hvorfor videregående uddannelser skal bygge det samt cyberresilience banner

Hvorfor videregående uddannelse skal opbygge it såvel som cyberresiliens

Som vogtere af meget følsomme personlige oplysninger og forskning i verdensklasse er Storbritanniens højere uddannelsesinstitutioner populære mål for cyberkriminelle og nationalstater. Det burde sætte cyberresiliens helt i top af prioritetslisten for CISO'er i branchen. Men som det nylige CrowdStrike-udfald fremhævede, bør HE-sektoren være forberedt på mere end blot trusselsaktører.

Cyberresiliens er en integreret del af forretningskontinuiteten, men der er andre risici ved den information, som HE-institutionerne forvalter, og de tjenester, de leverer, som også skal styres. Heldigvis kan ISO 27001 også hjælpe ved at sikre informationssystemernes tilgængelighed, fortrolighed og integritet i tilfælde af en uventet afbrydelse.

Hvad skete der?

Beskrevet som evt verdens værste it-udfald, skyldtes CrowdStrike-hændelsen en defekt opdatering af firmaets Falcon-slutpunktsikkerhedsværktøj, hvilket forårsagede udbredte problemer med Microsoft Windows-computere, der kører softwaren. Selvom mindre end 1 % af de globale Windows-endepunkter blev påvirket, svarede det til over otte millioner maskiner – hvoraf mange drev kritiske tjenester på hospitaler, flyselskaber og HE-institutioner.

Ifølge rapporter, tjenester på britiske HE-institutioner, herunder Manchester, East Anglia, Oxford Brookes, Lancaster og Aston universiteter, blev påvirket af afbrydelsen. Mange andre på tværs af Atlanten blev også ramt, hvor elevportaler blev taget ned, og nogle blev tvunget til at lukke sommerundervisningen. Hvis en lignende hændelse var sket i løbet af terminen, kan forstyrrelsen have været meget værre.

Bygge modstandsdygtighed

UK universiteter har været på bagfoden over for trusselsaktører i nogen tid. Ifølge Regeringen97 % af HE-institutionerne identificerede et brud eller et cyberangreb i det seneste år, hvor seks ud af 10 hævdede, at de var blevet negativt påvirket af det. En kombination af komplekse distribuerede netværk og et stort antal medarbejdere og studerende, der kræver åben internetadgang, giver en ekspansiv angrebsflade at forsvare. Ransomware, phishing, statsstøttet datatyveri og info-tyveri er udbredt. Og vedvarende økonomisk pres gør det vanskeligt for CISO'er at prioritere, hvor udgifterne skal fokuseres.

Alligevel mener eksperter, at CrowdStrike-hændelsen bør være en katalysator for en bredere diskussion af it-resiliens, der går ud over at forhindre, opdage og reagere på ondsindede cyberhændelser. Ifølge Chris Gilmour, CTO for it-administrerede servicefirmaet Axians UK, bør planlægning af sådanne begivenheder komme sammen med de sædvanlige cyberhygiejne-elementer som patching, multi-factor authentication (MFA) og begrænsning af netværksadgang.

"Regelmæssig test af katastrofegenopretningsplaner og beredskabsplanlægning for 'venstre felt'-udfordringer er afgørende for at sikre, at de er effektive i tilfælde af en krise," siger han til ISMS.online. "Det er også utrolig vigtigt at fremme en kultur af sikkerhedsbevidsthed blandt personale og studerende, der kan hjælpe med at forhindre brud og mindske deres indvirkning."

Trend Micro UK & I teknisk direktør Bharat Mistry tilføjer, at HE forretningskontinuitetsplaner bør dække IT, kommunikation, dataadgang og undervisning.

"Disse planer bør identificere kritiske funktioner og systemer, skitsere klare procedurer for opretholdelse af væsentlige operationer under forstyrrelser og definere roller og ansvar for beredskabsteams, herunder kommunikationsprotokoller for interessenter," siger han til ISMS.online.

"Hyppige øvelser og simuleringer bør også udføres for at teste forretningskontinuitetsplaner og identificere svagheder. Dette hjælper med at sikre, at personalet er parat til at reagere effektivt under virkelige hændelser."

Teknologi- og sikkerhedsledere i HE bør også overveje den it-infrastruktur, de bruger. Mistry anbefaler cloud-baserede løsninger til at sikre tilgængelighed, belastningsbalancering og failover for at opretholde servicetilgængelighed, samt hybride cloud-arkitekturer til at sprede risikoen på tværs af flere miljøer.

"Undgå overdreven afhængighed af en enkelt leverandør eller system. Implementering af redundante systemer og diversificering af kritiske tjenester kan hjælpe med at opretholde driften, hvis et system svigter,” tilføjer han. "Dette inkluderer brug af flere cybersikkerhedsløsninger fra forskellige leverandører, vedligeholdelse af offline backup af kritiske data og systemer og implementering af redundante netværksforbindelser og strømforsyninger."

Både Gilmour og Mistry går også ind for postmortem efter hændelsen for at sikre, at it-teams lærer lektien af ​​alvorlige sikkerhedsbrud og afbrydelser. Disse kan hjælpe med at give "en grundig analyse af hændelser, afdække grundlæggende årsager og fremhæve områder for procesforbedringer" og fremme "en kultur af ansvarlighed og kontinuerlig læring på tværs af organisationen," siger Mistry.

ISO 27001 og derover

Spørgsmålet er: hvor skal man begynde? ISO 27001 og Cyber ​​Essentials er velkendte af mange it- og sikkerhedsledere som måder at forbedre grundlæggende cyber- og informationssikkerhed på. Men mens sidstnævnte fokuserer på tekniske kontroller til internet-vendte systemer for at minimere cyberrisiko, tilbyder ISO 27001 uden tvivl mere, der også kan bindes til planlægning af forretningskontinuitet/katastrofegendannelse.

Dette omfatter nøgleområder som:

  • Sælger risikostyring
  • Hændelsesreaktion
  • Kommunikation med interne og eksterne interessenter/kunder
  • Software test
  • Medarbejderuddannelse

Ved at bruge ISO 27001 som udgangspunkt kunne HE-organisationer opbygge cyberresiliens og samtidig skabe grundlaget for en mere omfattende tilgang til bredere it-resiliens.

"Ved at vedtage disse standarder kan universiteterne etablere en systematisk tilgang til risikostyring, hændelsesrespons og databeskyttelse. Disse rammer tilbyder et omfattende sæt af bedste praksis, der kan hjælpe organisationer med at identificere og adressere sårbarheder, øge deres modstandsdygtighed og overholde lovgivningsmæssige krav,” siger Axians UKs Gilmour.

"At vedtage og implementere processerne og politikkerne i disse standarder betyder, at universiteter kan forbedre deres cybersikkerhedsposition markant og beskytte deres følsomme data og operationer."

Trend Micros Mistry tilføjer, at mange organisationer starter med Cyber ​​Essentials og derefter bygger videre på det med den "mere omfattende" ISO 27001-standard for at forbedre sikkerheden og modstandskraften yderligere.

"Frameworks som ISO 27001 og Cyber ​​Essentials spiller en afgørende rolle i opbygningen af ​​it- og cyberresiliens, og tilbyder organisationer en struktureret vej til at forbedre deres sikkerhedspraksis," afslutter han. "Ved at udnytte disse rammer kan organisationer systematisk forbedre deres evne til at forebygge, opdage, reagere på og komme sig efter cyber-hændelser, hvilket i sidste ende styrke deres overordnede cyber-resiliens holdning."

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!