Kadang-kadang sepertinya tantangan masalah keamanan kampus yang dihadapi kampus di seluruh dunia tidak pernah berakhir.
Para mahasiswa dan yang lainnya berbagi informasi pengguna. Pengunjung kampus memasukkan stik USB ke dalam mesin jaringan. Peretas menemukan jalan masuk ke dalam jaringan internal melalui informasi yang dibuang secara sembarangan dari layar yang terbuka atau dari stasiun kerja yang terinfeksi.
Berikut ini enam hal yang membuat petugas keamanan kampus terjaga di malam hari, dan tantangan besar yang harus diatasi oleh sekolah untuk membuat diri mereka lebih tahan terhadap ancaman dunia maya.
Baca Juga : 10 Langkah Keamanan Sekolah Terbaik untuk Meningkatkan Keamanan Lokasi
Salah satu tantangan terbesar dalam masalah keamanan kampus adalah banyaknya peretasan yang terjadi di lingkungan ini. Sekolah harus berurusan dengan campuran unik dari tingkat pengguna, termasuk siswa yang sering kali masih muda, dan relatif mudah percaya, dan bukan karyawan organisasi – jadi mereka kurang terkontrol.
Sebagai contoh, penelitian menunjukkan bahwa 90% serangan malware berasal dari email. Berbagai jenis kampanye spoofing dan spear-phishing membujuk para siswa dan orang lain untuk mengklik tautan tidak sah yang dapat membawa Trojan Horse untuk merusak sistem jaringan, atau membahayakan keamanan informasi. Banyak dari jenis phishing ini berbiaya tinggi – yang menyebabkan membanjirnya aktivitas peretas yang harus terus diawasi oleh sekolah, dengan cara mensegmentasi sistem jaringan, mematikan bagian sistem yang membahayakan, atau dengan cara teknologi tinggi lainnya.
Dengan mengingat hal ini, keamanan yang lebih baik sering kali dimulai dengan mengidentifikasi kelompok pengguna yang terpisah – misalnya, staf administrasi versus staf pengajar dan siswa, dan kemudian menyesuaikan kontrol dan akses untuk masing-masing kelompok ini secara individual.
Tantangan sumber daya dan pendanaan yang terbatas untuk keamanan siber universitas secara umum sudah cukup jelas. Jenis pemantauan jaringan dan rekayasa keamanan siber di atas memiliki biaya yang signifikan, dan banyak universitas yang kesulitan mengalokasikan tenaga kerja atau dana untuk mengatasi masalah keamanan kampus.
Bagian lain dari lingkungan keamanan siber yang menantang ini adalah bahwa sekolah dan universitas memiliki beban kepatuhan yang besar di bawah berbagai jenis peraturan yang berlaku.
Beberapa pemimpin kampus cenderung fokus pada hal-hal seperti NIST 800-171 dan penggunaan informasi yang tidak diklasifikasikan yang terkendali, hanya karena ada tenggat waktu untuk jenis kepatuhan khusus ini sekarang. Namun, peraturan seperti FERPA juga sangat penting. Bahkan HIPAA memberikan tekanan pada sekolah untuk memperketat keamanan siber, karena sebagai penyedia layanan kesehatan, sekolah dapat menyimpan data kesehatan siswa. Penyedia cloud pihak ketiga sering kali menawarkan sertifikasi FEDRAMP dan kualifikasi lain untuk keamanan siber di sisi mereka – tetapi itu tidak sepenuhnya membuat universitas patuh kecuali jika mereka dapat membuat sistem internalnya memenuhi standar.
Universitas dan perguruan tinggi juga harus mengantisipasi situasi di mana peretas dapat mengeksploitasi kerentanan sistem yang ada. Mereka harus melihat dukungan berkelanjutan untuk sistem operasi dan teknologi lainnya.
Ada harapan yang masuk akal bahwa produsen akan menyediakan keamanan yang memadai, tetapi ini tidak membebaskan universitas dari keharusan mencari celah keamanan dan menutupnya. Ini berarti mengevaluasi arsitektur – misalnya, dapatkah peretas mendapatkan nama host, alamat IP, dan informasi lain dari perangkat seperti printer?
