Cyberbeveiliging door de overheid: Krachten komen samen om het Cyberveiligheidsprobleem van K-12 scholen op te lossen

Belangrijke punten:

• President Joe Biden heeft onlangs de K-12 Cybersecurity Act in wet ondertekend, nu cyberaanvallen op scholen een nieuw hoogtepunt bereiken.
• Biden's stap komt te midden van een vlaag van oproepen voor oplossingen, variërend van K-12 cyberveiligheidsnormen tot financiering voor cash-strapped scholen.
• Er is een basiskader voor cyberbeveiliging in opkomst waarmee scholen hun reactie kunnen plannen.

Zal 2022 het kantelpunt zijn voor cyberbeveiliging op Amerikaanse openbare scholen?

De afgelopen twee jaar heeft afstandsonderwijs het gebruik van technologie door K-12 scholen tot ongekende hoogten doen stijgen - zonder iets te doen aan hun chronische tekortkomingen bij de bescherming van apparatuur, systemen en gegevens. Geen wonder dat lokale nieuwszenders vol zaten met berichten over geannuleerde lessen , gestolen ID's van leerlingen, ransomware die werd geëist en andere verontrustende incidenten.

Nu digitaal leren niet meer weg te denken is, worden de krachten gebundeld om scholen en leerlingen beter te beschermen tegen voortdurende cyberaanvallen. Recente ontwikkelingen zijn onder meer:

• Wetgeving: Begin oktober heeft president Biden de K-12 Cybersecurity Act ondertekend als wet [1] om analyses, richtlijnen en hulpmiddelen te leveren. Sommigen zien dit als een stap in de richting van federaal opgelegde K-12 normen.
• Financiering: Belangengroepen en beleidsmakers hebben zich ingespannen om meer geld vrij te maken voor cyberbeveiliging voor K-12.
• Hulpmiddelen: De K12 Security Information Exchange (K12 SIX) - een non-profit lidmaatschapsorganisatie voor scholen om beveiligingswaarschuwingen, beste praktijken en andere informatie te delen - heeft onlangs een voor hun gebruiksgemak gestroomlijnd kader voor cyberbeveiliging uitgebracht. [2]

Wetgeving voor verandering in cyberbeveiliging in K-12

In april moet het Cybersecurity- en infrastructuurbeveiligingsagentschap volgens de K-12 Cybersecurity Act nieuwe richtsnoeren voor scholen uitvaardigen, gevolgd door de ontwikkeling van instrumenten om deze toe te passen. Hoewel de wet scholen niet verplicht tot actie over te gaan, suggereren sommige waarnemers in Washington dat zij zich moeten voorbereiden op het uiteindelijk opleggen van minimumnormen voor cyberbeveiliging voor K-12.

De regering-Biden, die geleidelijk minimum cybernormen heeft opgelegd in sectoren zoals energie en transport, noemde de nieuwe K-12 wet een deel van haar "whole-of-nation effort to tackle cyber threats". [3] Ondertussen moeten scholen voldoen aan de 40 jaar oude Family Educational Rights and Privacy Act (FERPA), voor het laatst bijgewerkt in 2002. Hoewel de wet geen beveiligingscontroles specificeert, stelt het ministerie van Onderwijs dat een cyberinbreuk kan leiden tot een schending van de FERPA en verlies van federale financiering. [4] Daarnaast zijn sommige staten ook bezig geweest met het bevorderen van K-12 privacy- en cyberbeveiligingsnormen. [5]

Belangengroepen en wetgevers zeggen dat er meer nodig is - en roepen de overheid op cybersecurity middelen toe te wijzen aan K-12. In een door zes leden van het Congres ondertekende brief wordt benadrukt dat "hoewel studies en beste praktijken onze nationale respons kunnen helpen onderbouwen ... het Congres moet handelen door echte middelen op tafel te leggen". [6] In een studie in opdracht van Mimecast, Osterman Research is Osterman Research het er ook mee eens dat "aangezien de onderwijssector chronisch te weinig middelen krijgt voor cyberbeveiliging, de verandering op hoog niveau die nodig is, meer financiering is."

In een verzoekschrift aan de Federal Communications Commission wordt voorgesteld cyberbeveiligingsbepalingen toe te voegen aan het e-rate programma van het agentschap, dat breedbandtoegang voor de meeste K-12 scholen helpt te betalen. [7]

De Cyberaanval op Openbare Scholen

Openbare scholen meldden vorig jaar meer dan twee cyberincidenten per schooldag, resulterend in schoolsluitingen, miljoenen aan gestolen belastinggeld, identiteitsdiefstal van leerlingen en gerelateerde kredietfraude, volgens The State of K-12 Cybersecurity: Year in Review. [8] De K-12 Cyber Incident Map hieronder illustreert de omvang van het probleem.

Bron: Bezoek K-12 Cybersecurity Resource Center voor interactieve kaart.

