Cibersegurança nas Escolas

Cibersegurança nas Escolas

O nosso colega Jorge Sottomaior Braga partilhou a 3 de janeiro uma reflexão sobre este tema, Cibersegurança nas escolas - uma catástrofe a caminho, no grupo do Facebook E-Learning - Apoio, destinado a professores, partindo do ataque de que foi alvo o grupo Impresa (Expresso, SIC, etc.). Se entidades e empresas como esta não estão a salvo destes ataques deliberados (imagine-se a sua capacidade técnica e financeira para prevenir e lidar com estas situações), menos capacitadas para resistir estarão as nossas escolas que, a todo o vapor e por vezes sem preparar bem o caminho, aprofundam a integração das TIC no âmbito dos seus PADDE (Plano de Ação para o Desenvolvimento Digital da Escola). As oficinas de Capacitação Digital Docente atualmente em funcionamento abordam, naturalmente, este tema, mas cabe a cada escola elaborar uma estratégia para a Cibersegurança a incluir, à falta de melhor veículo, no PADDE.

As escola trabalham e tratam dados pessoais sensíveis de alunos, pais e encarregados de educação, pessoal docente e não docente, registando informações sobre apoios sociais, faturação, ordenados, apoios a alunos e jovens carenciados, situações familiares sensíveis e jovens acompanhados pela CPCJ (Comissão de Proteção de Crianças e Jovens) entre outra informação que, sendo alvo deste tipo de ataques, deitam a perder a confiança na estrutura digital da instituição escolar, para além dos efeitos nefastos da divulgação não autorizada de informações pessoais sensíveis.

Como tão bem é referido naquele texto, a grande parte destes ataques acontecem a partir de “falhas” de segurança por descuido humano (e não tanto por questões técnicas), como a partilha de computadores por mais de uma pessoa, uso palavras-passe fracas, falta de cuidados de segurança no uso de equipamentos, fraca perceção da importância de sistemas de login com autenticação multifator (MFA), dos antivírus e firewall, falta de análise crítica a links e anexos recebidos por e-mails, entre outras situações comuns. Nesse artigo, o Jorge Braga propõe um “Autodiagnóstico das coisas óbvias”, elencando algumas questões que aqui transcrevo, com alguns ajustes mínimos:

