学校正在成为黑客的首选目标

再加上公开信息的大门，例如姓名、电子邮件地址和学校内主要联系人（校长/财务长/管理员等）的其他个人身份信息。它使构建有针对性的鱼叉式网络钓鱼攻击或类似攻击变得非常容易。将所有这些与员工和领导团队普遍缺乏安全意识、用于数据安全系统的预算有限联系起来，黑客们“兴高采烈”的原因显而易见。

在分配预算时，很明显，可用资金的很大一部分（有时超过 90%）用于支付员工工资，学校面临的所有其他费用几乎没有。因此，不难理解学校内的某些服务是如何从优先链中滑落的，数据安全就是其中之一。

从数据泄露或勒索软件攻击中恢复的成本可能高达数十万英镑，远远超过部署数据保护措施的成本。因此，部署完善的网络安全系统至关重要。

在考虑任何数据安全解决方案时，始终存在的问题是从哪里开始以及深入到什么程度。例如，封闭网络是否是阻止“坏东西”进入的方法，即使这样做会使获得协作访问权变得更加困难？或者，PC 的笔记本电脑、服务器等端点是否应该受到保护，以便阻止任何“讨厌的东西”并且不允许传播？当然，这两种策略都是合理的，但更好的方法是采用混合安全策略，以不同于非关键区域和用户的方式保护关键区域和用户。

学校环境的开放性似乎已融入 IT 基础设施

任何安全审查都应首先对哪些数据是关键或有价值的数据进行分类，然后评估谁以及哪些需要访问该数据。一个例子是数据备份。并非所有数据都至关重要，如果因勒索软件攻击而丢失，从头开始比花钱购买不可变存储或系统清理以删除勒索软件更便宜，顺便说一句，永远不应该支付赎金！因此，在这种情况下，将备份定义为“关键”的数据、确定存储大小范围并部署适当的安全措施以进行保护。

学校安全性不足的另一个领域是引入新应用程序时。很少对它们的数据保护或网络连接进行评估。这不仅是糟糕的数据安全性，而且违反了 GDPR，因为引入的任何新应用程序都应该完成数据保护影响评估 (DPIA)。DPIA 应识别任何敏感数据、存储位置和存储者，以及是否有足够的控制来阻止未经授权的用户。

学校环境的开放性质似乎已融入 IT 基础设施。通常，学生网络与教学网络是分离的，有时甚至行政网络与教学网络是分离的。这都是很好的职责分离，也是良好数据保护的关键因素。

但是，学校和学院通常不会采取额外的步骤来管理权限访问控制以保护系统管理员帐户。通常，他们也不使用双因素身份验证来改进密码或日志管理，提醒关键员工任何可疑活动。当学校使用基于云的服务时，这些几乎总是被忽视，因为人们认为云将处理所有这些服务，但事实并非如此。

“...学校和大学通常不会采取额外措施来管理权限访问控制以保护系统管理员帐户”

当我们查看内部部署系统时，虽然服务器上的驱动器访问可能是分离的，但 PC 和其他设备通常没有管理员配置文件，让设备对任何用户开放以添加应用程序。或者，管理密码在所有设备上都是相同的，并且为所有人所知，甚至是外部支持公司。这使得设备容易受到多次攻击，并且在调查违规行为时很难确定罪魁祸首。

这种情况相当于基础设施管理不力。通常，在学校 IT 部门意识到风险之前的几年里，这种情况已经发展，不受控制。因此，做出改变以克服历史弱点变得困难，并作为一项任务被推迟。

今天的问题不是“我们会被黑客入侵吗？” 而是“什么时候？”。学校领导需要确保任何新的应用程序或数据存储适合用途，具有必要的控制措施来保护数据和学校免受因合规性失败而导致的罚款以及从违规中恢复所产生的成本。

避免任何形式的数据安全事件不可避免地带来的不良宣传也很重要，紧随其后的是来自父母和照顾者的主题访问请求 (SAR)，他们想知道在丢失之前保存了哪些数据。

教育工作者必须了解数据泄露的风险，发现可能的攻击，并确保全面采用“点击前思考”协议。