דרכים לשיפור האבטחה של למידה מרחוק עבור תלמידים, אנשי הוראה וצוותי IT
מאת
סוזן סט. קלייר, 19.10.20, 15:03
בשנה מיוחדת ומאתגרת של לימודים מקוונים, כדאי וחשוב לתעדף את האבטחה לאור השימוש בטכנולוגיות חדשות. איך עושים את זה?
ב"כיתה המודרנית" של היום, תלמידים, מורים, וגננות, כמו גם סטודנטים ומרצים, כולם מתחילים להתרגל למודל הלמידה המקוונת - מלא או היברידי.
השינוי הווירטואלי הזה, שגרמה הקורונה, מביא אתו אתגרים ייחודיים רבים, ואחד החשובים הוא הצורך לוודא, שאבטחת הלמידה המקוונת תהיה אופטימלית, במיוחד לאור השימוש בטכנולוגיות חדשות.
מוסדות החינוך וההוראה בישראל ובעולם אימצו טכנולוגיות שונות ללמידה מרחוק, החל מכלים שיתופיים של שיחות וידאו ועד לאפליקציות חינוכיות ולימודיות במובייל. אך בד"כ, השיקולים בהטמעת פתרונות אלה מבוססים ברובם על נוחות ונגישות, כאשר אבטחת הלמידה המקוונת נופלת בין הכיסאות.
חמורה מכך היא העובדה, שפושעי הסייבר המתוחכמים של היום מודעים היטב להזדמנות, שפותחת להם למידה מקוונת, ומכוונים את ההתקפות בהתאם.
לדוגמא, בארה"ב בתי הספר של מחוז בטקסס ספגו
מתקפת סייבר כבר ביום הראשון ללימודים המקוונים. מתקפה זו שיבשה את שרתי המחוז וגרמה לתלמידים ולמורים לעבור לאמצעים לא מקוונים. בהתחשב בנוף האיומים המורכב והמתפתח של ימינו, זה, כנראה, לא יהיה המקרה היחיד של תוקפים זדוניים המנצלים חולשות אבטחה במערכות לימוד ותוכנות מקוונות.
לאור המציאות החדשה והמורכבת של מערכת החינוך, להלן כמה צעדים מומלצים עבור תלמידים, אנשי הוראה וצוותי
IT, שיסייעו בחיזוק אבטחת הלמידה המקוונת.
התחילו במספר צעדים פשוטים
לפני שאתם צוללים לחומר הלימוד ודאו, שאמצעי אבטחה בסיסיים מותקנים במכשירים השונים המשמשים אתכם ללמידה, כולל בכל התוכנות והיישומים.
בתור התחלה, מוצע לשקול שימוש ב-
VPN (רשת וירטואלית פרטית), שיכול לשפר את האבטחה של מכשיר המשמש ללמידה המקוונת. היתרון העיקרי של
VPN, שהוא יכול להפוך כל מערכת למחשב אנונימי, שקשה יותר לעקוב אחריו תוך הצפנת המידע הזורם אליו וממנו. כתוצאה מכך, המשתמשים יכולים להיות בטוחים, שהמידע מאובטח כאשר הם משתפים אותו בין תלמידים וסטודנטים, צוותי הוראה וצוותים מסייעים, ללא קשר למיקום שלהם.
מסקר, שנערך לאחרונה, עולה, שכתוצאה מהקורונה 44% מהצרכנים נאלצו להשתמש בתוכנות חדשות לשיחות וידאו כמו זום ו-
Microsoft Teams ו-19% השתמשו באפליקציות חדשות ללמידה מקוונת, כמו
Google Classroom.
לפני שמורידים תוכנה כזו, קחו רגע לקרוא את הסכם הרישיון למשתמש הקצה (
EULA). כיצד ספק התוכנה יאסוף, ישתמש ויאחסן מידע ונתונים המוזנים לאפליקציה? האם זה ברור מהרשיון? אם לא, כדאי לפנות שוב לבית הספר ולהסביר מדוע לא יהיה בטוח, שכולם ישתמשו בתוכנה זו.
בנוסף, חשוב לבצע את כל עדכוני התוכנה. קל לדלג עליהם כי לפעמים הם לוקחים כמה דקות, אבל התעלמות מהם פותחת דלת לפושעי סייבר המקבלים גישה למידע הודות לפערי אבטחה קיימים. עם זאת, שימו לב, שאתם לא מורידים בטעות עדכוני תוכנה, שמקורם באתרים זדוניים. אם מתעורר אצלכם ספק, פתחו את התוכנות עצמן ופעלו לפי ההוראות של ספק התוכנה.