Ini juga berarti menggunakan autentikasi multi-faktor untuk mengontrol aktivitas pengguna. Ini berarti memahami bagaimana malware akan memasuki sistem, dan mengantisipasi serangan. Kabar baiknya adalah bahwa alat keamanan modern sudah melampaui batas jaringan untuk mencari aktivitas berbahaya jika diatur dengan benar dan dikontrol serta diamati dengan baik, alat ini bisa mengurangi risiko secara dramatis.
Inti dari banyak upaya keamanan siber ini adalah perjuangan yang berat untuk melindungi semua jenis informasi yang dapat diidentifikasi secara pribadi, mulai dari pengenal siswa yang sederhana hingga data keuangan dan data medis, dari nilai hingga nomor Jaminan Sosial dan barang-barang yang mungkin digunakan oleh pencuri identitas. Peraturan yang disebutkan di atas adalah bagian dari upaya untuk mengamankan jenis data ini, bersama dengan standar yang lebih umum dan praktik terbaik untuk perusahaan. Sederhananya, pelanggaran data membutuhkan biaya, baik dalam pengendalian kerusakan, maupun reputasi sekolah itu sendiri.
Dalam beberapa hal, kewaspadaan data yang sedang berlangsung ini sulit bagi sekolah, karena dunia akademis belum tentu memiliki kontrol yang ketat terhadap informasi. Namun, hal ini juga sulit dalam arti praktis, karena begitu banyak arsitektur keamanan siber yang tidak dapat menangani tantangan modern, seperti infiltrasi WannaCry atau serangan lain yang mengeksploitasi kerentanan umum. Banyak sekolah yang memiliki hingga selusin atau lebih perangkat keamanan, tetapi banyak dari perangkat ini tidak saling berkomunikasi atau berbagi data dengan baik, sehingga menjadi kurang efektif sebagai kekuatan perlindungan yang komprehensif.
Ada beberapa hal yang dapat dilakukan sekolah untuk melindungi PII – salah satu tekniknya adalah membatasi penyimpanan dan akses pengguna – misalnya, membatasi kemampuan siswa untuk memindahkan informasi yang sangat banyak ke cloud, atau menavigasi area jaringan internal yang sensitif secara bebas.
Strategi lain adalah menggunakan alat pemantauan internal untuk memeriksa lalu lintas jaringan untuk aktivitas yang mencurigakan.
Sebagai contoh, mengintip header dan footer dari paket data dapat menunjukkan asal usul transfer data, kecuali jika ada spoofing atau jenis penipuan yang canggih. Beberapa sekolah akan melangkah lebih jauh dan mendekripsi penuh paket data untuk melihat apa yang ada di dalamnya. Namun, praktik ini dapat melibatkan filosofi privasi, di mana sekolah-sekolah berhati-hati dalam menggali lalu lintas jaringan karena mereka melihat pemantauan mereka terlalu mengganggu siswa atau pengguna lain. Selain itu, standar privasi Eropa yang baru muncul dapat memberikan tekanan pada sekolah-sekolah di AS untuk membatasi aktivitas dekripsi dan observasi.
Cara lain bagi sekolah untuk meningkatkan keamanan kampus adalah dengan melakukan jenis kampanye kesadaran pengguna yang bersemangat.
Ini dimulai dengan mengedukasi pengguna tentang bagaimana malware masuk ke dalam sebuah sistem – meminta mereka untuk tidak mengklik email yang mencurigakan atau menggunakan tautan masuk, tetapi selalu melakukan perbankan online dan melakukan transaksi lain melalui situs web yang aman.
Baca Juga : Layanan Keamanan Universitas & Sekolah
Sekolah juga dapat mengedukasi tentang jenis data yang kemungkinan besar menjadi target aktivitas peretasan – data penelitian, nilai siswa, informasi kesehatan, atau kumpulan data sensitif lainnya yang sangat ingin didapatkan oleh peretas.
Di sisi lain, sekolah juga harus bekerja untuk meningkatkan postur keamanan internal mereka – mencari tahu bagaimana mereka akan merespons serangan, dan bagaimana mereka akan melindungi sistem dari segala sesuatu mulai dari phishing hingga ransomware.
[…] Baca Juga : Pengelola Kampus, Waspada! 6 Risiko Keamanan Ini Bisa Mengguncang Institusi Anda! […]
Your email address will not be published. Required fields are marked (*)