Como minimizar ciberataques no setor da Educação

O setor da educação em Portugal sofreu uma média de 4897 ciberataques semanais nos últimos 6 meses, sendo o setor mais afetado do país. No Dia Internacional da Educação, empresa de cibersegurança divulga conselhos para minimizar ciberataques.

Como minimizar ciberataques no setor da Educação
Como minimizar ciberataques no setor da Educação

Os ciberataques aumentaram em 2024, com as organizações a sofrerem em média de 1.673 ataques semanais, o que se traduziu em mais 44% em relação a 2023, indicam dados do relatório The State of Cyber Security 2025 da empresa mundial especializada em soluções de cibersegurança Check Point Software Technologies.

O relatório mostra que de todos os setores, o da educação foi o mais atingido, com um aumento de 75% em relação a 2023 e uma média de 3.574 ataques semanais. Os cibercriminosos têm vindo a explorar os vastos dados pessoais detidos pelas escolas.

Em Portugal o Threat Intelligence Report da Check Point Software indica que o setor da educação sofreu uma média de 4897 ataques semanais nos últimos 6 meses, posicionando-se como o setor mais afetado no país.

No Dia Internacional da Educação, que se celebra hoje, dia 24 de janeiro, a empresa especializada em cibersegurança, Check Point Software, alerta que é fundamental chamar a atenção para a vulnerabilidade do setor e, sobretudo para a forma como pode ser protegido.

A Check Point Software contribui com uma lista, do que considera serem as 8 principais ações a saber sobre os ciberataques ao setor da educação e as formas práticas de os evitar:

1.A educação é um alvo privilegiado para os cibercriminosos

As instituições de ensino em todo o mundo tornaram-se um foco de cibercrime. A maior parte destes ataques tem origem no email (68%), enquanto 32% são efetuados através da Web, utilizando frequentemente estruturas maliciosas como o FakeUpdates.

As escolas guardam grandes quantidades de dados privados – desde informações pessoais de estudantes e funcionários, a dados financeiros e de investigação – o que as torna atrativas para os atacantes. Para além disso, com várias pessoas a precisarem de se ligar a uma determinada instituição de ensino para consultar horários curriculares, férias, aulas online ou outras atualizações importantes, as áreas para intrusões simplesmente aumentam.

A agravar a situação está um facto conhecido de que muitas instituições de ensino não dispõem dos recursos necessários para proteger adequadamente os seus sistemas; algumas simplesmente não têm o know-how ou os recursos especializados para garantir que as medidas de defesa também estão atualizadas.

A recente violação de dados no fornecedor de software PowerSchool, nos EUA, que afetou muitos distritos nos EUA e noutros países, demonstrou o grave impacto das ameaças, não só no ciberataque às escolas, mas também na obtenção de acesso através de terceiros, o que colocou a atenção na necessidade de medidas fortes para proteger os alunos, os professores e as famílias contra atividades maliciosas, como o roubo de identidade.

Enquanto as instituições trabalham para reforçar as suas defesas, os pais e professores devem também adotar estratégias proativas para proteger as suas comunidades.

2.O custo elevado dos ciberataques nas escolas

Em 2023, os ataques de ransomware custaram às instituições de ensino muito mais do que o previsto, com pagamentos médios que atingiram 6,6 milhões de dólares para o ensino básico e 4,4 milhões de dólares para as instituições de ensino superior, indicam dados de um relatório da Sophos.

Apesar dos pagamentos, a recuperação continua a ser um desafio significativo, com apenas 30% das vítimas a recuperarem totalmente no prazo de uma semana, menos do que no ano passado, uma vez que os recursos e as equipas limitados dificultam os esforços de recuperação.

Os pagamentos de resgates afetam gravemente a reputação da escola, obrigando as escolas a cortar nos custos noutras áreas, afetando a qualidade do ensino dos seus alunos. Noutros casos, estes ataques de ransomware levaram ao encerramento de escolas, como a Lincoln College, com 157 anos, que foi forçada a fechar portas depois de um ataque de ransomware ter bloqueado os seus sistemas e afetado a sua continuidade.

