Тренінги з кібербезпеки для сфери освіти
Інтерактивні симуляції, узгоджені з FERPA, для шкільних округів K-12, закладів вищої освіти та EdTech-команд. Фішинг, ransomware, BEC, SMS-фішинг та поводження з даними учнів, узгоджені з FERPA, GLBA та законами штатів про конфіденційність учнів.
Автор Dmytro Koziatynskyi Перевірено
Чому школам потрібно більше за щорічну презентацію про FERPA
Освіта вже три роки поспіль є найбільш атакованим публічним сектором у США за програмами-вимагачами, поступаючись лише охороні здоровʼя. Карта кіберінцидентів K12 SIX фіксує сотні публічно розкритих випадків ransomware у школах K-12 з 2016 року, а EDUCAUSE відстежує аналогічний тиск на мережі вищих навчальних закладів. Більшість інцидентів починається з фішингового листа вчителю, IT-адміністратору або співробітнику з фінансової допомоги.
FERPA не описує вимогу до тренінгів дослівно, проте керівництво Міністерства освіти США та більшість акредитаційних органів очікують, що школи навчатимуть персонал захищати персональну інформацію зі студентських записів. Заклади вищої освіти, що працюють з федеральною фінансовою допомогою, підпадають під дію GLBA Safeguards Rule, який вимагає письмової програми інформаційної безпеки з документально оформленим навчанням персоналу. Закони штатів (SOPIPA у Каліфорнії, аналогічні закони про K-12 у понад 30 штатах) додають специфічні зобовʼязання.
RansomLeak пропонує тренінги, що відповідають очікуванням FERPA, GLBA Safeguards Rule, контролям NIST 800-171 для досліджень за федеральними грантами, COPPA для сервісів K-12, орієнтованих на дітей до 13 років, та законам штатів про конфіденційність учнів. Інтерактивні 3D-симуляції відпрацьовують реальні рішення, з якими стикається персонал шкіл: BEC з перенаправленням оплати за навчання, SMS-шахрайство з "безкоштовними підручниками", закріплення ransomware через поштову скриньку вчителя, спроба обходу MFA на порталі оцінок.
Загрози, специфічні для сфери освіти
Програми-вимагачі в шкільних округах K-12
K12 SIX фіксує інциденти з ransomware на рівні округу майже у кожному штаті. Більшість починається з фішингового листа, який відкриває вчитель або співробітник адміністрації. Тренінг, який відпрацьовує поведінку "повідомити перш ніж відкрити", окуповує вартість програми після одного запобігнутого інциденту.
Фішинг для отримання облікових даних SIS і порталів оцінок
Інформаційні системи студентів (PowerSchool, Infinite Campus, Banner, Workday Student) містять повні записи учнів та дані про оцінки. Зловмисники використовують фішинг проти викладачів і реєстраторів, щоб викрасти облікові дані. Персоналу потрібне розпізнавання шаблонів, специфічних для цих систем.
BEC для перенаправлення плати за навчання та фінансової допомоги
Бухгалтерські та фінансові служби закладів вищої освіти обробляють мільйони доларів плати за навчання, повернень та федеральної допомоги. BEC-зловмисники видають себе за студентів, які просять змінити рахунок для повернення коштів, або за постачальників, які змінюють інструкції щодо переказів. Фінансовому персоналу потрібна сценарна практика, а не загальні нагадування про антифішинг.
SMS-шахрайство, націлене на студентів та батьків
Підроблені пропозиції підручників, фейкові повідомлення про оплату навчання та фейкові стипендії надходять у вигляді SMS студентам та батькам. Команди обслуговування клієнтів та приймальні комісії потребують навичок верифікації та чіткого шляху ескалації, коли родини повідомляють про шахрайство.
Викрадення дослідницьких даних і обхід MFA
Дослідницькі університети, що зберігають дані за федеральними грантами, стикаються з розвідкою з боку держав-зловмисників та спробами викрадення облікових даних. Викладачі та аспіранти-дослідники потребують навчання щодо MFA fatigue, а не одноразового пояснення налаштування MFA.
Фреймворки відповідності, які охоплює ця сторінка
Відповідність регуляціям, що визначають більшість рішень про закупівлю в галузі сфери освіти.
FERPA
Family Educational Rights and Privacy Act захищає освітні записи учнів. Міністерство освіти та більшість акредитаційних органів очікують, що школи навчатимуть персонал з доступом до PII освітніх записів правилам конфіденційності, контролю доступу та розкриття інформації.
GLBA Safeguards Rule (вища освіта)
Заклади вищої освіти, що беруть участь у програмах федеральної фінансової допомоги студентам, є фінансовими установами за GLBA. Safeguards Rule згідно з 16 CFR § 314 вимагає письмової програми інформаційної безпеки з визначеними елементами навчання персоналу.
Закони штатів про конфіденційність учнів
SOPIPA (Каліфорнія), New York Education Law 2-d, Connecticut PA 16-189, Colorado HB 16-1423 та понад 30 аналогічних законів додають специфічні обовʼязки щодо навчання, контрактів та реагування на порушення поверх FERPA.
