Dalış Özeti:
- Geçtiğimiz hafta düzenlenen yıllık konferansta okul işletme görevlilerine, siber saldırılar sırasında hassas verileri korumak için bölge liderlerinin ödeme işlemlerinde satıcı ve çalışan kimliklerini doğrulama konusunda daha katı yaklaşımlar benimseyebilecekleri söylendi.
- Okul sistemleri, depoladıkları tüm kişisel kayıtlar ve mali bilgiler göz önüne alındığında, “sanal bir veri büfesidir”. Houston yakınlarındaki Cypress-Fairbanks Bağımsız Okul Bölgesi CFO’su Karen Smith, Washington DC’nin hemen dışındaki Okul İşletme Yetkilileri Birliği’nin yıllık konferansında 19 Ekim’de yapılan bir oturumda şunları söyledi:
- Smith, kötü aktörlerin çok yönlülüğü nedeniyle tüm veri ihlallerini durdurmak imkansız olsa da, verilerin tehlikeye atılmasını çok daha zorlaştırmak için bölgelerin dijital bilgileri ele alma konusunda atabileceği önemli adımlar olduğunu söyledi.
Dalış Bilgisi:
Son beş yılda, K-12 ve yüksek öğretim kurumlarına yönelik küresel fidye yazılımı saldırılarının 6,7 milyondan fazla kişisel kaydı ihlal ettiği tahmin ediliyor. kesinti nedeniyle 53 milyar doların üzerinde maliyetSiber güvenlik ve çevrimiçi gizlilik ürün inceleme web sitesi Compareitech’e göre. Compareitech, 2018 ile Eylül 2023 ortası arasında 561 saldırıyı araştırdı.
İngiltere merkezli siber güvenlik firması Sophos’un Temmuz ayı raporuna göre, dünya çapında ankete katılan kamu ve özel K-12 kurumlarının %47’si fidye yazılımı saldırısına uğradı sonuçta çalınan verileri kurtarmak için ödeme yapıldı.
Smith’in paylaştığı dolandırıcılık olaylarından birinde, bir bölge, satıcı bir inşaat şirketinden ödemenin nasıl yapılacağı konusunda değişiklik talep eden resmi bir mektup aldı. Bilgi çalmaya yönelik başka bir dolandırıcılık girişiminde, sözde “müfettiş” tarafından bölge finans ofisine gönderilen bir e-postada çalışanlardan W2 bilgileri istendi.
Smith, “Dolandırıcılarımız giderek daha akıllı hale geliyor” dedi. “Prosedürleri uygulamaya koyuyorsunuz. Bir şeyi düzelttiğinizi düşünüyorsunuz ve sonra gerçekten o teknolojiyi değiştirmeye başlamanız gerekiyor.”
Smith, ödeme havalesi talimatlarını değiştirmek veya çalışanların doğrudan para yatırma işlemleriyle ilgili bilgi almak için e-posta veya başka yollarla yapılan sahte taleplere karşı bölgelerin yüksek düzeyde tetikte olması gerektiğini söyledi. Smith, isteklerin meşru olduğunu doğrulamak için birden fazla adımın olması gerektiğini de ekledi.
Smith, bir bölgenin ödeme sürecinde değişiklik talep eden herkese birkaç soru sorması gerektiğini söyledi.
Örneğin talep bir öğretmenden gelirse, finans veya BT ofisi öğretmene nerede ve ne öğrettiğini sorabilir ve ayrıca yalnızca bölgenin bileceği diğer doğrulama sorularını sorabilir. Bölgeler ayrıca ödeme değişikliği taleplerinin şahsen ve bir veya daha fazla kimlik belgesiyle yapılmasını talep edebilir.
Smith ayrıca bölge liderlerinin bir bölgenin ağına bağlanan her türlü teknolojiye dikkat etmelerini tavsiye etti. Smith, fotokopi makineleri ve güvenlik kameralarının bile, şifreyle düzgün bir şekilde korunmadığı takdirde hassas bölge verilerine geçiş kapısı olarak kullanılabileceğini söyledi.
Smith’in önerdiği diğer bir yararlı şirket içi veri güvenliği yaklaşımı, e-postalara, mesajın okul bölgesinin dışından geldiğini bildiren ve bağlantıları açarken dikkatli olunmasını tavsiye eden etiketler eklemektir.
Smith, eğitim alanında çalışan kişilerin “yardımcı olma eğiliminde olduklarını ve bazen telefonun diğer ucundaki veya e-postadaki kişinin iyi bir insan olmadığını fark etmediklerini” söyledi.