高等教育、大流行病和加强风险框架的必要性

在评估和比较各行业的风险和控制时, 人们可以得出结论，高等教育是相对独特的. 除了捐资丰厚的私人机构, 大多数机构都在努力维持其澳门赌场官方下载足迹，并提供它们在COVID-19大流行之前提供的机会. 学习方法在很大程度上已经迁移到在线环境, 而去实体教室上课的愿望也明显减少了. 结果是, 有必要对某些高等教育机构重新进行监督和控制.

不幸的是, 恶意的网络攻击者明白，一些机构很难加强信息安全控制，以支持他们对在线教育日益增长的需求. 结果是, 黑客利用这方面的知识控制了许多学院和大学的网站. 网络攻击者将这些机构的网站作为人质，直到支付赎金. 而勒索软件攻击在其他行业并不罕见, 学院和大学已成为此类事件的主要目标. 令人惊讶的是, 与商业和专业服务等其他行业相比，教育是受恶意软件攻击影响最大的行业, 零售及消费品, 还有高科技.¹ 一项针对高等教育勒索软件活动的分析发现，自2019冠状病毒病大流行爆发以来，针对高校的勒索软件攻击增加了一倍多.² 在世界范围内, 2021年，64%的高等教育机构和56%的高等教育机构遭受了勒索软件攻击.³

这种变化的环境要求对风险进行更彻底的监督. 没有它, 可能会有越来越多的高等教育机构成为网络攻击的受害者，并被迫支付赎金. 当网络攻击者成功劫持某机构的网站并索要赎金时, 该机构的网站无法为学生提供服务, 教职员工. 这种负面影响可能会因其发生的时间而加剧. 例如, 如果一所大学或学院的网站在学期开始时无法访问, 教师将很难与学生建立联系. 那些可能对在线学习犹豫不决的学生可能会越来越气馁，从而放弃学习. 如果学期末发生了什么事, 特别是在期末考试周, 教师可能无法管理必要的考试，学生可能无法在预定的时间内获得文凭. 政府可能会找不到资金来支付赎金，以恢复该机构网络的功能. 从长远来看，如果发生这样的事件，声誉损失可能难以量化. 然而, 在已知的攻击发生后，该机构的在线注册人数可能会下降, 因为重建公众的信任需要时间.

重新思考高等教育的控制

在大学和学院继续为自己创造新的身份——在线或混合机构——的同时，在关注和资金方面存在着竞争的优先事项. 美国教育部正致力于缩小公平差距，帮助那些可能没有机会的学生，并指导其他学生. 关注如何通过帮助学生学习来为他们服务是至关重要的.

结果是, 在关注如何吸引和留住学生与保护机构免受恶意攻击之间，需要保持微妙的平衡. 高等教育的目标是指导和教育学生. 如果没有适当的预防和侦查信息安全控制，可能很难成功完成这一任务.

在关注如何吸引和留住学生与保护机构免受恶意攻击之间，需要保持微妙的平衡.

以下措施可帮助高等教育机构加强控制，减少网络遭到未经授权攻击的风险:

