"RYUK et les attaquants qui l'utilisent actuellement, leur mission est d'abord de déployer les logiciels malveillants, de pénétrer dans votre système, puis de chasser vos systèmes de sauvegarde et d'essayer de les désactiver", a déclaré Sandt. «La surveillance et la gestion de vos systèmes de sauvegarde et les tests pour vous assurer qu'ils sont efficaces deviennent critiques.»
Pourquoi les écoles sont des cibles de ransomware – Monter un serveur MineCraft
Les pirates avaient l'habitude de concentrer leurs attaques contre les ransomwares principalement sur le prélèvement d'argent dans les poches profondes des entreprises, mais ils ont récemment ciblé les écoles et les municipalités.
"Pourquoi est-ce si? Eh bien, vous possédez une énorme quantité de données personnelles – dates de naissance, numéros de sécurité sociale, dépôt direct, informations bancaires, informations de carte de crédit – tout ce que vous avez non seulement sur vos employés, mais sur vos étudiants et leurs parents ", a déclaré Rob Haws, associé au cabinet d'avocats Gust Rosenfeld PLC, spécialisé dans le droit de l'éducation et le travail et l'emploi.
Les écoles conservent ces données pendant une longue période, leur équipement informatique et leurs opérateurs ne sont pas toujours à la pointe de la technologie et ils «ont des contraintes budgétaires qui imposent des limites à la correction de l'une ou l'autre de ces préoccupations», et c'est «pourquoi les écoles deviennent de plus en plus une cible dans ce domaine », a déclaré Haws lors d'une session en petits groupes lors de la conférence sur le droit de l'Arizona School Boards Association à Phoenix le jeudi 5 septembre 2019.
Sommaire
Vidéo tournée par Brooke Razo / AZEdNews et éditée par Angelica Miranda / AZEdNews: que doivent faire les écoles si elles sont victimes d'une cyberattaque
Comment les pirates accèdent-ils à ces informations? Les écoles «ont plusieurs
points d'accès dont vous devez tenir compte au fur et à mesure que nous passons de plus en plus en ligne
que ce soit pour s’inscrire à des cours ou pour obtenir des notes ou des paiements », Haws
m'a dit. "Toutes ces options en ligne créent une commodité à coup sûr, mais créent également
les risques que de mauvaises personnes puissent accéder à ces informations. »
Mais Brad Sandt, fondateur et président de K12itc, une entreprise qui se concentre sur la gestion de la technologie pour les écoles, a déclaré que les districts scolaires et leurs services informatiques peuvent sensibiliser le personnel et mieux comprendre ce qu'il faut surveiller et ce qu'il faut surveiller.
«Nous avons des gens qui essaient de nous attaquer tous les jours», a déclaré Sandt lors de la conférence juridique. "Alors que nous continuons à ajouter des couches de sécurité supplémentaires, cela aura un impact sur les utilisateurs, mais chaque couche supplémentaire – chaque élément clé de sécurité – ajoutera une défense et une protection supplémentaires pour réduire les risques."
Comment les ransomwares ont affecté Flagstaff Unified School
District
Environ deux semaines après que le district scolaire unifié de Flagstaff a informé les parents, le personnel et les élèves qu'ils étaient affectés par la violation de données Pearson, le district a annulé les cours pendant deux jours pour examiner chaque école, personnel et appareil étudiant en réponse à «un événement de rançongiciel», a déclaré Zachery Fountain, directeur des communications pour le district qui dessert plus de 9 800 étudiants qu'il dessert dans le comté de Coconino.
Le ransomware est une forme de malware qui demande le paiement en
monnaie ou bitcoin avant que les pirates puissent envisager de restaurer partiellement ou
accès complet aux ordinateurs, appareils ou réseaux affectés et aux données chiffrées
ou des informations à leur sujet.
«Nous avons reçu des informations d'un district scolaire selon lesquelles un ou plusieurs de ses employés étaient ciblés via leur compte de messagerie électronique de district», a déclaré un bulletin du Bureau du vérificateur général de l'Arizona envoyé le 12 septembre 2019.
«Le malware ou ransomware spécifique utilisé dans la situation Flagstaff s'appelle RYUK. C'est similaire à beaucoup d'autres qui sont utilisés », a déclaré Haws, qui a noté que l'Arizona School Risk Retention Trust, Inc. utilise lui-même et Gust Rosenfeld lorsque quelque chose comme cela se produit.
Une fois qu'un e-mail de rançongiciel est ouvert et que les liens qu'il contient sont cliqués, «il reste en sommeil pendant un petit moment, tandis que les méchants font ce que font les méchants. Et puis, après un petit moment, la bombe explose et toutes vos données sont ensuite cryptées », a déclaré Haws.
"Vous perdez alors l'accès à tous vos e-mails, à tous vos
documents, à tous vos documents Excel, PowerPoint et Word – des choses comme ça –
sauf si vous payez une rançon en bitcoin aux méchants dans l'espoir qu'ils le feront
puis décryptez les données. C'est essentiellement la situation qui se produit
ici », a déclaré Haws.
La directrice de la technologie de Flagstaff Unified, Mary Knight, a déclaré que le district n'avait pas payé de rançon et n'envisagerait pas de le faire, dans une histoire d'Associated Press et ABC 15 Arizona.
Le Trust ne paiera pas de rançon, "cela ne fait pas partie de votre
couverture », a déclaré Haws.
