İngiltere okullarındaki içeriden gelen siber olayların yarısından fazlası öğrencilerden kaynaklanmaktadır – eğitim, düzenleme ve siber güvenlik topluluklarında alarm artırma eğilimi. Britanya’nın veri koruma düzenleyicisi Bilgi Komiseri Ofisi (ICO), son iki yılda giriş kimlik bilgilerinin, zayıf şifre uygulamalarının ve yanlış yapılandırılmış sistemlerin kötüye kullanılması modelini ortaya çıkardı.
ICO’nun eğitim sektöründeki 215 kişisel veri ihlali raporu analizine göre, bu içeriden gelen olayların% 57’si öğrencilere geri dönüyor. En büyük alt kümeler arasında,% 30’u çalıntı giriş kimlik bilgilerini içeriyordu – ve neredeyse tüm bunlarda (% 97) öğrenciler sorumluydu.
“Çocukların yasanın sağ tarafında kalmasını sağlamak için gelecek neslin çevrimiçi dünyadaki ilgi alanlarını ve motivasyonlarını anlamamız önemlidir.” dedi Heather Toomey, ICO’nun baş siber uzmanı. Bir cesaret ya da merak olarak başlayan şeyin zarar verici saldırılara kayabileceğini ve potansiyel zararı okul sistemlerinin ötesindeki kritik altyapıya genişletebileceğini de sözlerine ekledi.
Vaka çalışmaları sistemik zayıflıkları göstermektedir
İncelenen ihlaller arasında, regülatör birkaç yüksek etkili örnek vermiştir. Bir ortaokulda, 11. sınıf öğrencileri, personel şifrelerini kırmak için çevrimiçi araçları kullandıktan sonra 1.400 öğrenci üzerinde veri içeren bir yönetim sistemine erişti. Bir üniversitede, bir öğrenci, adresler, sağlık kayıtları ve acil durum temasları da dahil olmak üzere 9.000’den fazla kişiye ait kayıtları görüntülemek, değiştirmek ve silmek için bir personel girişinden yararlandı.
Her iki vaka da ICO’nun zayıf şifre hijyeninin “mükemmel bir fırtına”, görevlerin zayıf bir şekilde ayrılması ve olağandışı erişimin yetersiz izlenmediğini göstermektedir.
Öğrenciler neden hackliyor?
ICO veri koruma risklerine odaklanırken, uzmanlar gençlik hacklemesinin arkasındaki psikolojinin anlaşılması da önemli hale geldiğini söylüyor. Birçok genç ağları cezai niyetle değil, merak, akran baskısı veya teknik bulmacaları çözme heyecanıyla keşfetmeye başlar.
Gençler genellikle bir sisteme girmeyi bir onur rozeti, akranları etkilemenin veya çevrimiçi forumlarda statü kazanmanın bir yolu olarak görürler. Bazıları meydan okumaya çekilir, hacklemeyi bir oyun gibi davranır. Ancak hacker araçlarına ve topluluklarına kolay erişim ile, deney olarak başlayan şey kimlik hırsızlığı veya veri kurcalamaya dönüşebilir.
İngiltere’nin Ulusal Suç Ajansı benzer gözlemler yaptı, çevrimiçi alanlarda tanınmanın genellikle finansal kazançtan daha güçlü bir motivasyon kaynağı olduğunu belirtti.
Ayrıca Oku: Dijital Oyun Alanı’ndan yararlanma: Neden daha fazla çocuk hacker oluyor, siber suçlara dönüyor?
ICO, birçok gencin zarar vermediğini, ancak eylemlerinin aşağı akış sonuçlarını tam olarak kavramadığını gözlemledi.
Bu sorun için diğer katkıda bulunan faktörler, öğrencilerin personel cihazlarına, katılımsız terminallere, aşırı izin veren kullanıcı izinlerine veya personele ait hesapları kullanan öğrencilere erişmesine izin veren okullardır. Bazı durumlarda, sistem mimarisi kusurları (yanlış yapılandırılmış izinler, paylaşılan kullanıcı kimlik bilgileri veya öğrenci ve personel hesapları arasında ayrılma eksikliği) kötüye kullanım için teknik yollar oluşturur.
Okullar için artan bir risk
ICO’nun bulguları, İngiltere okullarının fidye yazılımı kampanyaları ve kimlik avı saldırıları tarafından hedeflenen personeli hedefleyen bir dönemde yer alıyor. Dış tehdit aktörlerinin aksine, öğrenci içeriden gelenler genellikle zayıf kimlik yönetimi ile birleştirilen okul sistemlerine doğal erişime sahiptir.
