRU-a da studentima uskrati praćenje kreditne sposobnosti podiže crvene zastavice
Argument MRU-a da studentski podaci predstavljaju manji rizik od podataka zaposlenika pretpostavlja da je primarna prijetnja od povrede podataka trenutna financijska prijevara, vrsta koju je praćenje kreditne sposobnosti osmišljeno uhvatiti. No studentski dosjei obično uključuju imena, datume rođenja, studentske identifikacijske brojeve, kontakt podatke i, u mnogim slučajevima, imigracijski status, povijest upisa i evidencije o plaćanju. To je bogat skup podataka za krađu identiteta, čak i ako trenutni rizik od prijevare izgleda drugačije nego kod ukradenih platnih lista.
Praćenje kreditne sposobnosti doduše nije savršen alat, a njegova vrijednost varira ovisno o tome koji su podaci doista ukradeni. No odluka da se studenti isključe iz ove zaštite, a da još nije dovršena potpuna forenzička revizija onoga što je kompromitirano, značajna je procjena. Studenti su često mlađi, mogu imati kraću kreditnu povijest i manje iskustva u prepoznavanju znakova upozorenja na zlouporabu identiteta. Također imaju manje institucionalnih resursa za odgovor ako nešto krene po zlu mjesecima kasnije.
Sveučilišta imaju dužnost brige prema osobama koje im povjeravaju svoje osobne podatke. Ta dužnost ne nestaje zato što je pogođena strana upisana, a ne zaposlena.
Koraci koje studenti i zaposlenici mogu odmah poduzeti kako bi se zaštitili
Bez obzira na to hoće li MRU proširiti formalnu zaštitu na studente ili ne, pojedinci pogođeni ovom povredom trebali bi odmah poduzeti vlastite korake. Čekanje da ustanova dovrši svoju analizu, što bi moglo potrajati mjesecima, nije održiva strategija zaštite.
Provjerite račune na neuobičajenu aktivnost. Pregledajte bankovne račune, kreditne kartice i sve financijske račune povezane s vašom studentskom ili službenom adresom e-pošte. Postavite upozorenja za transakcije ako ih vaša banka nudi.
Promijenite lozinke povezane sa sveučilišnim računima. Ako lozinke koristite više puta na različitim uslugama, promijenite i njih. Koristite upravitelj lozinki za stvaranje i pohranu jedinstvenih vjerodajnica za svaki račun.
Budite oprezni na pokušaje krađe identiteta (phishing). Skupine koje koriste ucjenjivački softver često prodaju ili koriste ukradene podatke za izradu ciljanih phishing poruka. Budite skeptični prema svakoj komunikaciji koja od vas traži da kliknete poveznicu ili potvrdite osobne podatke, čak i ako se čini da dolazi iz pouzdanog izvora.
Razmislite o zamrzavanju kredita. U Kanadi možete zatražiti zamrzavanje kredita ili upozorenje o prijevari putem Equifaxa i TransUniona. Za razliku od praćenja kreditne sposobnosti, zamrzavanje aktivno sprječava otvaranje novih kredita na vaše ime bez vašeg izričitog odobrenja.
Koristite VPN na kampusu i javnim mrežama. Wi-Fi okruženja na kampusu mogu biti nadzirana ili kompromitirana. Korištenje pouzdanog VPN-a pri pristupu osjetljivim računima na sveučilišnim mrežama dodaje sloj enkripcije koji otežava bilo kome na istoj mreži da presretne vaš promet. Ovo je praktična navika za svakog studenta ili člana osoblja, neovisno o određenoj povredi podataka.
Dugoročno pratite svoje podatke. Ukradeni podaci često se ne koriste odmah. Postavite podsjetnik da pregledate svoje kreditno izvješće svakih nekoliko mjeseci tijekom sljedeće godine i ostanite oprezni na neočekivana otvaranja računa ili promjene.
Što ovo znači za vas
Napad ucjenjivačkim softverom i povreda podataka na Sveučilištu Mount Royal podsjetnik su da incidenti kibernetičke sigurnosti u ustanovama nose stvarne, osobne posljedice za pojedince koji nisu imali izbora nego predati svoje podatke kako bi se upisali ili tamo radili. Forenzička istraga je u tijeku, a potpuna slika onoga što je kompromitirano možda neće biti jasna mjesecima.
Ako ste student ili zaposlenik MRU-a, odmah poduzmite gore navedene korake umjesto da čekate da sveučilište dovrši svoju reviziju. Ako ste student ili član osoblja na bilo kojoj visokoškolskoj ustanovi, ovaj incident poticaj je da preispitate vlastite digitalne navike. Mreže na kampusu su dijeljena okruženja, a vaš osobni sigurnosni položaj važan je neovisno o tome što vaša ustanova pruža ili ne pruža. Revidiranje načina na koji koristite te mreže, uključujući i to pripada li VPN vašem redovnom alatu, praktičan je korak koji malo košta, a može napraviti značajnu razliku.




