Cada instituição de ensino deve estar consciente de que os criminosos informáticos ganham dinheiro com o roubo de informações pessoais e consequente venda no mercado negro a outros criminosos, que, de seguida, transformam os dados em dinheiro através de uma variedade de esquemas fraudulentos. Por que motivo os administradores da escola e os educadores e necessitam de saber isto? Porque as escolas de todos os tipos – do ensino primário até à educação secundária e superior – possuem agora bases de dados repletas de informações pessoais acerca de professores, funcionários e alunos. Para os criminosos, que não são exigentes acerca dos dados que roubam, estes repositórios de dados pessoais são um alvo muito atractivo.
Nas próximas linhas vamos apresentar dez medidas que as escolas devem adoptar para se defenderem contra este tipo de crimes informáticos. Mas, primeiro, eis uma actualização rápida acerca da dimensão do problema no caso americano.
Em 18 de Fevereiro de 2014 a Universidade de Maryland foi vítima de um ataque de segurança que expôs informações, onde estavam contidos números de identificação pessoal (PII).
Uma semana depois, a Universidade de Indiana anunciou que um erro pessoal havia exposto informações acerca de 146 mil estudantes.
Outra semana mais tarde, a Universidade de Dakota do Norte informou que o servidor que continha os nomes e números de Segurança Social de mais de 290 mil estudantes actuais e antigos e cerca de 780 professores e funcionários, tinha sido atacado.
Claramente, as redes escolares estão sob ataque. Nas próximas linhas indicamos 10 medidas que visam a protecção das instituições de ensino.
1. Defesas em camadas
Não espere que uma só solução de segurança o proteja contra qualquer possível ameaça aos seus sistemas e dados. Claro que deverá instalar sempre um conjunto de soluções anti-malware em todos os vectores de entrada na sua rede (não esqueça smartphones, tablets Android, servidores Linux e computadores Mac, juntamente com suas máquinas Windows). Mas deverá ter também uma firewall na porta de entrada da rede escolar e em todas as suas máquinas – aquelas que possui, aquelas que são originárias de concessões e aquelas que pertencem aos seus alunos, professores e pessoas individuais. Todos os dados importantes, tais como notas, finanças, ou informações pessoais, devem ser encriptadas, tanto ao nível de armazenamento (como em servidores e estações de trabalho) e todos os dados de tempo deixa suas máquinas, como por e-mail ou em dispositivos como smartphones ou pen drives.
2. Aplique o princípio do menor privilégio
O princípio do menor privilégio significa que nenhuma pessoa, máquina, ou sistema deve ter acesso a coisas que não sejam rigorosamente necessárias. Por exemplo: os dados financeiros dos estudantes devem estar numa parte diferente da rede, completamente desligada de outras áreas informativas. Para além do referido, poucas pessoas, deverão ter direitos de administração nas suas próprias máquinas. Sempre que tiver a possibilidade de restringir acessos, sem perturbar a capacidade das pessoas fazerem o seu trabalho, deverá fazê-lo.
3. Actualize, actualize, actualize
Aplicar actualizações e correcções a todas as aplicações é a atitude mais importantes que pode levar a cabo para minimizar as vulnerabilidades que os criminosos poderão usar para entrarem silenciosamente nas suas máquinas. Os cibercriminosos estão constantemente à procura de vulnerabilidades não corrigidas. Não se esqueça que não basta manter actualizados os sistemas operativos e as aplicações com que trabalha no dia a dia. Existem ainda as aplicações extra utilizadas pelos browsers, do Java ao Flash, passando pelo Acrobat, entre outras.
4. As palavras-passe não são suficientes
Se está a proteger diversos dados pessoalmente identificáveis, uma palavra-passe, por si só, pode não ser suficiente. Considere a implementação de um sistema de autenticação de dois factores ou 2FA. Esta poderá ser biométrica, como uma impressão digital, ou um código único. Mais recentemente é comum vermos os smartphones a serem utilizados para disponibilizarem palavras-passe únicas que dão acesso aos sistemas. Normalmente são acessíveis em termos de preço, mas altamente seguras. Os alunos que utilizam as redes sociais como Facebook e Twitter já estarão familiarizados com a noção de 2FA.
5. Certifique-se que todos usam boas palavras-passe
Apesar dos novos sistemas de autenticação, como a biométrica, serem eficazes, as palavras-passe ainda deverão estar presentes durante vários anos. É por esse motivo que todos deverão utilizar palavras-passe seguras. Uma boa palavra passe é única, forte, não se esquece, mas é difícil de ser adivinhada. Isto significa que ela deve ser longa, talvez até mesmo uma frase, ao invés de uma ou duas palavras. Deverá conter letras maiúsculas e minúsculas, números e caracteres especiais. O mais importante: cada site ou serviço deverá utilizar uma palavra-passe diferente. Se os utilizadores tiverem dificuldade em lembrarem-se de todas as palavras-passe, uma aplicação de gestão de passwords, poderá ajudar.
6. Acabe com a partilha de credenciais
Escolas e universidades são muitas vezes locais amigáveis, onde as pessoas trabalham em equipa e por isso mesmo pode parecer natural às pessoas, partilharem nomes de utilizador e palavras-passe com colegas ou deixarem os seus computadores ligados e registados na rede com as suas próprias credenciais. Infelizmente, este comportamento pode minar completamente uma das melhores armas que temos para proteger os sistemas: a análise de registos. Se os eventos registados nos registos não puderem ser atribuídos de maneira confiável a uma pessoa, vai ser muito difícil descobrir o que realmente aconteceu se ocorrer algum problema. A
7. Encripte tudo
Quando temos algo valioso, devemos protegê-lo quando não está em uso. A mesma coisa se passa com os dados; se tiver dados valiosos, eles deverão ser encriptados sempre que não estiverem a ser utilizados. Isto significa que quando armazenados, encriptação é a palavra de ordem. Quando forem enviados pela rede, também. Isto minimiza a capacidade dos criminosos deitarem a mão a informações importantes, mesmo que consigam romper algumas defesas.
8. Backup, backup, backup
As cópias de segurança dos seus dados e sistemas são a melhor linha de defesa contra cibercriminosos. No caso de surgir alguma ameaça, como pedidos de resgate para voltar a ter acesso a todas as informações, poderá dar uma resposta aos criminosos. Embora o backup para a cloud seja uma boa opção, deverá existir também e em todas as ocasiões uma cópia de segurança local.
9. Faça limpezas sazonais
Quando os funcionários deixam a escola e os alunos partem para outra instituição, não se esqueça das credenciais que ficaram activas no sistema informático. Em muitos casos, isto significa terminar o seu acesso aos sistemas escolares. O uso de credenciais que já deveriam ter sido revogadas é uma das formas mais utilizadas para o abuso de sistemas. Especialmente no caso de professores, funcionários ou alunos que partem de forma abrupta e não em boas condições, terminar todo o seu acesso à rede – de imediato – é uma obrigação.