3.Dados de alunos e professores são “tesouro” para cibercriminosos

Os ciberataques conduzem frequentemente ao roubo de números de segurança social, detalhes de ajuda financeira e até dados de investigação. Os dados dos estudantes têm um valor significativo na dark web, onde podem ser vendidos a ladrões de identidade ou utilizados para atividades fraudulentas, como pedidos de empréstimos ou cartões de crédito.

Informações pessoais, como números da segurança social, datas de nascimento e até registos de alergias ou rendimentos, podem ser exploradas, sendo que os menores muitas vezes não têm conhecimento devido à falta de monitorização do crédito, permitindo que os criminosos acumulem dívidas sem que estes se apercebam.

Os cibercriminosos também podem atacar escolas, alterando ou apagando registos de alunos, causando caos operacional e danos à reputação. Uma violação significativa, como a que ocorreu em Los Angeles em 2022, expôs os dados pessoais de mais de 2000 alunos e professores, realçando as consequências reais de uma segurança cibernética deficiente.

4.As campanhas de phishing estão a aumentar consideravelmente

Os ataques de phishing dirigidos a professores, estudantes e diretores têm aumentado continuamente de ano para ano. De acordo com a Check Point Research, cerca de 12.234 novos domínios criados nos EUA estavam relacionados com escolas e educação, registando um aumento de 9% em relação ao ano anterior em julho de 2023.

Entre estes, 1 em cada 45 domínios foram considerados maliciosos ou suspeitos. Estas campanhas muitas vezes fazem passar-se por plataformas confiáveis, como sistemas de gestão de aprendizagem ou agências de subsídios governamentais, enganando os utilizadores para que revelem as suas credenciais ou descarreguem malware.

Os ataques de phishing ameaçam as escolas roubando dados sensíveis, perturbando as operações e causando perdas financeiras significativas através de fraude ou ransomware. Podem também levar a sanções legais por incumprimento das leis de proteção de dados e prejudicar a confiança dos alunos, pais e funcionários, comprometendo a reputação da escola e as relações a longo prazo e a sobrevivência contínua no setor.

5.Aprendizagem à distância: Uma faca de dois gumes

Quando todo mundo foi afetado pela COVID-19, o sistema educativo de quase todos os países foi renovado, tendo o ensino à distância assumido uma prioridade central. Muitas instituições de ensino não estavam preparadas para uma mudança tão drástica e tiveram de se adaptar rapidamente a esse sistema, sem implementar serviços adequados e seguros nesse curto período.

Infelizmente, embora o ensino à distância tenha alargado o acesso à educação, também introduziu novas vulnerabilidades, desde ferramentas de videoconferência pouco seguras, dispositivos partilhados com proteção mínima, até redes domésticas pouco seguras que não dispõem de medidas de segurança a nível empresarial.

A rede de ensino alargada conduziu, também, a uma maior complexidade, que as medidas de cibersegurança não conseguiram acompanhar, deixando estas redes e utilizadores vulneráveis.

Mesmo após a pandemia, as escolas e as empresas continuam a enfrentar desafios na manutenção de práticas adequadas de cibersegurança, que devem agora ser um ponto de atenção para essas instituições.

6.Os orçamentos para a cibersegurança estão a ficar para trás

O relatório Global Cyber Risk Insurer Survey da Moody’s refere que a alocação de orçamento das instituições de ensino superior para segurança cibernética aumentou, no entanto, este grupo-chave ainda está atrasado em termos de gastos cibernéticos em comparação com outros setores.

O relatório salientou que, em 2023, a atribuição média de orçamento para o setor do ensino superior era de apenas 7% para a cibersegurança, abaixo da percentagem média global de 8% e muito abaixo da média de 10% para as organizações empresariais.

