Como as ferramentas do Chromebook fortalecem a segurança cibernética escolar

Escolas e organizações que implantam um grande número de computadores têm uma vantagem computacional muito necessária contra riscos de segurança cibernética com Chromebooks de nível empresarial.

Os Chromebooks voltados para o consumidor vêm com o que o Google chama de “defesa profunda”, que fornece várias camadas de proteção. Se os invasores conseguirem contornar uma camada, outras permanecerão em vigor. Os Chromebooks em rede implantados em sistemas escolares, instalações médicas e escritórios governamentais utilizam segurança multicamadas e a aprimoram com recursos adicionais. Um deles é a segurança Zero Trust, uma estrutura que verifica cada usuário e dispositivo.

Todos os dispositivos Chromebook executam o ChromeOS, um sistema operacional integrado desenvolvido em torno do navegador Chrome do Google. Eles executam o mesmo sistema de imagem operacional certificado pelo Google. Essa segurança aprimorada integrada e atualizações automáticas são projetadas para segurança Zero Trust e não exigem monitoramento por parte dos usuários.

A resiliência de endpoint e a proteção de dados são dois componentes críticos do Zero Trust, aumentados por prevenção robusta contra perda de dados (DLP) e controles de acesso granulares. A execução de Chromebooks de nível empresarial na rede de uma organização é facilmente mantida pelo administrador do sistema de TI por meio de um console inacessível aos usuários.

A abordagem funciona independentemente de alunos ou funcionários usarem os dispositivos Chromebook interna ou remotamente, garantindo que os escudos de segurança estejam sempre ativados. Por exemplo, os usuários podem acessar seus dispositivos usando códigos QR e opções de login baseadas em imagens.

“As escolas tornaram-se alvos frequentes de ataques cibernéticos como ransomware, phishing e malware”, disse Jeremy Burnett, vice-presidente de tecnologia da CTL, durante um seminário recente em que sua empresa apresentou os recursos de segurança atualizados integrados aos Chromebooks para consumidores e empresas.

CTL é um fabricante de Chromebooks e provedor de serviços OEM do ChromeOS que faz parceria com o Google para fornecer soluções personalizadas para educadores, alunos e empresas. Estas soluções abordam as ameaças crescentes de ataques cibernéticos enfrentados por escolas e organizações.

Segurança básica do ChromeOS

Segundo Andrew Luong, engenheiro de sucesso parceiro do Google e ChromeOS, o objetivo é ter uma autenticação forte com segundos fatores ou chaves de segurança. Apesar das outras opções de login, estudantes e outras pessoas menos familiarizadas com a tecnologia preferem senhas.

“Fazer com que os usuários alterem senhas com frequência é complexo porque cada aplicativo que você usa hoje pede senhas mais longas e complexas. Tornou-se um grande incômodo”, disse ele ao público do seminário virtual.

O gerenciador de senhas do Google tem sido muito útil na geração de senhas mais fortes porque quanto mais você precisa alterá-las, menor será a probabilidade de se lembrar delas. As diversas ferramentas de login do Google ajudam os usuários a lidar com senhas melhores.

Outro grande desafio é a saúde do dispositivo, acrescentou. Os dispositivos devem ser atualizados regularmente com os patches de segurança mais recentes.

“Usar o ChromeOS é onde realmente brilhamos”, observou Luong. “Os dispositivos ChromeOS são atualizados automaticamente, um benefício e diferencial importante, pois todos executam a mesma imagem operacional certificada pelo Google.”

No entanto, ele acrescentou que as equipes de TI das escolas devem garantir que esses dispositivos estejam conectados para obter essas atualizações e permanecer na versão que você aprovar em conformidade com seu distrito ou escola.

O uso do console de administração de TI facilita mantê-los em uma versão específica do ChromeOS para que os alunos possam fazer os testes ou os professores ou funcionários possam usar as ferramentas da sala de aula.

“O que estamos fazendo em nosso console é fazer com que a IA do Google apareça e mostre, conforme você faz login no Cloud Console, que os dispositivos estão todos atualizados”, disse ele.

Segurança do ChromeOS nos bastidores

As atualizações são instaladas em segundo plano na segunda cópia do sistema operacional. O processo não interfere no trabalho de nenhum usuário. Quando todas as atualizações forem baixadas, um botão de reinicialização aparecerá para carregar a nova versão do sistema operacional.

Os Chromebooks incluem inicialização verificada, uma tecnologia de conector confiável que verifica a integridade do sistema operacional durante a inicialização e garante que o sistema não foi adulterado. Se for detectada adulteração ou corrupção, o sistema tenta automaticamente reparar-se, muitas vezes restaurando o sistema operacional ao seu estado original. Isso garante que o sistema operacional permaneça seguro e intacto, solucionando quaisquer falhas em sua integridade.

