NOTÍCIA
Sequestro e bloqueio de dados se tornam recorrentes em escolas. Negligência com a segurança é uma das causas
Publicado em 02/05/2018
Por Erivelto Tadeu
O ano de 2017 foi marcado por uma onda de ataques cibernéticos em larga escala a instituições de ensino, tanto no Brasil quanto no exterior. Um dos casos que tiveram grande repercussão foi o do Centro Universitário Uninovafapi, atingido por um ataque de ransomware (sequestro e resgate de dados) que resultou no sequestro de cerca de 30 mil dados pessoais de alunos e professores. A instituição está entre as maiores da rede privada de Teresina (PI).
Um pouco antes, em junho, a University College London (UCL) já havia sido alvo de outro vírus de resgate que deixou estudantes e funcionários com seus arquivos bloqueados. Para piorar, o ataque fez com que os hospitais ligados ao University College London Hospitals Trust tivessem de desligar temporariamente seus servidores de correio eletrônico como medida preventiva.
Os dois casos evidenciam uma realidade preocupante: o setor de educação está hoje no topo da lista dos alvos de cibercriminosos. A frequência global de ataques de ransomware a instituições de ensino já é considerada maior do que o registrado em qualquer outra indústria, de acordo com relatório Segurança cibernética em educação, produzido pela Cisco com base em levantamentos internacionais.
O documento cita um estudo do Center for Digital Education, que revela que, somente no 1º trimestre de 2016, as instituições de ensino nos EUA desembolsaram US$ 209 milhões para o pagamento de resgates a hackers sequestradores. Dados preliminares do CDE estimam que as perdas globais com ataques de ransomware em 2017 devem ultrapassar a casa dos US$ 5 bilhões.
Os casos de crimes cibernéticos bem-sucedidos contra IES, colégios e até secretarias de Educação vão desde a fraude em notas de alunos, vazamento de informações pessoais de estudantes, professores e funcionários, até o bloqueio de computadores com a ameaça da destruição ou vazamento dos dados, caso o usuário não pague o resgate.
Para dar uma dimensão do prejuízo, no ataque sofrido pela Uninovafapi, o hacker solicitou o pagamento de 1,7 bitcoin (moeda virtual), que à época equivalia a cerca de R$ 25 mil, para desbloquear os arquivos criptografados dos computadores que continham os dados. Sem o pagamento, o hacker ameaçava vazar as informações na internet. A universidade não diz se pagou o resgate — procurada para falar sobre o caso, ela não se pronunciou até o encerramento da edição.
Entre as razões apontadas pelo relatório da Cisco para a área educacional ter se tornado o alvo preferencial de ciberataques nos últimos anos estão o baixo nível de maturidade em TI e, por consequência, em segurança da informação, e as características do mundo acadêmico.
“A própria natureza do setor acadêmico propicia o crescimento de vulnerabilidades”, afirma Ricardo Santos, gerente regional da América Latina para o setor de educação da Cisco Systems. Segundo ele, os processos e ambientes das IES foram projetados para incentivar e facilitar o acesso a informações e o intercâmbio de conhecimento. “E quanto mais aumenta o número de acessos, mais cresce o grau de vulnerabilidade”, diz.
Os riscos relacionados a essa concepção de livre acesso a informações são extremamente preocupantes, segundo Santos. Para explicar o porquê, ele traça um comparativo entre as IES e os bancos: “Os bancos, por exemplo, têm volumes de acessos muito grandes, portanto o potencial de sofrerem ataques cibernéticos é bastante elevado. A diferença é que a cultura das instituições financeiras é protecionista, cheia de regras de segurança, com portas, janelas e cadeados, etc. E o setor acadêmico ainda tem essa tradição”, salienta.
A massificação dos meios digitais é outro aspecto. Hoje, nas IES e mesmo nas escolas de educação básica, alunos, professores e funcionários administrativos geralmente têm à disposição um autêntico arsenal tecnológico, como redes Wi-Fi, internet, sistemas de CFTV ou CATV, redes de computadores, acesso ao Twitter, Facebook, entre outros. E grande parte deles costuma acessar as bases de dados da instituição, dentro e fora do campus, por meio de diferentes dispositivos.
“Isso tudo é um grande atrativo para cibercriminosos e serve, inclusive, de esconderijo para organizações criminosas”, alerta Rafael Narezzi, especialista em cibersegurança da empresa britânica 4CyberSec. “A maioria das cantinas das universidades hoje oferece acesso a rede Wi-Fi, e esse é um ponto de acesso muito fácil para coleta de dados de alunos.”
