Todos queremos oferecer a melhor educação possível para nossos filhos. No entanto, até os planos mais bem estruturados podem ser comprometidos diante de um adversário ágil, persistente e estratégico. Agentes patrocinados por Estados-nação e cibercriminosos estão entre as maiores ameaças atuais para escolas, faculdades e universidades. De acordo com a Microsoft, o setor educacional foi o terceiro mais visado por ataques cibernéticos no segundo trimestre de 2024.

A equipe de pesquisa da ESET identificou grupos APT sofisticados direcionando ataques a instituições de educação ao redor do mundo. Entre abril e setembro de 2024, o setor educacional figurou entre os três mais visados por grupos alinhados à China, entre os dois principais alvos da Coreia do Norte e entre os seis mais atacados por agentes associados ao Irã e à Rússia.

Instituições acadêmicas reúnem características específicas que as tornam particularmente atraentes para cibercriminosos. A boa notícia é que a adoção de boas práticas universais de segurança digital segue sendo uma defesa eficaz contra riscos cibernéticos.

Isso também se reflete no Brasil, onde, segundo informações do Threat Intelligence Report da Check Point Software, o setor da educação enfrentou uma média de 1.540 ataques semanais nos últimos seis meses, ocupando a oitava posição entre os setores mais atacados no país.

Por que os cibercriminosos atacam escolas e faculdades?

No Reino Unido, 71% das escolas secundárias (equivalente ao ensino médio no Brasil) e quase todas as universidades (97%) relataram ter identificado um grave vazamento de dados ou ataque de segurança no último ano, em comparação com apenas metade (50%) das empresas, de acordo com dados do governo. Nos Estados Unidos, os dados mais recentes do K12 Security Information Exchange (SIX) indicam que, entre 2016 e 2022, o país registrou mais de um incidente cibernético por dia letivo.

Então, por que as instituições de ensino são alvos tão populares?

É uma combinação de redes vulneráveis, grandes números de usuários, dados altamente monetizáveis e conhecimentos limitados em segurança digital, além de orçamentos reduzidos. Vamos analisar esses pontos com mais detalhes:

  • Orçamento e conhecimento limitados: O setor educacional simplesmente não consegue competir com empresas privadas que possuem orçamentos robustos quando se trata de atrair talentos especializados em cibersegurança. A pressão orçamentária também significa que as instituições muitas vezes não têm recursos suficientes para investir em ferramentas de segurança adequadas. Isso pode resultar em lacunas perigosas nas coberturas e nas capacidades de defesa. No entanto, essas restrições financeiras tornam ainda mais crucial a mitigação dos riscos cibernéticos. Um relatório aponta que os ataques de ransomware em escolas e universidades dos EUA desde 2018 custaram US$ 2,5 bilhões apenas em tempo de inatividade.
  • Dispositivos pessoais: De acordo com a Microsoft, o modelo BYOD (Bring Your Own Device - Traga Seu Próprio Dispositivo) é comum nas escolas dos EUA. Nas universidades, é esperado que os estudantes forneçam seus próprios laptops e dispositivos móveis. Se esses dispositivos forem autorizados a se conectar às redes escolares sem as verificações de segurança adequadas, eles podem, inadvertidamente, fornecer aos cibercriminosos uma brecha para acessar dados e sistemas sensíveis.
  • Usuários suscetíveis: Os seres humanos continuam sendo um dos maiores desafios para as equipes de cibersegurança. E o grande número de funcionários e estudantes no ambiente educacional torna as instituições um alvo popular para ataques de phishing. O treinamento de conscientização é essencial, mas, no Reino Unido, por exemplo, apenas 5% das universidades tornam esse treinamento obrigatório para os alunos.
  • Uma cultura de transparência: Escolas, faculdades e universidades operam de forma muito diferente das empresas tradicionais. A cultura de compartilhamento de informações e a abertura para colaborações externas, características essenciais do ambiente acadêmico, também ampliam a superfície de ataque, oferecendo brechas para que cibercriminosos se aproveitem. Embora controles mais rígidos, especialmente nas comunicações por e-mail, sejam recomendáveis, sua aplicação é desafiadora em um ecossistema tão conectado, que envolve ex-alunos, doadores, ONGs, fornecedores e outros parceiros externos.
  • Uma superfície de ataque ampla: A cadeia de fornecimento educacional é apenas uma das facetas de uma superfície de ataque cibernético crescente, que se expandiu nos últimos anos com o advento da aprendizagem virtual e do trabalho remoto. De servidores em nuvem a dispositivos móveis pessoais, redes domésticas e um grande número de funcionários e estudantes fluidos, há muitos alvos para os cibercriminosos. Isso se torna ainda mais desafiador considerando que muitas instituições de ensino operam com software e hardware legados, que podem estar desatualizados e sem suporte.
  • PII e propriedade intelectual: Escolas e universidades lidam com grandes volumes de informações pessoais sensíveis (PII) de funcionários e estudantes, incluindo dados de saúde e financeiros, o que as torna alvos interessantes para cibercriminosos motivados financeiramente, como operadores de ransomware e fraudadores. Mas os riscos vão além. A pesquisa acadêmica de alto valor conduzida por muitas instituições também desperta o interesse de agentes estatais, atraindo a atenção de ciberespiões a serviço de Estados-nação. O diretor-geral do MI5 alertou os reitores das principais universidades do Reino Unido sobre isso em abril de 2024.