Os Chromebooks empresariais agora possuem sinais sensíveis ao contexto para verificar a integridade da versão do ChromeOS em execução antes de permitir que os dispositivos se conectem a aplicativos escolares. Esta é uma inovação na estrutura da arquitetura de confiança zero, explicou Luong.

Outro recurso de segurança recente adicionado ao console de gerenciamento de TI é a detecção e resposta a ameaças, que não utiliza nenhum agente. A licença de gerenciamento permite que os administradores configurem e monitorem o fluxo de informações dos eventos de segurança do dispositivo ChromeOS para o sistema de notificação de eventos de segurança.

“Portanto, relatórios e insights centralizados facilitam a criação dessa estrutura de confiança zero e melhoram sua segurança cibernética”, disse ele. “O ChromeOS possui proteção integrada contra malware. Nenhum ransomware foi relatado (em dispositivos ChromeOS).

Esses recursos aprimorados de segurança cibernética empresarial estão disponíveis por meio do console de administração sob um plano licenciado de um provedor autorizado como CTL para dispositivos de nível empresarial. Todos os Chromebooks de consumo têm os outros recursos mencionados em relação às atualizações automáticas e proteção integrada contra malware e antivírus.

Riscos internos na segurança cibernética escolar

Luong enfatizou um ponto essencial sobre as rigorosas proteções de segurança cibernética inerentes a todos os dispositivos Chromebook. Eles nem sempre conseguem sobreviver às ações descuidadas dos funcionários.

“Quando se trata de phishing, cerca de 90% das violações de dados em escolas de ensino fundamental e médio resultam de um funcionário do sistema que clica em um link – e isso não é uma crítica aos funcionários do sistema escolar”, disse ele.

Se esse clique resultar em um ataque de ransomware, a culpa não é dos Chromebooks. As instituições de ensino estão entre os setores mais visados.

É aí que entra o treinamento em segurança cibernética. Em média, as escolas e faculdades dos EUA perdem cerca de US$ 500.000 por dia devido ao tempo de inatividade durante ataques de ransomware. Portanto, os riscos são altos quando algo acontece, observou Luong.

CyberNut oferece treinamento de conscientização em segurança. A plataforma da empresa foi projetada para ser extremamente gamificada e envolvente, baseada em microsessões de treinamento com experiências curtas e gamificadas.

“O verdadeiro objetivo é permitir que as escolas meçam a mudança de comportamento. Nosso sucesso não se baseia apenas em marcar uma caixa para os professores depois de assistirem a um pequeno vídeo e responderem a um teste. Estamos focados e entregamos mudanças mensuráveis ​​de comportamento por meio de uma experiência de treinamento contínua e perpétua”, disse Oliver Page, cofundador e CEO da CyberNut.

Ele oferece um teste gratuito, permitindo que as organizações aprendam sobre treinamento em segurança cibernética. Isso inclui uma avaliação gratuita de phishing para ver como um distrito escolar está posicionado do ponto de vista da postura de segurança.

O alto custo dos ataques cibernéticos nas escolas

A qualidade dos e-mails de phishing tornou-se mais sofisticada nos últimos 10 ou 20 anos, e os ataques de ransomware em escolas de ensino fundamental e médio aumentaram substancialmente no último ano. De acordo com Page, a maioria desses ataques ocorre por meio de e-mails maliciosos e phishing.

“Isso é assustador porque depende de como você calcula esse número. Se você está falando de escolas que foram alvo de alguma forma e algo aconteceu, é mais próximo de 100% das escolas que recebem e-mails maliciosos que podem levar a um ataque de ransomware todos os dias. Então, é predominante”, disse Page.

Vários fatores colocam as escolas na mira de forma tão proeminente. Entre as principais causas está a falta de orçamento, o que leva à falta de pessoal e de conhecimentos especializados.

“Isso fica ruim quando o associamos a milhares de dispositivos para gerenciar e proteger. Temos toneladas de dados extremamente valiosos”, alertou Page.

O pagamento médio de ransomware no ano passado foi de US$ 6,5 milhões. Além desse resgate, você terá milhões adicionais em custos de recuperação.

Uma das realidades disso é que ninguém ensina aos alunos sobre segurança cibernética, acrescentou. Os pais gastam em média 46 minutos educando seus filhos sobre segurança cibernética durante toda a vida.

“Juntando isso ao facto de a criança média com mais de 13 anos passar sete horas por dia online, é fácil ver onde reside a disparidade e a preocupação”, concluiu.