Mount Royal Universitys løsepengeangrep rammer student- og ansattdata

Et løsepengeangrep mot Mount Royal University (MRU) i Calgary har kompromittert personopplysninger tilhørende både studenter og ansatte, noe som reiser presserende spørsmål om hvordan høyere utdanningsinstitusjoner håndterer varsling om brudd og hvilket vern de skylder de mest berørte personene. Universitetet har bekreftet at virksomhetsdata ble tatt i angrepet, men beslutningen om å tilby kredittovervåking kun til ansatte, ikke studenter, har fått kritikk og fått mange til å lure på om informasjonen deres virkelig er trygg.

Denne hendelsen er ikke et isolert tilfelle. Mønsteret med løsepengeangrep mot universiteter og datainnbrudd har blitt en av de mest stabile cybersikkerhetshistoriene de siste årene, der høyere utdanningsinstitusjoner møter et nådeløst press fra kriminelle grupper som ser på campuser som verdifulle og ofte underbeskyttede mål.

Hvorfor universiteter er høyverdige mål for løsepengeangrep

Universiteter befinner seg i et uvanlig skjæringspunkt: De besitter store mengder sensitiv person-, økonomi- og forskningsdata, samtidig som de opererer i åpne, samarbeidsbaserte nettverksmiljøer som prioriterer tilgang fremfor restriksjon. Et sykehus eller en bank kan rettferdiggjøre strenge tilgangskontroller; en universitetscampus forventes å være åpen av natur.

Denne åpenheten skaper strukturelle sårbarheter. Studenter, ansatte, kontraktører og gjesteforskere kobler seg til de samme nettverkene, ofte på personlige enheter med inkonsekvente sikkerhetskonfigurasjoner. IT-avdelinger ved de fleste høyere utdanningsinstitusjoner er tynt bemannet sammenlignet med omfanget av infrastrukturen de forvalter. Og siden universiteter ofte oppbevarer immaterielle rettigheter sammen med personopplysninger, kan løsepengegrupper true med å offentliggjøre begge datakategoriene, noe som maksimerer pressmidlene.

Den økonomiske kalkylen for angriperne er enkel. Universiteter er lite sannsynlige til å stanse driften fullstendig, noe som betyr at de er under sterkt press for å betale eller forhandle. Og i motsetning til private selskaper har de ofte offentlig synlige styringsstrukturer, studenttall og finansieringskilder som hjelper angriperne med å vurdere hvor sterkt press som skal utøves.

Hvilke data som ble kompromittert ved Mount Royal University

MRU har bekreftet at virksomhetsdata om universitetet ble tatt under angrepet, sammen med personopplysninger som tilhører studenter og ansatte. Universitetet har advart om at en fullstendig analyse av nøyaktig hva som ble aksessert kan ta flere uker eller måneder, noe som er en vanlig og frustrerende realitet etter løsepengeangrep. Kriminaltekniske undersøkelser er trege, og angripere legger ikke alltid igjen klare spor av hva de har eksfiltrert.

Det som allerede er tydelig, er at ansattdata ble behandlet annerledes enn studentdata i MRUs respons. Universitetet tilbyr kredittovervåking til ansatte, men ikke til studenter, og hevder at studentinformasjon ikke bærer den samme økonomiske risikoprofilen. Denne distinksjonen er verdt å granske nøye.

Hvorfor MRUs beslutning om å nekte studenter kredittovervåking vekker bekymring

MRUs argument om at studentdata utgjør en lavere risiko enn ansattdata forutsetter at den primære trusselen fra et datainnbrudd er umiddelbar økonomisk svindel, den typen kredittovervåking er ment å fange opp. Men studentregistre inneholder typisk navn, fødselsdatoer, studentidentifikasjonsnumre, kontaktinformasjon, og i mange tilfeller oppholdsstatus, utdanningshistorikk og betalingsopplysninger. Det er et rikt datasett for identitetstyveri, selv om den umiddelbare svindelrisikoen ser annerledes ut enn ved stjålne lønnsdata.