Os cibercriminosos sabem que muitas escolas e universidades não dispõem de recursos para se defenderem adequadamente das suas atividades maliciosas e, embora estes grupos estejam cientes de que algumas escolas não poderão pagar resgates pelo acesso a sistemas comprometidos, apostam no roubo dos dados pessoais armazenados que podem ser valiosos para os cibercriminosos que pretendem efetuar roubos de identidade ou vender informações sensíveis na dark web.

O subinvestimento crónico deixa as escolas mal equipadas para se defenderem contra ciberataques sofisticados e em evolução, criando um ciclo vicioso de vulnerabilidade.

7.Os ataques com recurso à IA estão a aumentar

Em 2024, o setor tem estado repleto de discussões sobre Inteligência Artificial (IA) para o bem e IA para o mal – os ciberataques estão a utilizar cada vez mais ferramentas de IA para criar emails de phishing convincentes que roubam dados sensíveis e deepfakes que se fazem passar por educadores para enganar funcionários ou alunos.

Os agentes maliciosos podem manipular chatbots baseados em IA e ferramentas online para distribuir malware ou recolher informações dos utilizadores, o que representa riscos significativos para o setor da educação.

Com as instituições fortemente dependentes de ferramentas online e muitas vezes mal preparadas para ameaças tão avançadas, o perigo de ciberataques alimentados por IA continua a crescer, como sublinhado pela Agência da União Europeia para a Cibersegurança.

A capacidade de utilizar a IA para fins maliciosos permitiu que os ciberataques automatizassem ataques em escala e até identificassem e explorassem pontos fracos nas redes. A IA tornou os ciberataques mais rápidos, mais inteligentes e mais difíceis de detetar, representando uma ameaça crescente para instituições pouco preparadas.

8.A prevenção é possível (com as medidas corretas)

Embora os desafios sejam significativos, as instituições de ensino podem tomar medidas proativas para melhorar a sua cibersegurança:

  • Congelar relatórios de crédito: Proteger identidade ao congelar os relatórios de crédito dos estudantes junto das principais agências de crédito.
  • Adotar práticas de palavras-passe fortes: Utilizar palavras-passe fortes e únicas para cada conta e simplificar a gestão com um gestor de palavras-passe.
  • Ativar a autenticação multi-fator (MFA): Impor a autenticação multi-fator em todos os sistemas educativos para uma camada extra de proteção.
  • Formação sobre phishing e engenharia social: Ensinar os alunos e os funcionários a reconhecer e evitar esquemas de phishing e hiperligações suspeitas e realizar uma formação obrigatória de sensibilização para a cibersegurança para reduzir o erro humano.
  • Instalar segurança em Endpoints: Proteger os dispositivos com soluções de segurança de Endpoints de nível empresarial para os defender contra malware e acesso não autorizado.
  • Manter o software atualizado e corrigido: Atualizar regularmente todo o software para corrigir vulnerabilidades e reduzir o risco de exploração.
  • Manter-se informado sobre a segurança cibernética: Manter-se atualizado sobre novas ameaças e práticas recomendadas e partilhar esse conhecimento para criar uma cultura consciente da segurança.
  • Cópias de segurança seguras: Armazenar as cópias de segurança offline e testar frequentemente os procedimentos de recuperação.
  • Investir em ferramentas de IA: Implementar soluções de segurança baseadas em IA para deteção de ameaças em tempo real e defesa proativa.

“A educação é a base do nosso futuro, mas sem cibersegurança, é um castelo construído na areia. Proteger as nossas escolas e instituições das ciberameaças não é apenas um desafio técnico – é uma responsabilidade partilhada entre famílias, professores e fornecedores de tecnologia. Ao adotar medidas proativas, como a autenticação multi-fator, manter-se informado sobre os riscos emergentes e adotar soluções avançadas de segurança baseadas em IA, podemos minimizar as vulnerabilidades, reduzir os riscos e garantir que as instituições educacionais permanecem paraísos seguros para aprendizagem, crescimento e inovação, tanto hoje quanto no futuro”, conclui Rui Duro, Country Manager da Check Point Software Technologies em Portugal.