点击阅读英文原文
网络犯罪分子对大学发动代价高昂的攻击已经从头条新闻变得稀疏平常。
举几个最近的例子来说,今年6月,加利福尼亚大学旧金山分校(University of California, San Francisco)向勒索软件团伙支付了114万美元(约784万人民币),以重新获得对其大学数据的访问。
在接下来的一个月中,为大学提供云服务的布莱克伯特科技公司(Blackbaud)遭受攻击,导致一系列英国大学的信息遭窃,包括校友捐赠的具体细节。
国际审计事务所德勤(Deloitte)高等教育风险和财务咨询服务的负责人马克·福特(Mark Ford)说,这种攻击“绝对会继续下去”。他解释说,随着高等教育成为“轻松的目标”,这“对坏人的吸引力”越来越高。
威胁不仅来自寻求利润的罪犯。如今,可以说大学蕴藏了地球上最有价值的秘密——新冠病毒疫苗的计划——这使它们成为由国家支持的黑客的目标。 7月,来自英国、美国和加拿大情报部门的警告称,俄罗斯黑客组织正试图瞄准新冠疫苗研发的资料。
这就提出了一个问题:大学是否做足自我保护准备,以防御黑客攻击?
要将大学的防御能力与其他类型组织进行比较是很棘手的。可以理解,那些被攻击的组织都倾向于息事宁人。此外,不同行业的网络安全需求也各异。
尽管如此,有迹象表明一些大学在这方面的预算可能不足。
根据美国高等教育信息化协会(Educause)的最新数据,美国高等教育机构对信息安全的预算投入仅占其整体信息技术预算的3.6%。
那么, 大学在网络安全上投入多少钱是正常的?这个估计值相差很大,但3.6%显然是最低水平。
一项最近的预计、技术公司IDG于今年早些时候针对首席信息官的调查显示,各机构平均将其IT预算的16%用于信息安全。
同时,今年7月在英国发布的机构调查发现,有5所大学没有合格的网络安全雇员。
伦敦网络安全公司Redscan的威胁情报负责人乔治·格拉斯(George Glass)说,这是“最令人担忧的”。
福特先生表示,现在高等教育机构的网络安全水平,仅相当于美国医疗机构10年前的水平。当时,只有在被反复窃取患者数据以及政府加强监管后,医疗机构才开始认真对待网络安全。他认为,对现阶段的大学而言,网络安全和IT整体工作“并未被视为其运营的重要组成部分”。
如果大学本身特别容易被保护,可能这个议题就没那么重要了。
但是,行业专家警告称,大学那种开放的、去中心化的特性使其特别容易遭受网络犯罪的威胁。
此前就职于美国高等教育信息化协会为大学提升安全性的华帝技术咨询集团(Vantage Technology Consulting Group)副总裁乔安娜·格莱玛(Joanna Grama)说:“应该把高等教育机构想成一座城市”,它为教职工、学生和无数其他活动运行着多个系统。
她说:“一所大学必须保护的方面如此之多。”相比之下,其他类型的机构通常明确地知道自己“皇冠上的珠宝”在哪里。
格莱玛女士补充说,企业还可以更多地采取“自上而下的方法”,要求员工采取安全措施和参加培训。对大学来说,强制性要求学生做同样的事情则更为困难。
福特先生指出,研究项目的拨款通常由项目负责人(Principal Investigators)管理。 “对一所大学而言,这很难控制。” 他说:“他们(项目负责人)不想将这笔钱花在网络上。他们想将其用于研究。”
安全网络的一个关键是确保定期更新软件以消除安全漏洞。 Redscan产品营销总监西蒙·莫纳汉(Simon Monahan)说,这对大学来说尤其困难,因为这些机构拥有数百种不同的设备(例如实验室),它们都与网络相连并在自己的软件上运行。
此外,由新冠疫情大流行引发的、向远程学习的转变,意味着成千上万的学生现在正在使用自己的个人计算机从不同位置访问大学的网络。
格拉斯先生说,这使得要发现“恶意”活动更加困难。他警告称,尽管很早以前身在校园外的学生就已能够登录其大学系统,但大规模的在线教学意味着“监视网络边缘的异常连接要困难得多”。
怀疑论者可能会认为,热衷于谈论网络攻击威胁的公司可能是对为自身创造业务感兴趣,但莫纳汉先生强调称,尽管其公司确实有为大学进行安全测试的外包业务,但这无法替代大学建立训练有素的内部团队来迅速应对威胁。
格莱玛女士则指出,大学比起商业组织仍有一个优势。
大学倾向于合作,它们可以通过像美国高等教育信息化协会和英国大学和学院信息系统协会(Ucisa)等组织分享想法。而在另一边,由于一流的自我保护是一项关键商业优势,诸如银行之类的商业机构只会严密保护各自的网络安全秘密。
格莱玛女士说,合作是“高等教育正在努力的事项之一”。
david.matthews@timeshighereducation.com
本文由Liu Jing为泰晤士高等教育翻译。
后记
Print headline: Get your shields up now!
