最近の調査によると、英国の大学職員のほぼ半数がサイバーセキュリティの研修を受けていないと答えている。
最も憂慮すべきことは、侵入テスト会社Redscanの情報公開法に基づく質問に回答した86の大学のうち8パーセントが、過去12か月間に情報コミッショナー事務局に5件以上の侵害を報告したと答えたことだ。
さらに教育機関に対し、職員がどの程度のセキュリティ研修を受けたか開示するよう求めたところ、懸念すべき結果が続いた。職員の46%は全く研修を受けておらず、ラッセル・グループ傘下の大学では、情報セキュリティに関する研修を「何らかの」形で受けた職員はわずか12%だった。
Blackbaudハッキングの被害に遭った英国の大学は、学生たちにデータが盗まれたことを伝えたが、予想通りの展開だった。
続きを読む
「これほど多くの大学が教職員や学生にサイバーセキュリティ研修を実施しておらず、独立した侵入テストを委託していないという事実は憂慮すべきです」と、レッドスキャンの主任技術者マーク・ニコルズ氏は述べた。「これらはあらゆるセキュリティプログラムの基礎となる要素であり、データ侵害を防ぐための鍵となります。」
セキュリティ研修の普及不足を補っているのは、大学が雇用する専任の情報セキュリティ担当者の数で、平均3人という有資格者数でした。学生に何らかのサイバーセキュリティ研修を提供していると回答した大学の51%が、この3人という数字を裏付けています。
このニュースは、大学がBlackbaudのサプライチェーン攻撃からの復旧作業を続けている中で発表されました。この攻撃では、卒業生との交流や募金活動に利用されているクラウドベースのCRMシステムプロバイダーがランサムウェア攻撃を受けました。Blackbaudはその後、犯罪者に金銭を支払い、2か月後に顧客に通知しました。
「Blackbaud 社は、この [あなたのデータの] コピーはその後破棄されたと述べています」... まあ、彼らがそう言うならそうですが!
ニューカッスル大学、デ・モンフォート大学、ブルネル大学は、学生と卒業生に対し、データが犯罪者に引き渡されたことを新たに通知した。The Register紙が入手したメールの中で、デ・モンフォート大学は卒業生に対し、「Blackbaud社は、この(あなたのデータの)コピーが第三者に渡されたり悪用されたりする前に破棄されたと述べていますが、保証はできません」と警告した。
ニューカッスル大学は「現段階ではこの事件に関して直接的な行動は必要ない」と述べた。
GCHQなどの機関がサイバーセキュリティの脅威への警戒を呼びかけているにもかかわらず、大学は依然として手探りの状態で対応しているようだ。昨年、大学の合同情報システム委員会(JISC)は、実施したペネトレーションテストの結果、侵入率が100%だったと発表した。
「予算が逼迫しているこの時期であっても、機関はサイバーセキュリティチームが高度な攻撃者から身を守るために必要なサポートを確実に受けられるようにする必要があります。侵害は組織の評判と資金に深刻な影響を与える可能性があります」と、Redscanのニコルズ氏は結論付けました。®
