Como as instituições de ensino podem evitar ataques cibernéticos?

O ensino à distância teve um grande salto durante a pandemia, o que acelerou a transformação digital nas instituições tradicionais e acelerou o crescimento e a multiplicação das startups de educação, as edtechs. De acordo com dados da pesquisa TIC Educação 2020, 82% das escolas brasileiras possuem acesso à internet. E, claro, os criminosos também estão de olho nessa expansão, já que o setor representa uma grande superfície de ataque ainda bastante vulnerável.

• Plataformas de ensino a distância teriam coletado dados de alunos no Brasil
• Ciberataques contra setor de educação mais do que dobraram desde 2021

Como a pandemia acelerou a expansão da educação online, muitas instituições e organizações ainda não estão completamente preparadas para proteger ativamente dados confidenciais, como nomes, endereços e detalhes de pagamento de alunos e funcionários. Essa é uma das razões pelas quais muitos cibercriminosos têm mirado esse setor.

A empresa de segurança ESET enumerou algumas das ameaças mais recorrentes nos últimos meses, a começar pelos cibercriminosos. Os bandidos costumam enviar e-mails aparentemente legítimos, mas que, na verdade, são iscas de phishing para tentar fazer com que um funcionário da escola clique em um link malicioso. A partir daí, os agentes obtêm acesso a diferentes tipos de dados pessoais.

Com essas informações, os golpistas podem roubar contas bancárias, cometer fraudes ou até mesmo vender os dados. Outro risco são os ataques de ransomware, em que os cibercriminosos sequestram conteúdo confidencial de alunos ou da própria instituição.

Outra ameaça detectada com frequência pela ESET foi a atividade dos próprios alunos tentando violar os sistemas da escola. Isso muitas vezes ocorre apenas por diversão, mas pode escalar para alteração de notas, consultas de provas e acesso indevido a informações de outras pessoas.

E os funcionários também podem representar uma ameaça, seja por imprudência ou distração com as credenciais de acesso ao sistema; e, embora menos frequentes, em casos deles quererem causar, deliberadamente, algum dano ou pânico, por motivos de vingança ou outros.

Como aumentar a proteção cibernética de instituições educacionais?

"Não é apenas dentro da escola que alunos e funcionários devem cumprir as regras de segurança online. Assim como usar o cinto de segurança é algo importante para a segurança no trânsito, a cibersegurança deve ser uma prioridade, principalmente considerando como os riscos cibernéticos estão presentes em nossas vidas", diz Camilo Gutiérrez Amaya, Chefe do Laboratório de Segurança da Computação da ESET.

Com isso em vista, a ESET enumerou cinco ações que podem aumentar consideravelmente a defesa das instituições de ensino contra ataques cibernéticos:

• Fazer um inventário do equipamento: quantos computadores a escola tem? Todos eles estão funcionando corretamente e possuem uma solução de segurança instalada? O sistema operacional está atualizado para a versão mais recente disponível? Listar todos os equipamentos um a um, incluindo detalhes sobre onde cada peça de software está instalada, quem pode acessá-lo e se ele precisa de inspeção adicional;
• Encontrar um especialista em TI dedicado: para entender se todos os dispositivos listados estão funcionando corretamente ou se precisam ser atualizados, dependendo do tamanho da escola, será preciso contar com uma equipe de TI. Somente profissionais especializados podem avaliar e manter corretamente equipamentos tecnológicos. A equipe de TI também será responsável por configurar credenciais de usuário com senhas fortes, implementar autenticação de dois fatores e acompanhar quem tem acesso a qual dispositivo. Eles também serão responsáveis pela implementação de uma política de uso fácil de entender para todos os funcionários e alunos da escola;
• Criar workshops de cibersegurança para treinar funcionários da escola: convidar especialistas na área para fazer apresentações, solicitar apoio das autoridades locais e explorar os recursos disponíveis online são uma boa opção para conscientizar a equipe para que, com o tempo, entendam a importância de não compartilhar computadores, manter a privacidade de senhas, não publicar imagens que identifiquem informações confidenciais e reconhecer as características básicas dos e-mails de phishing para golpes;
• Incentivar os funcionários a denunciarem possíveis ameaças: é importante conscientizar a todos os colaboradores que eles estão suscetíveis a ataques, pois é importante que denunciem eventuais incidentes para que a instituição possa tomar medidas oportunas para proteger tanto a pessoa afetada quanto a escola. Os cibercriminosos usam truques simples de engenharia social para enganar as pessoas, então todos são uma vítima em potencial;
• Introduzir a segurança cibernética no currículo escolar: mais do que apenas proteger a escola de uma ameaça em potencial, os professores devem ter conhecimento da segurança da computação para garantir que eles sejam capazes de transmitir esse conhecimento para seus alunos desde cedo. Mesmo que tenha uma aula sobre tecnologia da informação em que esses tópicos são ensinados em profundidade, considerando que os alunos usam laptops e dispositivos móveis na maioria das aulas, é importante que esse treinamento esteja presente para os alunos durante toda a jornada escolar.