A ameaça é real

Essas não são ameaças teóricas. O K12 SIX catalogou 1.331 incidentes cibernéticos divulgados publicamente que afetaram distritos escolares dos EUA desde 2016. E a agência de segurança da UE, ENISA, documentou mais de 300 incidentes impactando o setor entre julho de 2023 e junho de 2024. Muitos outros incidentes passarão despercebidos. As universidades estão sendo constantemente invadidas por atacantes de ransomware, muitas vezes com efeitos devastadores.

Táticas, técnicas e procedimentos típicos enfrentados pelo setor de educação

As táticas, técnicas e procedimentos (TTPs) empregados contra instituições educacionais variam conforme os objetivos dos atacantes e a natureza da ameaça. Em ataques patrocinados por Estados-nação, por exemplo, é comum observar uma alta sofisticação. O grupo Ballistic Bobcat, alinhado ao Irã (também conhecido como APT35 ou Mint Sandstorm), foi monitorado pela ESET em tentativas de contornar soluções de segurança, incluindo EDRs, por meio da injeção de código malicioso em processos legítimos e da utilização de múltiplos módulos para evitar detecção.

No Reino Unido, o ransomware é apontado pelas universidades como a principal ameaça cibernética ao setor, seguido por engenharia social/phishing e pela exploração de vulnerabilidades não corrigidas. Já nos EUA, um relatório do Departamento de Segurança Interna (DHS) destaca que "os distritos escolares K-12 têm sido alvos quase constantes de ataques de ransomware, em razão das limitações orçamentárias dos sistemas de TI, da falta de recursos dedicados e do êxito dos cibercriminosos em extorquir pagamentos de instituições que operam com calendários e prazos rígidos."

O cenário se agrava com o crescimento da superfície de ataque, impulsionado pelo uso de dispositivos pessoais, infraestrutura legada, elevado número de usuários e redes amplamente acessíveis. A Microsoft chegou a alertar sobre o aumento de ataques baseados em QR codes, empregados para viabilizar campanhas de phishing e disseminação de malware por meio de códigos maliciosos em e-mails, folhetos, passes de estacionamento, formulários de auxílio financeiro e outras comunicações oficiais.

Como escolas e universidades podem mitigar os riscos cibernéticos?

Embora existam motivos específicos que levem os cibercriminosos a mirar instituições de educação, as técnicas utilizadas são, em grande parte, conhecidas e amplamente empregadas. Isso significa que as boas práticas de segurança continuam sendo válidas. É essencial focar nas pessoas, nos processos e na tecnologia, com algumas recomendações como:

  • Exija o uso de senhas fortes e exclusivas, complementadas por autenticação multifator (MFA), para proteger o acesso às contas institucionais.
  • Implemente práticas essenciais de ciber-higiene, como a aplicação rápida de patches de segurança, realização de backups regulares e adoção de criptografia para dados sensíveis.
  • Desenvolva e teste periodicamente um plano robusto de resposta a incidentes, garantindo agilidade e eficácia na mitigação de possíveis violações.
  • Promova a conscientização entre funcionários, estudantes e administradores sobre as melhores práticas de segurança, incluindo o reconhecimento de e-mails de phishing e outras ameaças comuns.
  • Estabeleça uma política clara de uso aceitável e BYOD (Bring Your Own Device), detalhando as medidas de segurança exigidas para dispositivos pessoais conectados à rede institucional.
  • Busque parceria com um fornecedor confiável de soluções de cibersegurança, capaz de proteger endpoints, dados sensíveis e propriedade intelectual.
  • Considere a adoção de serviços de Detecção e Resposta Gerenciada (MDR) para monitoramento contínuo de atividades suspeitas, permitindo a identificação e contenção de ameaças antes que causem impactos significativos.

Educadores ao redor do mundo já enfrentam uma série de desafios, desde a escassez de profissionais até restrições orçamentárias. No entanto, ignorar as ameaças cibernéticas não as eliminará. Se não forem adequadamente controladas, os vazamentos de dados podem resultar em perdas financeiras significativas e prejuízos à reputação — o que pode ser um grande problema principalmente para instituições de ensino superior. Em um cenário cada vez mais digital, a segurança da informação deve ser tratada como uma prioridade estratégica para garantir a continuidade e a qualidade do ensino. A responsabilidade é de todos e todas.

Leia mais: 5 passos para proteger instituições escolares de ciberataques