Raporda işaretlenen yaygın teknik sorunlar şunları içerir:
-
Zayıf veya yeniden kullanılan şifreler Personel ve öğrenci hesapları arasında.
-
Paylaşılan veya kalıtsal girişleröğrencilere personel düzeyinde erişim sağlar.
-
Kötü yapılandırılmış erişim hakları SharePoint ve Öğrenme Yönetim Sistemleri gibi platformlarda.
-
İzleme eksikliği Saat dışı girişler veya kütle indirmeleri gibi şüpheli etkinlikler için.
İçeride çalışanlara dayalı ihlaller sadece notları veya zaman çizelgelerini açığa çıkarma riskiyle karşı karşıya değildir. Birçok durumda, hassas koruma verileri, sağlık bilgileri ve acil durum kontakları söz konusudur – tehlikeye atılırsa ciddi gizlilik ve güvenlik sorunları yaratan söz konusudur.
Veri Koruma ve Kültürel Etki
Düzenleyiciler için, ihlaller İngiltere GDPR ve Veri Koruma Yasası uyarınca açık bir uyum sorunu oluşturmaktadır. Ancak kültürel boyut da dikkat çekiyor. Öğrenciler okul sistemlerini hacklemeyi zararsız bir eğlence olarak görürlerse, uzmanlar daha sonra riskli davranışları normalleştirebilir.
“Merakla başlayan gençler uzun vadeli sonuçları fark etmeyebilir,” diyor eğitim ihlallerine aşina olan Cyble’da araştırma ve zeka kıdemli müdürü Daksh Nakra. “Bir okul sistemindeki yönetici haklarıyla oynamaktan gerçek işletmelere karşı aynı taktikleri denemeye atlamak, insanların düşündüğü kadar büyük değil.”
ICO, tüm öğrenci faaliyetlerinin kötü niyetli niyet taşımasa da, kişisel veriler ortaya çıktığında etkinin aynı olduğunu vurguladı.
Düzenleyicinin Önerileri
ICO, okulları erişim yönetimini güçlendirmeye, daha güçlü kimlik bilgisi hijyeni uygulamaya ve ihlallerin tutarlı bir şekilde bildirilmesini sağlamaya çağırdı. Bekçi, teknoloji kullanımının etik sınırları konusunda daha iyi eğitim çağrısında bulundu.
ICO, çocukların ve gençlerin okul sistemlerini kötüye kullanmanın ciddiyetini anlamaları gerektiğini, önlemenin hem teknik kontroller hem de kültürel değişim gerektirdiğini de sözlerine ekledi.
Endüstri uzmanları, okulların içeriden tehditleri dış fidye yazılımı kampanyalarıyla aynı önceliğe göre ele almaları gerektiğini iddia ediyorlar-çok faktörlü kimlik doğrulamasını devrediyor, erişim haklarının düzenli denetimlerini yaparak ve izleme araçlarının olağandışı davranışları işaretlediğini savunuyor.
Bir Fırtına Bira
ICO’nun uyarısı, gençliğin siber suçlara katılımının Avrupa genelinde yükseldiğine dair bir dizi sinyalin sonuncusudur. Bu yılın başlarında, İngiltere Ulusal Suç Ajansı, siber suçlu gruplara göre gençlerin işe alımını artırmak konusunda uyardı. 17 yaşındaki bir genç, şehrin transit sistemlerinden sorumlu ajans olan Londra For London (TFL) konusundaki büyük bir siber saldırının ardından geçen yılın sonlarında İngiltere’de tutuklandı. Güdü belirsizdi, ancak dalgalanma etkisi birkaç gün boyunca yüz yüze satış nedeniyle biletleme gecikmeleri şeklinde hissedildi.
Hollanda ve Almanya’da polis, başlangıçta ceza korsanlığı için inşa edilen araçları test eden öğrenciler hakkında benzer endişeler bildirdi.
Okullar için bu, içeriden gelen tehdidin artık niş bir sorun değil, ana akım bir risk olduğu anlamına gelir. Nakra’nın dediği gibi: “Bunu sadece çocuklar hakkında görmeyi bırakmalıyız. Bugünün araçlarıyla, 15 yaşındaki bir çocuk devletler için ayrıldıktan sonra bir ölçekte hasar verebilir.”