يجب أن يكون الاختراق الأخير لـ Instructure/Canvas بمثابة دعوة للاستيقاظ لكل مدرسة وجامعة تعتمد على منصات خارجية لدعم التدريس والتعلم.
لم يعد سطح الهجوم التعليمي يقتصر على جدران الحماية بالمنطقة أو الأجهزة التي تصدرها المدرسة. ويمتد الآن عبر الخدمات السحابية وأنظمة الهوية والأنظمة الأساسية الأخرى التي تدعم التعليم اليومي. ويفرض هذا الواقع تحولاً في العقلية: إذ لا تزال الدفاعات التقليدية المحيطة ضرورية، لكنها لم تعد كافية.
المشهد الرقمي
ولفهم مدى إلحاح هذا الأمر، من المهم أن نأخذ في الاعتبار كيف أدى الزحف الرقمي في التعليم إلى تضخيم المخاطر الأمنية. تعتمد المناطق الآن على الآلاف من أدوات تكنولوجيا التعليم، وقد وجدت الدراسات أن 96 بالمائة من تطبيقات الروضة حتى الصف الثاني عشر تشارك البيانات الشخصية للأطفال مع أطراف ثالثة. يمكن أن يؤدي حل وسط بائع واحد إلى كشف ما هو أكثر بكثير من مجرد السجلات الثابتة. يمكنه الكشف عن العلاقات والاتصالات وتفاصيل الحساب التي يحتاجها المتسللون لإطلاق حملات تصيد وانتحال شخصية واستيلاء على الحساب بشكل مقنع.
وهذا ما يجعل الانتهاكات مثل حادثة التعليمات خطيرة للغاية. لا يقتصر الأمر على الكشف عن البيانات الحساسة فحسب، بل يمكن استخدام هذه المعلومات كسلاح من قبل جهات التهديد على الفور تقريبًا. يمكن دمج الأسماء وعناوين البريد الإلكتروني ومعرفات الطلاب وسجل الرسائل لإنشاء هجمات مقنعة للغاية ضد الطلاب والعائلات وغيرهم في مجتمع المدرسة.
في حين دفعت Instructure في نهاية المطاف فدية لضمان تدمير البيانات المخترقة، ليس هناك ما يضمن أنه سيتم حل الحوادث الأخرى بشكل إيجابي.
طبقة مخاطر الهوية
إن مشكلة إعادة استخدام كلمة المرور المنتشرة تجعل الوضع أسوأ. يستخدم أربعة وثمانون بالمائة من الأشخاص نفس الحساب لحسابات متعددة، ويعترف 8 بالمائة بالاستمرار في استخدام بيانات الاعتماد حتى بعد أن علموا أنها تعرضت للاختراق نتيجة للاختراق.
يتم تداول كلمات المرور المكشوفة أو إعادة بيعها في الأسواق الإجرامية. وهذا يجعل من السهل للغاية على المهاجمين ربط هذه القوائم بالتفاصيل الشخصية المخترقة والحصول على وصول غير مصرح به إلى البريد الإلكتروني وحسابات LMS وسجلات الطلاب والأنظمة المهمة الأخرى. في هذه البيئة، من السهل تصور كيف يمكن لاختراق أحد مزودي البرامج أن يتضخم بسرعة ليؤثر على آلاف المدارس والجامعات.
تأثير الدومينو
وبما أن المؤسسات تعتمد على المزيد من المنصات الخارجية، فإنها ترث أيضًا المزيد من التعرض للثغرات الأمنية لكل مزود. ولمعالجة هذه المشكلة، من الضروري أن تعطي المدارس الأولوية للأمن في عملية طلب تقديم العروض، مع إيلاء اهتمام خاص لإدارة البيانات وإدارة الهوية وممارسات المصادقة ومكان وكيفية تخزين المعلومات السرية.
ومن أفضل الممارسات الأخرى أن تقوم المؤسسات بتقليل كمية البيانات الحساسة التي تحتفظ بها وتشاركها قدر الإمكان. كلما قلت المعلومات المخزنة في الأنظمة المتصلة، قلّت الإمكانية المتاحة للجهات الفاعلة لاستخدام التهديد كسلاح في حالة حدوث انتهاك.
استراتيجية الطبقات
ولكن في نهاية المطاف، ينبغي للمؤسسات أن تعمل في ظل معرفة أن مستوى معين من التعرض أمر لا مفر منه. الهدف ليس منع كل حادث، بل تقليل الضرر عند حدوثه. وهذا يعني اعتماد عقلية افتراض الخرق وبناء دفاعات متعددة الطبقات باستراتيجيات مثل انعدام الثقة، وتجزئة الشبكة، وحماية أقوى لبيانات الاعتماد.
بالنسبة للمدارس والجامعات التي تعاني بالفعل من الميزانيات المحدودة وفرق تكنولوجيا المعلومات الهزيلة، قد يبدو ذلك أمرًا شاقًا. والخبر السار هو أن العديد من هذه القدرات يمكن تشغيلها آليا، مما يسمح للمؤسسات بتعزيز بيئاتها دون إضافة عمل يدوي كبير.
على سبيل المثال، يمكن لحلول فحص بيانات الاعتماد الحديثة التحقق من وجود اختراق عند إنشاء كلمات المرور وبشكل مستمر باستخدام أحدث المعلومات المتعلقة بالتهديدات. من خلال القضاء على استخدام بيانات الاعتماد المخترقة، يمكن للمدارس تقليل احتمالية تحويل عناوين البريد الإلكتروني المكشوفة أو المعلومات الشخصية الأخرى إلى اختراق للحساب. نظرًا لأن هذا الفحص يحدث تلقائيًا، فلا يوجد عمل إضافي لفريق تكنولوجيا المعلومات.
وبطبيعة الحال، يعد فحص أوراق الاعتماد مجرد جزء واحد من جهد أكبر بكثير لحماية الهويات والبيانات والوصول عبر النظام البيئي الرقمي الموزع للتعليم. وبينما تدرس المدارس كيفية القيام بذلك بفعالية، فإن تنفيذ استراتيجيات أخرى تعمل على تقليص نافذة الفرصة بعد التعرض للبيانات أمر ضروري.
حماية محيط التوسع
إن الدرس المستفاد من اختراق Canvas واضح: يتطلب أمن التعليم الحديث أكثر من مجرد جدران الحماية وحماية نقطة النهاية. لا تستطيع المدارس والجامعات منع كل خرق، لكن يمكنها التأكد من أن تأثيرها أقل ضررًا. ويبدأ ذلك بالاعتراف بأن المحيط قد تغير بالفعل، واعتماد نهج متعدد الطبقات يتضمن إشراف طرف ثالث، وتقليل البيانات، وإدارة مصادقة أقوى لحماية الهويات وبيانات الاعتماد التي يتوق المتسللون إلى استغلالها.