COPPA (K-12 для дітей до 13 років)
Школи, що діють як агенти батьківської згоди за COPPA, повинні навчати персонал, який налаштовує відносини з EdTech-постачальниками, оцінює політики конфіденційності та обробляє дані учнів до 13 років.
NIST 800-171 (дослідницькі дані)
Університети, що отримують федеральні дослідницькі гранти з контрольованою несекретною інформацією (CUI), дотримуються NIST 800-171, який вимагає тренінгу з обізнаності з безпеки для персоналу, що працює з CUI, згідно з контролем 3.2.
Підібрані вправи для галузі сфери освіти
Вибрано з каталогу 100+ вправ і пріоритезовано саме для цієї галузі.
Виявлення фішингових листів
Більшість інцидентів з ransomware та викраденням облікових даних в освіті починається з фішингу. Це найрезультативніша вправа для викладачів, персоналу та студентів-працівників.
Спробувати вправуРеагування на ransomware у першу годину
Проводить IT-персонал та керівників шкільних округів через рішення щодо стримування, шляхи звітування та правила, як уникнути неправильних дій під час активного інциденту в K-12 або кампусі.
Спробувати вправуКомпрометація ділової електронної пошти
Адаптовано для бухгалтерських служб, співробітників фінансової допомоги, AP-персоналу та ролей з управління постачальниками, де відбуваються перенаправлення плати за навчання та шахрайство з поверненнями.
Спробувати вправуSMS-фішинг (smishing)
Приймальні комісії, реєстратори та команди обслуговування клієнтів отримують повідомлення про підроблені SMS щодо підручників, навчання та стипендій, націлені на студентів і батьків. Будує чіткий шлях ескалації.
Спробувати вправуЗахист від соціальної інженерії
Ролі рецепції, консультування та IT-служби підтримки потребують сценарної практики для очного та телефонного претекстингу від фейкових батьків, студентів та аудиторів.
Спробувати вправуНалаштування MFA та опір атакам
Охоплює MFA fatigue, push-bombing та ризики SIM-swap. Важливо для дослідницьких викладачів, IT та будь-якої ролі з підвищеним доступом до SIS або дослідницьких даних.
Спробувати вправуЗагрози, які охоплює ця програма
Перейдіть до тематичного посібника для кожного типу атаки та до вправ, що тренують захист від нього.
Що таке тренінги з обізнаності з кібербезпеки для освіти?
Тренінги з обізнаності з кібербезпеки для освіти це структурована освітня програма, що готує вчителів та персонал K-12, викладачів вищої освіти, IT та IS команди, співробітників фінансової допомоги, реєстраторів та дослідницький персонал розпізнавати та повідомляти про кіберзагрози, націлені на школи. Вона задовольняє очікування FERPA щодо конфіденційності, GLBA Safeguards Rule для закладів вищої освіти з фінансовою допомогою, NIST 800-171 контроль обізнаності 3.2 для федеральних дослідницьких даних та закони штатів про конфіденційність учнів, включаючи SOPIPA, NY Ed Law 2-d та аналоги в понад 30 штатах.
На практиці ефективні тренінги для освіти розділяються між K-12 і вищою освітою, зберігаючи спільний основний контент. Шкільним округам K-12 потрібне реагування на ransomware, виявлення фішингу, повідомлення про SMS-фішинг та правила розкриття за FERPA. Вища освіта додає GLBA-специфічні сценарії для BEC з перенаправленням плати, шахрайства з фінансовою допомогою, обходу MFA для дослідницьких даних та поводження з COPPA. Дані K12 SIX про кіберінциденти показують випадки ransomware майже в кожному штаті, а EDUCAUSE підтверджує аналогічний тиск на університети.
RansomLeak проводить тренінги для освіти через інтерактивні 3D-симуляції, а не пасивні відео. Платформа задовольняє очікування FERPA, GLBA та законів штатів щодо тренінгів, експортує SCORM-пакети для будь-якої LMS для відстеження проходження та надає готові для аудиту пакети доказів для акредитаційних органів і аудиторів федеральної допомоги. Каталог охоплює всі шаблони загроз, задокументовані у звітах K12 SIX про інциденти та переліках проблем EDUCAUSE Higher Education IT.
Часті запитання
Що найчастіше запитують покупці у галузі сфери освіти.
Чи вимагає FERPA тренінгів з обізнаності з кібербезпеки?
Як це задовольняє GLBA Safeguards Rule для вищої освіти?
Як часто повинні проводитися тренінги FERPA або GLBA?
Хто в школі потребує цього тренінгу?
Чи можуть шкільні округи K-12 та університети використовувати одну й ту саму платформу?
Чи інтегрується платформа з нашою LMS?
Як виглядають аудиторські докази для акредитаційних органів?
Дотичні матеріали
Тренінги з обізнаності щодо програм-вимагачів для співробітників
Читати статтюПосібник з тренінгів симуляції фішингу
Читати статтюПосібник з тренінгів обізнаності з безпеки
Читати статтюНавчання з відповідності для регульованих галузей
Читати статтюБезкоштовні тренінги з обізнаності з безпеки
Читати статтюЗапустити цю програму у галузі сфери освіти
Запишіться на 30-хвилинну демонстрацію, адаптовану під ваш персонал, LMS та аудиторський графік.