Bezpieczeństwo polskich szkół w sieci zagrożone nie tylko w związku z pandemią. O 42 proc. wzrosła liczba cyberataków

Liczba ataków na placówki oświatowe przy użyciu szkodliwego oprogramowania wzrosła aż o 42 proc. – wynika z raportu CERT Polska działającego w strukturach NASK.

CERT między czerwcem a sierpniem br. sprawdził bezpieczeństwo stron polskich placówek oświatowych. Badanie objęło 22 tys. stron, stanowiących blisko 18 tys. unikalnych domen oraz 6,6 tys. unikalnych adresów IP. Większość z nich stanowiły szkoły podstawowe, przedszkola i licea.

Eksperci przeanalizowali kilka tysięcy incydentów bezpieczeństwa, przypadki zainfekowania urządzeń oraz ataki przy użyciu szkodliwego oprogramowania. Wzrost aktywności cyberprzestępców nie jest tylko skutkiem pandemii, bo już w ub.r. – według CERT Polska – wzrost liczby incydentów wobec 2018 r. wyniósł 73 proc.

Najnowsze wyniki z okresu po wiosennym lockdownie są jednak bardzo niepokojące: aż 94 proc. stron szkół nie posiadało poprawnie skonfigurowanych mechanizmów bezpieczeństwa, pozwalających na ochronę przed podszywaniem się pod adresy e-mail w ich domenach. Tylko 44 proc. stron miało poprawnie skonfigurowany certyfikat TLS służący do szyfrowania połączenia. Co najmniej jeden poważny błąd odnaleziono na ponad 4,8 tys. stron, czyli występował na ponad 20 proc. sprawdzanych witryn.

Atakujący wykorzystując te błędy mogli przechwycić dane z serwerów, włamać się do infrastruktury szkoły albo zamieszczać na stronach swoje treści. CERT Polska ostrzega, że w czasie pandemii cyberprzestępcy szukają luk w systemach bezpieczeństwa serwisów gromadzących dane osobowe klientów lub pacjentów.

Badanie poza konkretnymi przykładami obecności błędów pozwoliło określić obszary, w których administratorzy stron (nie tylko placówek oświatowych) najczęściej popełniają błędy. Na tej podstawie Zespół CERT Polska, w podsumowaniu badania, przygotował zestaw zaleceń, z którego może skorzystać każdy administrujący stroną w Internecie.

Badanie bezpieczeństwa stron internetowych placówek oświatowych zostało wykonane w ramach obowiązków zespołu CSIRT NASK, wynikających z ustawy o Krajowym Systemie Cyberbezpieczeństwa i częściowo sfinansowane z dotacji podmiotowej z części budżetu państwa, której dysponentem jest minister właściwy do spraw informatyzacji.

(JK, GN)

Uwaga na fałszywego Librusa. Tak oszuści wyłudzają dane nauczycieli i uczniów

Polskie szkoły i uczelnie atakowane nawet 950 razy w tygodniu przez hakerów