O Centro Nacional de Cibersegurança (NCSC) do Reino Unido emitiu um sério alerta às universidades de todo o país, pedindo que estejam atentas à possibilidade de sofrerem ataques informáticos. Garantir a segurança das Universidades e dos seus dados é o objetivo.
O principal risco é, de facto, duplo. Em primeiro lugar, é proveniente de criminosos que procuram ganhos financeiros por meio de ataques geralmente não dirigidos. Quando os ataques são dirigidos, “têm, sobretudo, maior impacto financeiro”, observa a agência de segurança informática.
Alvo: roubo de propriedade inteletual
“O cibercrime provavelmente será uma das dificuldades mais evidentes e perturbadoras para as universidades”. Estes alertas surgem na sequência de fragilidades de segurança que ficaram evidentes em testes realizados no Reino Unido no início deste ano. Também a Austrália sofreu, já este ano, um roubo de 19 anos de dados numa das suas principais universidades. Por enquanto, em Portugal não há, para já, notícias de roubo de dados ou outros crimes informáticos nas universidades.
Estas incursões procuram ganhos estratégicos e visam o roubo de propriedade intelectual de instituições, já que desse modo poderão ter acesso a dados valiosos de pesquisa e outros ativos, de grande valor para hackers.
Assim, e para se defenderem contra incursões criminosas, as universidades no Reino Unido estão a ser incitadas a garantir que tenham uma série de medidas básicas em vigor. Isso, por sua vez, inclui políticas voltadas para a segurança e autenticação rigorosas e controlos de acesso, para além de garantir que as redes das universidades sejam concebidas com as devidas considerações de segurança em mente. Ainda assim, a primeira linha de defesa, conforme observado no relatório, é de facto “uma boa conscientização de segurança entre funcionários e estudantes”.
As técnicas podem estar a evoluir, mas, graças à sua elevada taxa de sucesso, os ataques que envolvem engenharia social permanecem básicos. Na verdade, uma equipa de hackers éticos conduziu recentemente ataques simulados em mais de 50 universidades do Reino Unido e, em todos os casos, conseguiram aceder a dados de elevado valor em duas horas. A chave para a taxa de sucesso de 100% era o spear-phishing, uma forma dirigida de phishing porque envolve o envio de um e-mail sob medida para uma vítima em especial bem pesquisada.
Assim, deixamos a nossa lista de medidas que as instituições de ensino devem ter em consideração afim de se defenderem contra ataques informáticos:
#1 Proteção em camadas
Não espere que apenas um produto de segurança o proteja contra todas as ameaças possíveis aos seus sistemas e dados. É claro que é conveniente ter soluções anti-malware em todas as partes da sua rede (não esquecer os smartphones, tablets Android, servidores Linux e computadores Mac em conjunto com as máquinas Windows). Mas é também essencial ter uma firewall na porta de entrada da rede da escola e em todas as suas máquinas individuais – as que lhe pertencem, as utilizadas em bolsas de estudo, dos seus alunos, professores e funcionários.
Quaisquer dados importantes, como avaliações, finanças ou informações pessoais, devem ser encriptados onde são armazenados (seja em servidores ou estações de trabalho) e sempre que os dados saírem das suas máquinas, através de e-mail ou em dispositivos como smartphones ou pen drives.
#2 Implementar o princípio do menor privilégio
O princípio do menor privilégio significa simplesmente que nenhuma pessoa, máquina ou sistema deve ter acesso a coisas que não sejam estritamente necessárias.
Por exemplo: os dados financeiros dos alunos devem estar num local diferente da rede, e completamente isolados de pessoas que não precisem aceder aos mesmos. E muito poucas pessoas devem ter direitos de acesso ao nível de administrador nas suas próprias máquinas (algumas pessoas ficam chocadas com esta sugestão, mas é uma forma de gestão das nossas máquinas aqui na ESET. A qualquer momento, você pode restringir o acesso, sem prejudicar a capacidade das pessoas de fazerem o seu trabalho.
3# Prioridade nas atualizações
A realização de atualizações a todos os softwares é uma das coisas mais importantes que se pode fazer. Assim, conseguirá minimizar as vulnerabilidades que podem ser usadas por criminosos para entrar silenciosamente nas máquinas. Ao gerir sistemas complexos, pode ser necessário testar as atualizações antes de implementar as mesmas, mas mantenha os atrasos causados por esse processo no mínimo.
Os hackers estão constantemente a tentar aproveitar-se de vulnerabilidades não corrigidas. Como tal, não se esqueça que não são apenas os seus sistemas operativos e aplicações que tem de manter atualizados. Existem as aplicações auxiliares executadas pelos seus browsers, do Java ao Flash ao Acrobat e tantas outras.
De facto, o risco de não fazer atualizações regularmente supera provavelmente os benefícios dos testes. Se uma implementação imediata em todo o sistema não for prática, inicie, no mínimo, uma implementação de patches imediatamente num pequeno conjunto de máquinas representativas e expanda para subconjuntos maiores assim que possível, até que todas as máquinas estejam atualizadas.