Kredittovervåking er riktignok ikke et perfekt verktøy, og verdien avhenger av hvilke data som faktisk ble tatt. Men beslutningen om å utelukke studenter fra dette vernet, uten ennå å ha fullført en grundig kriminalteknisk undersøkelse av hva som ble kompromittert, er en viktig verdivurdering. Studenter er ofte yngre, kan ha mindre utviklet kreditthistorikk og kan være mindre erfarne i å gjenkjenne varselsignalene på identitetsmisbruk. De har også færre institusjonelle ressurser å svare med dersom noe går galt måneder senere.

Universiteter har en omsorgsplikt overfor personene som overlater personopplysningene sine til dem. Den plikten svekkes ikke fordi den berørte parten er student fremfor ansatt.

Tiltak studenter og ansatte kan iverksette for å beskytte seg nå

Uavhengig av om MRU utvider formelle beskyttelsestiltak til studenter, bør personer som er berørt av dette datainnbruddet handle umiddelbart. Å vente på at en institusjon skal fullføre sin analyse, noe som kan ta måneder, er ingen holdbar beskyttelsesstrategi.

Gjennomgå kontoer for uvanlig aktivitet. Sjekk bankkontoer, kredittkort og eventuelle finansielle kontoer koblet til din student- eller ansatt-e-postadresse. Sett opp transaksjonsvarsler hvis banken din tilbyr det.

Endre passord knyttet til universitetskontoene dine. Hvis du gjenbruker passord på tvers av tjenester, endre disse også. Bruk en passordbehandler for å generere og lagre unike påloggingsopplysninger for hver konto.

Vær oppmerksom på phishing-forsøk. Løsepengegrupper selger eller bruker ofte stjålne data for å lage målrettede phishing-e-poster. Vær skeptisk til enhver kommunikasjon som ber deg klikke på en lenke eller bekrefte personopplysninger, selv om den ser ut til å komme fra en pålitelig kilde.

Vurder kredittfrys. I Canada kan du be om kredittfrys eller svindelvarsel gjennom Equifax og TransUnion. Til forskjell fra kredittovervåking, forhindrer en frys aktivt at ny kreditt blir åpnet i ditt navn uten din uttrykkelige tillatelse.

Bruk en VPN på campus og offentlige nettverk. Campus-Wi-Fi-miljøer kan overvåkes eller kompromitteres. Å bruke en anerkjent VPN når du aksesserer sensitive kontoer på universitetsnettverk, legger til et krypteringslag som gjør det vanskeligere for noen på samme nettverk å fange opp trafikken din. Dette er en praktisk vane for enhver student eller ansatt, uavhengig av et spesifikt datainnbrudd.

Overvåk informasjonen din over tid. Stjålne data brukes ofte ikke umiddelbart. Sett en påminnelse om å gjennomgå kredittvurderingen din hver tredje måned det neste året, og vær oppmerksom på uventede kontiåpninger eller endringer.

Hva dette betyr for deg

Løsepengeangrepet og datainnbruddet ved Mount Royal University er en påminnelse om at cybersikkerhetshendelser ved institusjoner får reelle, personlige konsekvenser for enkeltpersonene som ikke hadde noe annet valg enn å overlevere informasjonen sin for å studere eller jobbe der. Den kriminaltekniske undersøkelsen pågår, og det fulle bildet av hva som ble kompromittert blir kanskje ikke klart på flere måneder.

Hvis du er student eller ansatt ved MRU, bør du handle etter trinnene ovenfor nå i stedet for å vente til universitetet har fullført sin gjennomgang. Og hvis du er student eller ansatt ved en hvilken som helst høyere utdanningsinstitusjon, er denne hendelsen en oppfordring til å granske dine egne digitale vaner. Campusnettverk er delte miljøer, og din personlige sikkerhetspraksis er viktig uavhengig av hva institusjonen din gjør eller ikke tilbyr. Å gjennomgå hvordan du bruker disse nettverkene, inkludert hvorvidt en VPN hører hjemme i ditt faste verktøysett, er et praktisk skritt som koster lite og kan gjøre en meningsfull forskjell.