"Une brèche insinue que quelqu'un est entré et a pris
des informations sur vos serveurs ou votre ordinateur. Cela ne s'est pas produit. nous
répondu trop rapidement pour que cela se produise », a déclaré Fountain dans une interview
avec AZEdNews.
Après que le district ait découvert l'attaque le mercredi sept.
4, 2019, ils ont coupé l'accès à Internet, enquêté sur l'incident et sur la
dommages possibles, cours annulés jeudi et vendredi scanné tout le personnel,
périphériques et étudiants et installé une nouvelle protection contre les logiciels malveillants.
«Nous avions du personnel de tout le district que nous avons mobilisé, et
nous avons touché chaque ordinateur portable et ordinateur de bureau Windows au cours de 72
heures », a déclaré Fountain.
Les élèves et les enseignants sont retournés à l'école le lundi 9 septembre
2019.
"La grande chose que je dirais, c'est que c'est la préparation sur le
frontal qui est important pour survivre à ces types d'événements », a déclaré Fountain.
"Nous sommes très chanceux que notre équipe informatique ait pris une
approche. Ils avaient un plan en place. Ils avaient des procédures, et ils étaient vraiment
capable de sécuriser les choses », a déclaré Fountain.
Que faire lors d'une cyberattaque
Les cyberattaques contre les écoles sont de plus en plus courantes et plus fréquentes, a déclaré Sandt, qui a occupé le poste de directeur informatique dans un district scolaire pendant environ 14 ans avant de fonder K12itc.
«Ce n'est pas une question de si, c'est une question de quand. La clé est de se préparer et de savoir quoi faire », a déclaré Sandt, dont l'entreprise travaille souvent avec les écoles lorsqu'il s'agit de ce type de menaces.
Histoire connexe:
Élèves de A à Z, écoles touchées par la violation de données Pearson
Si les écoles pensent qu’elles ont été victimes d’une cyberattaque, elles
doit débrancher le système affecté, le mettre hors ligne et le mettre hors tension pour
minimiser la propagation et les dommages, a déclaré Sandt.
Depuis le milieu des années 1980, le nombre de cyberattaques, le nombre de
les virus et leur complexité ont augmenté de façon exponentielle, mais les dépenses
organisations, y compris les écoles, sur les ressources pour mettre en œuvre une sécurité forte n'a pas suivi,
Dit Sandt.
Les districts scolaires ont besoin d'une approche en couches qui identifie et protège
des données et des systèmes sensibles, met en place des procédures et des politiques qui améliorent
sécurité et prendre des mesures pour restreindre l’accès des personnes à ce dont elles
faire leur travail, et un processus pour examiner si le système informatique a été attaqué ou
violé, a déclaré Sandt.
Les districts scolaires doivent également s'assurer que les antivirus,
les correctifs anti-malware et système sont mis à jour régulièrement, a déclaré Sandt. Les écoles demandent souvent de fermer les mises à jour ou les correctifs
chariots de machines pour étudiants Windows, disant que cela a un impact sur le processus éducatif,
mais "vous devez patcher ces systèmes, parce que ces fournisseurs font le dur
travailler pour vous assurer qu'ils vous protègent contre ces incidents », a déclaré Sandt.
Les districts scolaires devraient également envisager l'auto et les tiers
évaluation des risques, mise en place de solutions potentielles et test de ces solutions
souvent.
"Ce n'est pas comme si vous faisiez cela une fois, et tout d'un coup vous êtes
fixé. C'est quelque chose qui doit être un processus récurrent et commun pour pouvoir
pour se défendre contre l’évolution des menaces », a déclaré Sandt.
Les districts scolaires ont besoin d'un plan de réponse aux cyberattaques qui comprend: «Qui est impliqué? Connaissent-ils le processus? Et sont-ils prêts à agir quand quelque chose se passe? Parce que le temps compte, en particulier lorsque nous parlons d'isoler une attaque ou l'impact d'un tel événement », a déclaré Sandt.
Éduquer les enseignants, les autres membres du personnel du district et les élèves à l'utilisation
mots de passe uniques forts, ne pas cliquer sur les liens dans les e-mails de personnes inconnues
les expéditeurs et autres menaces sont également essentiels, a déclaré Sandt.
"Si je peux vous faire télécharger une pièce jointe à un e-mail avec un zip
fichier, vous obtenez de l'ouvrir et vous lancez
ce que vous venez de faire, c'est créer une porte dérobée dans votre réseau à travers
votre pare-feu et votre pare-feu ne font rien », a déclaré Sandt.
La récupération d'un ransomware ou d'un malware prend du temps, a expliqué Sandt.
"S'il s'agit d'une violation de logiciel malveillant, par exemple, Cryptolocker,
vous devez restaurer vos serveurs », a déclaré Sandt. "Vous pouvez avoir une sauvegarde pour vos serveurs,
mais la plupart des utilisateurs s’ils stockent quelque chose sur leur bureau, ces fichiers
ne sont pas sauvegardés. Si cet appareil est crypté, cela signifie maintenant que vous pouvez avoir
de toucher 1 000 appareils ou plus pour les sauvegarder et les mettre en ligne. »
"Bien que vos serveurs dotés de bonnes procédures de sauvegarde puissent
pour être en ligne dans les 12 à 24 heures, vous pouvez avoir encore deux semaines
de remettre tous les systèmes en ligne », a déclaré Sandt.
C’est pourquoi les sauvegardes sont
d'une importance cruciale, a déclaré Sandt.
Commentaires
Laisser un commentaire