4# As Passwords não são suficientes
Se estiver a proteger muitos dados de identificação pessoal, uma password pode não ser suficiente. Considere implementar a autenticação de dois fatores ou 2FA. Pode ser um código biométrico, como uma impressão digital, ou uma senha única que é fornecida aos utilizadores através de um pequeno cartão-chave ou porta-chaves digital. Pode ainda fazer uso de smartphones para fornecer passwords únicas aos utilizadores. Os alunos que usam redes sociais como o Facebook e o Twitter já devem estar familiarizados com o 2FA, pois esses serviços utilizam o mesmo sistema para impedir o acesso não autorizado.
5# Assegure-se que todos usam passwords fortes
Uma boa password é única, forte, memorável para o utilizador, mas difícil de adivinhar. Isto significa que deve ser longa, talvez até uma frase, em vez de uma palavra ou duas. Deve incluir letras maiúsculas e minúsculas, números e caracteres especiais. Mais importante: cada site ou serviço que requer uma password deve ter uma password diferente.
Se os utilizadores tiverem dificuldade em recordar as várias senhas, considere implementar um sistema de login único ou uma aplicação de gestão de passwords que possa ajudar os alunos e restantes utilizadores da rede a criar passwords fortes em todos os seus diferentes dispositivos.
6# Proiba a partilha de credenciais
Escolas, faculdades e universidades geralmente são lugares amigáveis onde as pessoas trabalham juntas, por isso pode até parecer natural que as pessoas partilhem nomes de utilizador e passwords com colegas, ou deixem as máquinas ligadas à rede nos seus próprios nomes. Infelizmente, este comportamento pode minar completamente uma das melhores armas que temos para proteger sistemas: a análise de login. Se os eventos registados nos logins não puderem ser atribuídos com segurança à pessoa que os executou, será muito difícil descobrir, quando necessário, o que realmente aconteceu. Assim, é importante que de tempos a tempos execute um cracker de passwords nos logins da rede, de forma a garantir que ninguém está a usar coisas como “qwerty” ou “87654321”. Verifique com cuidado e assegure-se que quando o “jondoe” fizer login no servidor de arquivos3, é realmente o Jon!
7# Abuse da encriptação
Quando temos algo que é valioso e não está em uso trancamos, ou seja, protegemos. Este é o princípio a aplicar aos dados. Se tiver dados valiosos, os mesmos deverão manter-se encriptados sempre que não estejam em uso. E onde for que estejam guardados encripte-os. Quando acedidos ou enviados pela rede, os dados devem ser enviados através de uma ligação também ela encriptada. Assim, fica minimizada a capacidade de hackers obterem dados úteis, mesmo que consigam violar outras defesas.
8# Backup, backup, backup
O backup dos seus dados e sistemas são a última e melhor linha de defesa contra hackers. No caso de ameaças como resgate de dados, eles podem ser a única maneira de vencer os criminosos. Pode fazer backup na nuvem, mas faça-o como um complemento, e não em substituição de backups locais testados e armazenados com segurança.
9# Formação e consciencialização sobre segurança
Não nos vamos debruçar muito sobre este ponto. Isto porque, tratando-se de instituições de ensino, é sabida a importância da formação e consciencialização sobre a necessidade de segurança. Funcionários e estudantes devem ser envolvidos a fim de garantir o sucesso que daqui pode advir enquanto mecanismo de proteção. Não se pode esperar que as pessoas cumpram com os procedimentos de segurança, a menos que se explique como funcionam e por que são necessárias.
10# Faça “limpezas” regulares
Quando os funcionários deixarem de trabalhar na instituição e também os alunos seguirem em frente, certifique-se que as credenciais são ajustadas à nova realidade. Acima de tudo, isto passa por encerrar o acesso aos sistemas escolares das pessoas que, para todos os efeitos já não fazem parte do estabelecimento. O uso de credenciais “remanescentes” que deveriam ter sido revogadas é uma das formas mais comuns de abuso “interno” de sistemas. E se professores, funcionários ou estudantes abandonam a instituição por motivos pouco amigáveis, cancelar todos os seus acessos – imediatamente – é mesmo obrigatório.
No entanto, e indepedentemente de tudo, uma revisão às contas dos utilizadores autorizados deve ser feita pelo menos uma vez por ano, a fim de eliminar os acessos que não são mais apropriados.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://blog.eset.pt/2019/09/universidades-alertadas-para-a-possibilidade-de-sofrerem-ataques-informaticos/&media=https://blog.eset.pt/wp-content/uploads/2019/09/university-2119707_1920.jpg&description=O principal risco é, de facto, duplo. Em primeiro lugar, é proveniente de criminosos que procuram ganhos financeiros por meio de ataques geralmente não dirigidos. Quando os ataques são dirigidos, "têm sobretudo maior impacto financeiro", observa a agência de segurança informática. ){kind=link}