Storbritanniens universiteter er under angreb: Sådan reagerer de
Indholdsfortegnelse:
Storbritanniens universiteter bliver angrebet fra alle sider. En rapport sidste år afslørede, at snesevis af institutioner havde accepteret mindst £122m-156m fra kinesiske kilder i løbet af de foregående seks år. Problemet? Omkring en femtedel af disse donationer kom fra enheder, der er sanktioneret af USA for bånd til det kinesiske militær. Afsløringerne fremhæver den banebrydende forskning, som mange universiteter udfører, og dens strategiske betydning for visse regeringer.
Altid opmærksom på truslen, MI5 orienterede for nylig vicerektorer fra 24 førende universiteter om vedholdende statsstøttede bestræbelser på at opnå intellektuel ejendomsret. Men det er ikke kun nationalstater, de skal forsvare sig imod. Truslen fra økonomisk motiverede cyberkriminelle er også stor.
Svært at forsvare
Sektoren for videregående uddannelser yder et ofte undervurderet bidrag til den nationale økonomi. Ifølge seneste tal, universiteter og andre HE-udbydere tegner sig for £71 mia. årligt i bruttoværditilvækst (GVA) og £130 mia. i generel økonomisk produktion. Alene det er grund til at beskytte det mod nationalstater og cyberkriminalitetsgrupper.
"Cyber tilbyder en afviselig rute til at få information, som ellers er utilgængelig for dem," den National Cyber Security Center (NCSC) siger om statsstøttede operatører. "Det bliver sandsynligvis udnyttet i stedet for eller i forbindelse med traditionelle ruter for at få adgang til forskning, såsom partnerskaber, 'udstationerede studerende' eller direkte investeringer."
Alligevel må HE-institutioner kæmpe med adskillige udfordringer i deres bestræbelser på at forbedre cyberresiliens. For det første har de fleste et stort antal medarbejdere og studerende, der bruger deres netværk. Det gør phishing til en populær metode til at opnå netværksadgangsoplysninger og personligt identificerbare oplysninger (PII). Det hjælper ikke, at selv om 84 % af universiteterne håndhæver uddannelse i informationssikkerhed for personalet – kun 5 % gør det obligatorisk for studerende.
Universiteter skal også styre risici på tværs af en potentielt stor og kompleks it-netværkstopologi. Ifølge NCSC indeholder mange universitetsnetværk "en samling af mindre, private netværk, der leverer tætte tjenester til fakulteter, laboratorier og andre funktioner". Dette kan gøre en konsekvent håndhævelse af sikkerhedspolitikken mere udfordrende. Det er en forstærket af potentielle risici på den fordelte kant – herunder hjemmearbejdere og fjernstuderende.
”Akademisk forskning trives med samarbejde og åben udveksling af information. Dette nødvendiggør åben adgang til netværk og ressourcer, hvilket gør det vanskeligt at implementere alt for restriktive sikkerhedsforanstaltninger. At finde en balance mellem åbenhed og robust sikkerhed er en konstant kamp,” siger Axians UK CTO, Chris Gilmour, til ISMS.online.
"Dette forværres kun af studerende og ansatte, der bruger personlige enheder - bærbare computere, smartphones, hvor universiteterne skal finde en balance mellem BYOD og muliggør adgang til nøgleressourcer, mens de stadig opretholder en passende sikkerhedsposition generelt. Disse ikke-administrerede enheder kan, hvis de ikke er ordentligt sikret, introducere sårbarheder og fungere som potentielle indgangspunkter for cyberangreb."
Endelig står HE-udbydere over for "langsigtet, systemisk pres på deres finansielle holdbarhed og levedygtighed", ifølge en 2022 Public Accounts Committee indberette. Et fortsat loft for studieafgifter og kortere sigtede faktorer som stigende energi- og låneomkostninger og inflation har gjort budgettering mere udfordrende. Det kan have en afsmittende indvirkning på cybersikkerhedsbudgetter, mens det forstærker skaden som følge af sikkerhedsbrud. Udover eventuelle direkte omkostninger skal universiteterne også overveje den potentielle indvirkning af et alvorligt brud på omdømmet i potentielle studerendes øjne.