• 利用澳门赌场官方下载风险管理(ERM)框架模型，如赞助组织委员会(COSO)的澳门赌场官方下载风险管理与战略和绩效整合框架⁴ 或国际标准化组织(ISO)标准ISO 31000⁵ 确保董事会(BoD)或受托人了解学院或大学的主要风险领域，以及采取哪些控制措施来预防或发现风险. 虽然这些类型的框架在澳门赌场官方下载空间中很常见, 他们在高等教育中可能没有那么稳固. 因此，获得BoD对每月更新的支持非常重要. 定期更新提高了潜在风险的透明度，并可能导致额外的资源分配，以应对潜在的网络威胁等高风险领域.
• 因为大多数美国高等教育机构接受联邦财政援助, 根据美国《澳门赌场官方软件》(GLBA)，它们被视为金融机构。.⁶ 像这样, 管理委员会应该了解风险水平，以及采取哪些控制措施来保护机构并使其保持合规.
• 确认合理保护机构免受勒索软件攻击所需的工具和资源成本，并确认缓解技术的成本是否与机构的风险偏好相符.
• 确保采用基于风险的方法来评估供应商合同. 评估与每个供应商共享的数据. 确认供应商在机构数据泄露事件中的责任. 大多数学院和大学没有与其他行业相同类型的专门用于供应商管理的资源. 鉴于对供应商治理的资源支持有限, 必须对合同给予额外的关注，因为它们是保护机构的主要控制手段.
• 为所有应用程序启用安全断言标记语言(SAML)或单点登录. 专注于利基市场支持的小型供应商可能缺乏更高级应用程序提供的强大技术支持. 没有适当的SAML或SSO, 授权用户可以在其工作职责之外登录到这些应用程序, 或者更糟, 终止后继续保持访问权限, 因为他们的登录凭证可能与他们的工作电子邮件没有关联.
• 确保提供网络安全保险. 保险澳门赌场官方下载在向高校发放网络保险政策时变得越来越谨慎. 这个市场的保费持续上涨. 然而，网络保险的设计部分是为了帮助减轻与敲诈勒索有关的财务风险.
• 实施年度培训，防止网络钓鱼计划得逞. 众所周知的网络钓鱼计划包括来自大学校长或教务长的电子邮件，要求个人立即采取行动. 虽然网络专业人士可能会觉得这很可疑, 对于那些只接受过很少或没有接受过网络培训的人来说，这似乎并不奇怪.
• 不像金融机构, 公立学院和大学通常对分享他们的具体问题持开放态度, 相互控制和风险因素. 虽然这对于利用最佳实践是有益的, 它还可能阻碍实施更好的解决方案或增强的控制. 如果一家机构觉得自己在降低风险，或者比其他机构有更强的控制能力, 它可能不会感到迫切需要纠正已知的控制弱点.
• 学院和大学往往有分散的供应商采购. 因此，多个部门可能会采购类似或竞争的供应商解决方案. 帮助减少供应商的风险并增强财务实力, 应该实现整合和审查供应商购买的流程，以避免冗余并利用现有许可.
• 强调文件化、更新和批准政策的重要性, 特别是在用户访问方面, 存档数据的可访问性, 在终止时删除用户并监控顾问的访问.
• 确保数据分类协议到位，并审查存储和传输机密或个人身份信息的方法.
• 如果可能的话, 只能使用学院或大学拥有的设备访问学校的网络和电子邮件.

类似于小澳门赌场官方下载, 高校资源有限，在加强网络控制方面必须做出艰难的预算决定. 金融服务业, 一些任务，如限制使用通用串行总线(USB)驱动器可以很容易地强制执行, 而这在高等教育中是不可能的. 因此，必须部署替代方法. 减少风险的一个主要方法是通过培训和加强良好的网络协议来提高认识. 这不仅有利于高等教育机构, 它还将帮助学生学习一项宝贵的技能:如何通过提高他们检测有害网络计划的能力来保护自己的数据安全.

尾注

¹ 朔尔茨,年代.; W. Hagen; C. Lee; “高等教育中勒索软件的威胁日益增加,” Educause2021年6月22日
² BlueVoyant, 高等教育中的网络安全20222021年2月
³ Pattison-Gordon J.; A. Adams; “K-12、高等教育如何应对勒索软件攻击?《澳门赌场官方软件》，2022年8月7日
⁴ 主办机构委员会(COSO) 澳门赌场官方下载风险管理:战略与绩效的整合2017年，美国
⁵ 国际标准化组织(ISO)/国际电工委员会(IEC), ISO/IEC 31000风险管理、瑞士
⁶ 联邦贸易委员会， 《澳门赌场官方下载》法案美国

凯瑟琳·马丁, CISA, CRISC

是布里斯托尔澳门赌场官方下载学院(美国马萨诸塞州福尔里弗)的风险合规官. 在高等教育工作之前, 她担任审计员, 花旗街等澳门赌场官方下载的内部控制和澳门赌场官方下载风险管理领导者, 摩根大通和桑坦德银行.