הגבירו ערנות לגבי ספקי תוכנה ופלטפורמות חדשות
תלמידים וצוותי הוראה משתמשים השנה יותר מאי פעם בכלי תקשורת אלקטרוניים, וכך נפתח בפני פושעי סייבר מרחב תקיפה גדול יותר, שאותו הם יכולים לנצל. לכן, חשוב, שרשויות החינוך המקומיות וצוותי ה-
IT שלהן יבצעו בדיקת נאותות בכל הנוגע לאימות ספקי התוכנה החדשים איתם הם עובדים ופלטפורמות חדשות, שהם מאמצים השנה.
המלצות ושאלות שכדאי לשאול:
בצעו ביקורת על ההסמכה של הספק (
Audit vendor certifications): האם הספק מוסמך עם תקנים כמו
ISO-27001, SOC 2 או
SOC 3? אישורי צד שלישי אלה זוכים להערכה רבה בתעשיית הטכנולוגיה, וחיפוש מקוון מהיר אחר היסטוריית ההסמכה של הספק אמור להניב את התוצאות הדרושות לבדיקה ראשונית.
בדקו האם הספק מבצע בדיקות אבטחה לאפליקציה? חשוב לשאול את הספק אם הוא מבצע בדיקות אבטחה סדירות ליישומים (
AST) כמו מבדקי חדירה, או בדיקות אבטחת תוכנה סטטית (
SAST) כחלק ממדיניות שחרור המוצר שלו? האם הספק ישתף את הדו"ח והממצאים עם אנשי ה-
IT של המוסד הלימודי, כדי שיפיצו אותו למורים ואנשי ההוראה, כך, שכולם יהיו מודעים לבעיות אבטחה פוטנציאליות בזמן אמת?
בחנו את מדיניות הספק בנושא אירועי אבטחת מידע: בסופו של דבר, חשוב להתכונן לתרחיש הגרוע מכל - אירוע אבטחה. בעולם המחובר והדיגיטלי של ימינו, זה רק עניין של זמן עד שכל ארגון או מוסד לימודי ייפול קורבן להתקפה. אז אם אכן קורה משהו, מה הצעדים שיינקטו? מהי מדיניות אירוע האבטחה של הספק? מתי ואיך יקבלו בתי הספר הודעה אם תהיה פריצה למידע? מהי אסטרטגיית מזעור הנזק של הספק? כל אלה, ורבות אחרות, הן שאלות שצריך לענות עליהן לפני שאירוע כזה אכן מתרחש.
ככלל, כאשר בוחרים פלטפורמה ללימוד מקוון חשוב לתעדף את רמת האבטחה שלה, שחשובה לא פחות משיקולים של עלויות, זמינות או נוחות השימוש.
דרשו מדיניות ברורה והשתלמויות סדירות
אם רשות מקומית או מוסד לימודי לא העבירו לתלמידים ולצוותי ההוראה נהלי עבודה מומלצים בנוגע לאבטחה, זה הזמן לפעול. דרשו שקיפות ונגישות למדיניות הכוללת נהלי אבטחה מומלצים עבור למידה מקוונת - ואז הדפיסו את המסמך וגם שלחו אותו וירטואלית, כך, שניתן יהיה להתייחס אליו במהלך הלימודים. במקרה של תוכנות וטכנולוגיות חדשות, שהוטמעו, נסחו רשימה נפרדת של נהלי עבודה מומלצים, שלא רק מסבירים כיצד להתחיל להשתמש בפלטפורמות, אלא גם כיצד לעשות זאת בצורה מאובטחת.
בנוסף, על מערכת החינוך לקיים השתלמויות אבטחת מידע קבועות, מרמת המנהל ועד המורה העובד במשרה חלקית. בהשתלמויות אלו יוסבר כיצד לתקשר באופן מאובטח, איך לזהות הודעות ספאם זדוניות ועוד. הדרכות והכשרות הן לא פעילות של 'זבנג וגמרנו'; יש לעשות זאת באופן קבוע לאורך כל השנה בהתחשב במצב הנוכחי הייחודי.
יש לבצע גם מבדקי חדירה בתוכנות חדשות וישנות כאחת, כדי לזהות פערי אבטחה פוטנציאליים ולתקן את הבעיות לפני שהאקרים יוכלו לגרום נזק.
שנת הלימודים הזו היא ייחודית ומאתגרת, אך באמצעות מספר צעדים יזומים, דריכות מוגברת ופרוטוקולים להתנהלות בטוחה, נוכל כולנו לייצר סביבת למידה מקוונת ובטוחה יותר.
מאת:
סוזן סט. קלייר, אוקטובר 2020.
חברת
צ'קמרקס