  • “1. A escola obriga à utilização explícita de credenciais geridas e administradas pela escola? - Explicação: o email da escola é do tipo antoniofagundes@nomedaescola.edu.pt, é gerido pela escola e são completamente proibidos os emails pessoais?
  • 2. As credenciais de acesso às redes e equipamentos da escola exigem a autenticação multifator (MFA)? - Explicação: Quando acedem à escola, além do nome de utilizador e palavra-passe, usam um fator adicional de autenticação (SMA, Cartão Matriz, Aplicação de Autenticação, Hardware específico, etc.)?
  • 3. O software de gestão da escola obriga ao uso de MFA, tal como exige a lei? - Explicação: Quando entram no software de gestão (E360, Inovar, GIAE, etc.) é pedido, para além do nome de utilizador e palavra-passe, um fator adicional de autenticação (SMA, Cartão Matriz, Aplicação de Autenticação, Hardware específico etc.)?
  • 4. Os dados digitais da escola estão encriptados? - Explicação: É boa política proteger os dados de olhos alheios. Para fazer isto, além de se restringir o acesso aos dados, é também necessário encriptar esses dados. Dito de outra forma: se alguém obtiver uma cópia da base de dados da escola consegue ler os dados ou eles estão protegidos por uma qualquer chave de encriptação?
  • 5. Os administradores informáticos da escola são profissionais da área da Informática e da Gestão de Sistemas? - (Explicação: A proteção de dados deve ser uma preocupação de todos, mas sob orientação de especialistas)
  • 6. A escola disponibiliza formação obrigatória em Cibersegurança aos seus utilizadores, professores e demais colaboradores? - Explicação: Não se trata apenas de formação sobre fakenews e ciber bullying, estamos a falar de formação técnica, séria, sobre cibersegurança dada por profissionais desta área...
  • 7. A escola tem servidores próprios? Se sim, quem faz a administração destes servidores? - Explicação: A escola tem, por exemplo, um servidor de Moodle próprio? Estarão esses servidores bem montados ou serão um risco de segurança? São administrados com rigor? Estão atualizados para as versões mais recentes?
  • 8. A escola tem um diretório interno que protege as identidades digitais de todos, com o princípio de “um utilizador, uma conta”? - Explicação: quando alunos, colaboradores e professores entram nos computadores da escola, têm cada um é obrigado a usar a sua própria credencial (específica pessoal e intransmissível, e.g. Active Directory) ou é um regime aberto, de promiscuidade, em que há uma conta por PC para todos os alunos e outra para todos os professores?
  • 9. A rede WiFi da escola é protegida com a autenticação dos próprios utilizadores/certificados? - Explicação: quando se ligam à rede WiFi da escola, têm de fornecer as vossas credenciais ou existe uma palavra-passe que é partilhada por todos os utilizadores?
  • 10. A escola faz, regularmente, auditorias de segurança digital? - Explicação: a maior parte dos ataques são silenciosos e visam ficar indetetáveis pelo maior tempo possível, para dar tempo para preparar um ataque o mais amplo possível. Entre uma intrusão e a sua deteção chega a demorar 250 dias. É fundamental, por isso, que a escola audite sistematicamente os seus sistemas e, até simule ataques para verificar a fiabilidade dos seus sistemas. Exemplo: a escola é obrigada, por lei, a mandar rever os extintores de incêndio existentes porque um dia poderão ser necessários e deverão estar a funcionar. Faz-se o mesmo relativamente à segurança dos sistemas informáticos?”
 
Faz sentido, por isso, que os nossos PADDE integrem esta importante dimensão de Cibersegurança, prevendo ações de sensibilização e de formação para toda a comunidade que serve (incluindo pais e encarregados de educação), prevendo atividades tais como:
  1. Obrigatoriedade de uso de emails institucionais para todos (alunos, pessoal docente e não docente), com recusa de uso de e-mails pessoais;
  2. Implementação de credenciais individuais para acesso às redes e equipamentos das escolas;
  3. Obrigação do uso de passwords complexas e sistemas de autenticação multifator (MFA);
  4. Sessões (complementadas com manuais e/ou vídeos) dinamizadas pelo DT sobre proteção de dados, utilização de MFA, encriptação de dados, utilização de softwares para guardar (e sugerir) passwords complexas;
  5. Definição de políticas BYOD (Bring Your Own Device – Trazer o seu próprio equipamento) e cuidados RGPD no âmbito do uso das TIC, exemplificando riscos de segurança, bem como políticas de uso de imagem em espaços digitais;
  6. Criação de grupos de “ciberapoio”, com o objetivo de orientar a comunidade (alunos, pessoal docente e não docente, pais e encarregados de educação) nestas questões;
  7. Sessões de formação e/ou sensibilização sobre cidadania e identidade digitais, direitos autorais e plágio (a partir dos quais, na Internet, acontecem a maior parte dos ataques às instituições);
  8. Promover e recomendar de forma sistemática a atualização de software nos equipamentos (da escola, dos equipamentos cedidos pelo PTD e equipamentos pessoais), nomeadamente do sistema operativo, dos antivírus, e o uso de software de criação e gestão de palavras-passe;
  9. Definir que plataformas, Apps e afins a escola usa, criando um “ecossistema digital” seguro para os utentes da organização, clarificando o que são espaços públicos e privados (inibindo o uso de sistemas de armazenamento pessoais);
  10. Criação de rotinas de informação/sensibilização para a Cibersegurança.
 
As questões de segurança digital são responsabilidade de todos e, para isso, é necessário a todos sensibilizar.

Cibersegurança nas Escolas