學校正在成為黑客的首選目標

再加上公開信息的大門，例如姓名、電子郵件地址和學校內主要聯系人（校長/財務長/管理員等）的其他個人身份信息。它使構建有針對性的魚叉式網絡釣魚攻擊或類似攻擊變得非常容易。將所有這些與員工和領導團隊普遍缺乏安全意識、用于數據安全系統的預算有限聯系起來，黑客們“興高采烈”的原因顯而易見。

在分配預算時，很明顯，可用資金的很大一部分（有時超過 90%）用于支付員工工資，學校面臨的所有其他費用幾乎沒有。因此，不難理解學校內的某些服務是如何從優先鏈中滑落的，數據安全就是其中之一。

從數據泄露或勒索軟件攻擊中恢復的成本可能高達數十萬英鎊，遠遠超過部署數據保護措施的成本。因此，部署完善的網絡安全系統至關重要。

在考慮任何數據安全解決方案時，始終存在的問題是從哪里開始以及深入到什么程度。例如，封閉網絡是否是阻止“壞東西”進入的方法，即使這樣做會使獲得協作訪問權變得更加困難？或者，PC 的筆記本電腦、服務器等端點是否應該受到保護，以便阻止任何“討厭的東西”并且不允許傳播？當然，這兩種策略都是合理的，但更好的方法是采用混合安全策略，以不同于非關鍵區域和用戶的方式保護關鍵區域和用戶。

學校環境的開放性似乎已融入 IT 基礎設施

任何安全審查都應首先對哪些數據是關鍵或有價值的數據進行分類，然后評估誰以及哪些需要訪問該數據。一個例子是數據備份。并非所有數據都至關重要，如果因勒索軟件攻擊而丟失，從頭開始比花錢購買不可變存儲或系統清理以刪除勒索軟件更便宜，順便說一句，永遠不應該支付贖金！因此，在這種情況下，將備份定義為“關鍵”的數據、確定存儲大小范圍并部署適當的安全措施以進行保護。

學校安全性不足的另一個領域是引入新應用程序時。很少對它們的數據保護或網絡連接進行評估。這不僅是糟糕的數據安全性，而且違反了 GDPR，因為引入的任何新應用程序都應該完成數據保護影響評估 (DPIA)。DPIA 應識別任何敏感數據、存儲位置和存儲者，以及是否有足夠的控制來阻止未經授權的用戶。

學校環境的開放性質似乎已融入 IT 基礎設施。通常，學生網絡與教學網絡是分離的，有時甚至行政網絡與教學網絡是分離的。這都是很好的職責分離，也是良好數據保護的關鍵因素。

但是，學校和學院通常不會采取額外的步驟來管理權限訪問控制以保護系統管理員帳戶。通常，他們也不使用雙因素身份驗證來改進密碼或日志管理，提醒關鍵員工任何可疑活動。當學校使用基于云的服務時，這些幾乎總是被忽視，因為人們認為云將處理所有這些服務，但事實并非如此。

“...學校和大學通常不會采取額外措施來管理權限訪問控制以保護系統管理員帳戶”

當我們查看內部部署系統時，雖然服務器上的驅動器訪問可能是分離的，但 PC 和其他設備通常沒有管理員配置文件，讓設備對任何用戶開放以添加應用程序。或者，管理密碼在所有設備上都是相同的，并且為所有人所知，甚至是外部支持公司。這使得設備容易受到多次攻擊，并且在調查違規行為時很難確定罪魁禍首。

這種情況相當于基礎設施管理不力。通常，在學校 IT 部門意識到風險之前的幾年里，這種情況已經發展，不受控制。因此，做出改變以克服歷史弱點變得困難，并作為一項任務被推遲。

今天的問題不是“我們會被黑客入侵嗎？” 而是“什么時候？”。學校領導需要確保任何新的應用程序或數據存儲適合用途，具有必要的控制措施來保護數據和學校免受因合規性失敗而導致的罰款以及從違規中恢復所產生的成本。

避免任何形式的數據安全事件不可避免地帶來的不良宣傳也很重要，緊隨其后的是來自父母和照顧者的主題訪問請求 (SAR)，他們想知道在丟失之前保存了哪些數據。

教育工作者必須了解數據泄露的風險，發現可能的攻擊，并確保全面采用“點擊前思考”協議。