O especialista da 4CyberSec explica que as escolas e IES se tornaram um ótimo esconderijo para organizações criminosas justamente por não estarem bem protegidas. Muitas instituições de ensino restringem a navegação em redes sociais, como Facebook e Twitter, impedindo os alunos de acessar esses sites. Porém, o que diversos estudantes descobriram é que ao usar um serviço de proxy, esse acesso é liberado. E isso abre enormes brechas para os cibercriminosos. O proxy funciona como um intermediário entre usuário e o servidor do site que ele quer visitar, driblando, assim, as normas da instituição.
Este tipo de facilidade, segundo Narezzi, torna o setor educacional ainda mais interessante para os criminosos. “Os cibercriminosos e o crime organizado estão muito bem preparados e qualificados e dão preferência por atacar instituições ou empresas que estejam com suas defesas fracas, pois não vão ficar perdendo tempo e dinheiro para invadir uma infraestrutura ultrassegura, assim como acontece no mundo real”, diz ele.
Outro aspecto a ser considerado é que os modelos de ataque têm evoluído em sofisticação e no modus operandi, e as instituições de ensino também não estão preparadas para isso. Um estudo recente da PwC mostra que, de uns tempos para cá, os hackers estão usando táticas aprimoradas com objetivo de roubar informações estratégicas, em vez de informações e senhas de contas bancárias ou o código de segurança de cartões de crédito. “Eles estão mirando a venda de informações estratégicas”, salienta Edgar D’Andrea, sócio da PricewaterhouseCoopers Brasil e líder de segurança da informação.
Ele cita como exemplo o setor de saúde, hoje o mais atacado depois dos bancos. Como o roubo de senhas e informações de cartões tem ficado cada vez mais difícil e já não é tão lucrativo, em razão também do aperfeiçoamento das técnicas de proteção, os cibercriminosos passaram a investir em novas formas de obter dinheiro. “A venda de informações de saúde é hoje muito mais rentável do que de um cartão de crédito. Basta imaginar o valor do resgate de um sequestro de prontuários eletrônicos de pacientes para evitar o vazamento dos dados”, diz D’Andrea.
A mesma situação, afirma ele, pode ser transposta para a área de educação. O roubo de dados cadastrais de alunos, que contenham informações sobre o pagamento de mensalidades, por exemplo, pode ser usado pelo hacker para cometer crime cibernético direcionado a determinado estudante. “Os hackers ativistas também podem usar informações para tentar desmoralizar a instituição, atacar o reitor ou levantar suas bandeiras políticas”, diz o consultor da PwC.
Há ainda o risco, de acordo com Santos, da Cisco, da captura e destruição de dados de um projeto de pesquisa que tenha recebido financiamento público ou privado, ou até mesmo que segredos industriais relativos à pesquisa se tornem públicos. “Isso teria impacto significativo em direitos autorais e patentes, podendo inclusive prejudicar financiamentos futuros”, diz o relatório da empresa.
Por isso, mais até do que evitar prejuízos financeiros, uma boa política de segurança da informação é mandatória para preservar a reputação da instituição de ensino, diz o especialista. “Recentemente, em uma reunião com um grupo de reitores, verifiquei que muitos não tinham clareza de que isso [a segurança de dados] é um problema que também diz respeito às reitorias”, conta Santos, acrescentando que a ideia corrente era de que segurança envolvia apenas antivírus e firewalls, e limitada à área de TI.
O executivo observa que não existe uma receita pronta para combater o cibercrime nas escolas e IES, mas acredita que algumas medidas podem ser bastante eficazes. Um passo importante é engajar toda a comunidade acadêmica, reitores, gestores, professores, alunos e profissionais administrativos para a adoção de boas práticas de proteção e segurança no meio digital. “Ainda é muito comum vermos alunos e professores plugando seus pen drives nos computadores da escola. Por isso é importante a conscientização de todos, além da adoção de políticas rígidas de segurança digital.”
A avaliação dos especialistas é que, se perdurar a situação atual, o cenário para a área educacional tende a piorar e continuar sendo um dos principais alvos para ataques cibernéticos. A razão, segundo eles, é que se trata de um setor que manipula um grande volume de informações críticas, com sistemas fáceis de serem infiltrados e que geram muito dinheiro aos criminosos.