美国教育部与国土安全部被敦促,应更积极地加强全国K-12(中小学)学校的网络安全保护能力,从而跟上当前猖獗的勒索攻击浪潮。
这项行动呼吁来自美国参议员Maggie Hassan(新罕布什尔州民主党人)、Kyrsten Sinema(亚利桑那州民主党人)、Jacky Rosen(内华达州民主党人)以及Chris Van Hollen(马里兰州民主党人)。
11月12日(上周五),美国政府问责局发布报告,评估了教育部用于应对K-12学校网络威胁的响应计划(制定于2010年),表示计划内容已经明显过时,仍在主要强调缓解物理威胁。
四位美国参议员表示:“K-12学校正越来越多地受到各类恶意团伙的网络攻击,这一波冲击的核心驱动力正是勒索软件的迅速崛起。”
“根据公开报告的K-12学校网络安全事件数据库,2019年发生的网络安全事件达到2018年的近三倍,2020年又比2019年进一步增加了18%。在此期间,内华达州、新罕布什尔州、亚利桑那州以及马里兰州的学区都曾遭遇过勒索软件攻击。”
安全公司Emsisoft的威胁分析师Brett Callow表示,勒索软件在整个2021年给美国教育机构带来了普遍影响。自今年年初以来,勒索软件攻击已经扰乱了约1000所大学、学院及学校的正常教育秩序。
虽然这一数字低于2020年同期水平(当时共有1681所教育机构遭到攻击),但并不代表安全状况有所改善,而是因为黑客开始攻击那些学校数量较少的小学区。
加强K-12网络安全建议与措施
美国政府问责局发现,教育部与国土安全部为K-12学校提供了关于免受持续网络攻击侵扰的指导计划、服务与支持,具体包括事件响应援助、网络监控工具以及面向家长/学生的行动引导。
但很明显,K-12学校需要额外的支援。从成功得手的攻击事件来看,影响到K-12学校的网络安全漏洞正在不断增加。
为了解决这个问题,政府问责局要求教育部同网络安全与基础设施安全局(CISA)组织会议,共同决定如何更新教育行业风险缓解计划,并确定是否需要发布专门的行业指导以应对网络威胁。
参议员们则表示,“我们强烈赞同政府问责局对教育部的建议,包括与国土安全部下辖的网络与基础设施安全局合作,为教育设施子行业更新专有安全计划,并确定是否需要发布特定子行业指导意见等。我们也很高兴看到教育部接纳了这份建议。”
“面向特定子部门的安全更新计划将帮助教育部及国土安全部切实有效地优先考虑教育设施子部门面对的网络风险及其他风险,而专项指导意见则将帮助K-12学校更好地利用现有网络安全框架并推进最佳实践。”
参议员们还敦促教育部和国土安全部建立教育设施协调委员会,鼓励联邦、州及地方一级部门实体同K-12学校私营机构之间更好地协同起来。
根据参议员们的介绍,上述举措将进一步加强网络攻击保护能力,让教育设施获得类似于选举设施的安全水平提升。(文章来源:互联网安全内参)