K-12 scholen vallen om verschillende redenen ten prooi:

• Geprijsde gegevens: Socialezekerheidsnummers voor K-12 behoren tot de meest waardevolle op het dark web. Deze gestolen identiteiten kunnen door criminelen worden gebruikt zonder dat er alarmsignalen afgaan - soms jarenlang - omdat leerlingen onder de 18 jaar doorgaans niet door kredietinformatiebureaus worden gecontroleerd. De State of K-12 Cybersecurity schat dat inbreuken bij schooldistricten en hun leveranciers tussen 2016 en 2020 de persoonlijke gegevens van tientallen miljoenen K-12 leerlingen zullen blootleggen.
• Makkelijke doelwitten: De budgetten en het personeel van openbare scholen zijn meestal krap, waardoor scholen een veel gemakkelijker doelwit zijn dan, laten we zeggen, een Fortune 500-bedrijf. Techneuten die schoolprojectoren instellen en problemen met doorgaans verouderde netwerken oplossen, kunnen zich ook bezighouden met cyberbeveiliging. Minder dan een kwart van de schooldistricten heeft een fulltime medewerker die zich bezighoudt met netwerkbeveiliging. [9]
• Landing en uitbreiding: Aanvallers krijgen soms toegang tot bredere cyberbeveiligingsnetwerken van de overheid via zwakke punten in schoolsystemen.
• Studentenhacks: Scholen vechten tegen cyberaanvallen door criminele bendes aan de ene kant en tieners aan de andere kant, waarbij sommige leerlingen proberen cijfers te veranderen, "dingen kapot te maken" of te laten zien wat ze kunnen. Onlangs kreeg de 14-jarige "WhiteHoodHacker" de controle over projectoren en belroosters in een schooldistrict in Illinois, waarbij hij een gesynchroniseerde grap uithaalde. [10]
• Cloud- en leveranciersrisico's: Scholen die overstappen op cloudnetwerken, beveiligen hun kant van de overeenkomst niet altijd. Bovendien kan één enkele aanval op een leverancier van ed-tech in de cloud gevolgen hebben voor meerdere schooldistricten. Bij één incident werd door een inbreuk op een leerbeoordelingsplatform tegelijkertijd in 135 schooldistricten persoonlijk identificeerbare informatie van leerlingen blootgelegd. [11]
• Druk van ouders: Schoolbeheerders moeten de school gaande houden of zich tegenover ouders verantwoorden - een gevoel van urgentie dat criminele bendes uitbuiten wanneer ze schoolsystemen lamleggen voor losgeld. Bovendien heeft een recente studie aangetoond dat een grote meerderheid van de ouders van K-12 scholen betalingen voor ransomware steunen om de gegevens van hun kinderen veilig te stellen. [12]

Hulpmiddelen voor scholen

K12 SIX - dat deel uitmaakt van de grotere Global Resilience Federation van zo'n 7.000 organisaties over de hele wereld - heeft onlangs een belangrijke nieuwe aanvulling uitgebracht op de toolkits voor cyberbeveiliging van scholen: De K12 SIX Essential Cybersecurity Protections beschrijft een dozijn basismaatregelen. Het nieuwe kader distilleert best practices en staats- en federale richtlijnen, zoals het National Institute for Standards and Technology 's cybersecurity framework. [13] De maatregelen zijn onderverdeeld in vier categorieën:

• Saneren van netwerkverkeer naar/van het internet.
• Beveilig de apparatuur van studenten, docenten en personeel.
• Bescherm de identiteit van studenten, docenten en personeel.
• Voer regelmatig onderhoud uit.

"Er bestaan al veel behoorlijk uitgewerkte raamwerken voor risicobeheer op het gebied van cyberbeveiliging, maar die zijn overkookt voor de capaciteit van schooldistricten, voor hun behoeften, voor de hoeveelheid geld en middelen die ze tot hun beschikking hebben," aldus K12 SIX National Director Doug Levin. [14]

En volgens Kit Huynh, senior sales engineering manager bij Mimecast, "zitten IT-directeuren op scholen er tot over hun oren in, maar zien we dat groepen als K12 SIX een eenvoudige manier schetsen om meer grip op de situatie te krijgen". Bedrijven zoals Mimecast maken ook oplossingen op maat die de basisprincipes van cyberbeveiliging voor K-12 dekken , zoals e-mailbeveiliging, webbeveiliging, gegevensarchivering, opleiding van leerkrachten en integratie in het hele scala van IT- en beveiligingstools.

De kern van de zaak

Iedereen, van ouders tot president Biden, vraagt om oplossingen voor de aanhoudende golf van cyberaanvallen tegen openbare scholen in Amerika. De K-12 Cybersecurity Act, die onlangs is ondertekend, vestigt de aandacht op de meest dringende behoeften van scholen en hoe die kunnen worden vervuld.

[1] " K-12 Cybersecurity Act of 2021 ," U.S. Government Publishing Office

[2] " K12 SIX Essential Cybersecurity Protections: Schooljaar 2021-2022 ," K12 SIX

[3] " Verklaring van president Joe Biden over de ondertekening van de K-12 Cybersecurity Act Into Law ," Witte Huis

[4] " Gegevensbeveiliging: K-12 en hoger onderwijs ," U.S. Department of Education

[5] " Student Data Privacy Council Report ," Maryland State Department of Education

[6] Brief van het Congres van 27 september 2021 , U.S. Congress

[7] " Modernisering van het E-rate programma voor scholen en bibliotheken ," Consortium for School Networking et al

[8] " The State of K-12 Cybersecurity: 2020 Year in Review ," K-12 Cybersecurity Resource Center

[9] " EdTech Leadership Survey Report 2021 ," COSN

[10] " Tiener hackt computersysteem van school, Rickrolls hele schooldistrict ," The Byte

[11] " Recente inbreuken op gegevens over K-12 tonen aan dat leerlingen kwetsbaar zijn voor schade ," U.S. Government Accounting Office

[12] " Ambtenaren vertellen scholen niet te betalen voor Ransomware-eisen. Ouders zijn het er niet mee eens, blijkt uit onderzoek ," EdScoop

[13] " Gids voor het NIST Cybersecurity Framework: A K-12 Perspective ," K-12 Cybersecurity Resource Center

[14] " Overheid werkt aan aanbevelingen ," K12 SIX