Más a menudo de lo que se piensa, los alumnos hacen bromas y atacan los sistemas escolares. Pero, independientemente de si se trata de alumnos o delincuentes, las escuelas necesitan conceptos de seguridad. Las herramientas para ello son la gestión de los accesos y la concienciación en materia de seguridad.
Un joven de 14 años cometió supuestamente un ataque de denegación de servicio a una plataforma de aprendizaje, como informó SWR en febrero. Con el ataque de hackers al sistema, había paralizado por completo la enseñanza a distancia de varias escuelas de Renania-Palatinado en enero. Los investigadores acusaron a los jóvenes de sabotaje. La fiscalía examinó qué "medidas educativas" eran apropiadas en este caso.
No es infrecuente que los estudiantes interrumpan sus propias clases a distancia. Esto se debe a que las videoconferencias y los chats de muchas plataformas de código abierto, como Jitsi o Big Blue Button, que a las escuelas les gusta utilizar, pero también en Microsoft Teams y Zoom, son de libre acceso en cuanto el nombre de la conferencia o un enlace de acceso telefónico está disponible.
"Desgraciadamente, esto ocurre una y otra vez", informa Patric Raiber, responsable del sector público de ACP. "Por experiencia, muchos ataques se dirigen a las cuentas de estudiantes experimentales, incluyendo el acceso no autorizado a datos o programas. A medida que los medios digitales se abren paso en las aulas, su disposición a experimentar aumentará sin duda en el futuro." Pero, ¿y si no son los propios alumnos los que invitan a sus amigos al chat para perturbar la educación en casa, sino que la conferencia es hackeada por un delincuente?
El cambio a corto plazo a los entornos virtuales de aprendizaje no ha hecho ningún bien a la seguridad informática. No sólo, pero especialmente Zoom ha ganado popularidad en los últimos años Corona y por lo tanto ha tenido que lidiar con muchos intrusos. Los medios de comunicación informaron con regularidad de que los hackers reproducían porno en las reuniones o las interrumpían de otro modo.
Se supone que las salas de espera, las contraseñas y el cifrado de extremo a extremo ofrecen un remedio, así como más oportunidades para que los moderadores intervengan. Pero los ataques de sobrecarga que provocan el colapso de las plataformas y los correos electrónicos de phishing que cifran los datos para pedir un rescate también se encuentran entre los métodos.
En los centros educativos se distingue entre la red administrativa y la red educativa. Este último proporciona la infraestructura para las plataformas mencionadas anteriormente. A menudo, las redes están mal aseguradas, como informa la Dra. Janina-Vanessa Schneider, Directora de Desarrollo Comercial de Mercados Verticales del distribuidor Also. Por eso, los atacantes pueden robar contraseñas aquí con los medios más sencillos.
El botín que los hackers pueden hacer en la red de administración, sin embargo, es mucho más explosivo. Porque la red de administración incluye los ordenadores de la dirección de la escuela y de la secretaría. Los empleados almacenan allí sus datos personales, certificados y evaluaciones. Según Schneider, la separación de las dos redes es por tanto absolutamente necesaria.
"Se ha dedicado muy poco tiempo a pensar en la seguridad o a ofrecer formación básica en ciberseguridad a todos los usuarios", afirma Martin Weiß, experto en seguridad pública de Sophos. "Esto ha vuelto a aumentar significativamente la vulnerabilidad del sector"
El experto denuncia infraestructuras anticuadas y soluciones de silo. En este contexto, tanto las escuelas como las empresas apuestan por la protección perimetral mediante cortafuegos, la seguridad de los puntos finales en los sistemas de clientes y servidores y la integración segura de los dispositivos móviles.
Raiber añade: "El acceso a la red debe estar controlado. Una contraseña compleja para el dominio de la escuela debería ser tan habitual como el uso de productos con altos estándares de seguridad. Sin embargo, desgraciadamente, todavía hay escuelas que permiten los dispositivos de los consumidores junto a los productos de la empresa, que a menudo son mucho menos seguros." Muestra claramente que las escuelas carecen de especificaciones claras y de normas de seguridad uniformes.
Con el DigitalPakt Schule, los gobiernos federal y estatal quieren promover principalmente la adquisición de hardware e infraestructura WLAN y hacer que las instituciones educativas sean más digitales.
Según Ingo Steuwer, Jefe de Gestión de Productos de Univention, sólo se prevé una pequeña parte de los fondos para la adquisición de software. Las redes escolares deben estar aseguradas con un software para la gestión de accesos.
Para ello, Univention ofrece una plataforma de código abierto con la que los centros educativos pueden gestionar sus TI así como todas las identidades. Gracias a la gestión centralizada de las identidades y su acceso, la reducción del número de cuentas utilizadas suele ir acompañada, según Steuwer. "Se reduce drásticamente el riesgo de hacer circular listas de contraseñas que se pierden con facilidad o, en caso de compromiso, de identificar los numerosos lugares en los que hay que bloquear una cuenta".
Si las escuelas quieren externalizar la gestión de sus TI, los MSP y las empresas de sistemas están a su disposición para asesorarles. "Ofrecemos servicios de seguridad gestionados", dice Raiber. "Esto significa que no sólo configuramos los componentes de la estrategia de seguridad, como el cortafuegos, el control de acceso a la red o la protección de los puntos finales, sino que también nos encargamos de su buen funcionamiento. Al supervisar también las soluciones implementadas, nos damos cuenta rápidamente de los procesos inusuales y, por lo tanto, podemos actuar con rapidez en caso de emergencia"
La voluntad de abordar la digitalización es claramente perceptible en las instituciones educativas. Los colegios y las autoridades escolares utilizan cada vez más los fondos del DigitalPakt.
No obstante, el concepto de seguridad debe considerarse de forma integral. No basta con adquirir soluciones de seguridad. Además del personal de la escuela, son sobre todo los alumnos los que deben estar sensibilizados con la seguridad informática. Todos los implicados deben tener en cuenta que los niños y los adolescentes no son los clásicos clientes finales. Las medidas de concienciación sobre la seguridad deben ser pedagógicas y fáciles de entender. "Según nuestra experiencia, el uso de herramientas de simulación de phishing ha demostrado ser especialmente útil, ya que introducen a los alumnos en el problema de una manera lúdica y siguen teniendo un gran efecto de aprendizaje", dice Weiß.
Para saciar la sed de experimentación de los niños sin causarles daño, la Escuela Hacker, por ejemplo, ofrece proyectos en los colegios con su programa "@yourschool", en el que se permite a los alumnos programar por sí mismos y se les introduce en las profesiones de la informática.