Truslen er reel
Når stater ikke kan få, hvad de ønsker, ved at give store 'altruistiske' donationer til HE-institutioner, falder de tilbage på traditionel cyberspionage. I mellemtiden målretter cyberkriminalitetsgrupper i stigende grad personale og studerende PII og udsatte systemer via ransomware. Ifølge universitetets IT-partner JISC, betragtes ransomware som den største cybertrussel mod sektoren, efterfulgt af social engineering/phishing og uoprettede sårbarheder. Non-profit hævder, at 97 % af HE-udbyderne nu inkluderer cyber i deres risikoregister, og 87 % rapporterer regelmæssigt om cyberrisiko til deres direktion. Men det får ikke udfordringen til at forsvinde.
Faktisk er det mere udtalt end nogensinde. En regering indberette fra april 2023 hævder 85 % af HE-institutionerne identificerede brud eller angreb i de foregående 12 måneder, sammenlignet med kun 32 % af virksomhederne.
En ødelæggende brud på Manchester University i 2023 resulterede i kompromittering af over en million NHS patientjournaler og stammede fra et phishing-angreb. Faktisk er ransomware-angreb som dette en almindelig hændelse, og angreb er tidsbestemt til at falde sammen med den kritiske clearingperiode – som mange er – kan have en overordnet indflydelse.
Truslen fra statslige aktører er mere subtil, men stadig udbredt. Sandsynligvis i februar 2021 statsstøttede hackere brudt University of Oxford's Division of Structural Biology, som på det tidspunkt arbejdede på en COVID-19-vaccine med AstraZeneca. Så langt tilbage som 2018, Iranske hackere angrebet britiske universiteter for at stjæle følsom forskning.
Slår tilbage
Heldigvis kan selv pengestærke HE-institutioner forbedre deres cyberresiliens med nogle afprøvede bedste praksisser, ifølge Gilmour.
"Prioritering af personaleuddannelse i cybersikkerhedsbevidsthed giver alle mulighed for at identificere og undgå trusler," argumenterer han. "Implementering af open source-sikkerhedsværktøjer og udnyttelse af gratis offentlige ressourcer kan lukke nogle sikkerhedshuller. Og opmuntring af en kultur med dataminimering og prioritering af kritiske systemer giver dem mulighed for at gøre mere med mindre."
Tim Line, servicechef hos Sikre Skoler, tilføjer, at dybdeforsvar er nøglen. Multi-faktor-autentificering, hændelsesresponsplanlægning, robuste backups, endpoint-detektion (EDR), firewalls og kryptering bør alt sammen være en prioritet, siger han til ISMS.online. Implementeringen af sådanne kontroller og operationel bedste praksis, herunder hurtig patchning, acceptabel brug og sikker konfiguration, bør skitseres i klare politikker, "der skitserer forventninger og sætter regler", tilføjer Line.
"Tænk på hver sikker kontrol som en skive schweizisk ost," forklarer han. "Én skive har masser af huller og kan let brydes. Tilføj endnu et stykke sikkerhedskontrol, og dette lukker nogle af hullerne på den første skive, og så videre, indtil risikoen er reduceret til et niveau, der måles som acceptabelt."
Både Line og Gilmour peger også på værdien af bedste praksis sikkerhedsstandarder som ISO 27001 og tilbud som NIST Cybersecurity Framework.
"ISO 27001 tilbyder en struktureret tilgang til informationssikkerhedsstyring. Ved at implementere sine kontroller kan universiteterne identificere og styre cybersikkerhedsrisici, udvikle en kultur med sikkerhedsbevidsthed og etablere klare processer for hændelsesrespons,” siger Gimour.
Endnu flere basisinitiativer som Cyber Essentials kan være nyttige til at reducere risikoen, tilføjer Line.
"De vil aldrig reducere risikoen til nul – ligesom implementering af røgdetektorer, branddøre, brandalarmer og evakueringsprocedurer ikke reducerer risikoen for at opleve en brand til nul," slutter han. "Det reducerer dog markant risikoen for, at branden opstår, at branden spreder sig, og at branden har en betydelig indvirkning på mennesker og operationer."
