Réponse aux ransomwares pour l'éducation et les organisations caritatives

Réponse aux ransomwares pour l’éducation et les organisations caritatives

Écoles et associations caritatives en danger

Ces derniers mois, nous avons vu un grand nombre d’écoles, d’universités, d’établissements d’enseignement et d’universités, ainsi que d’organisations caritatives, touchées par des attaques dévastatrices de ransomwares. Les établissements d’enseignement et les organisations caritatives sont souvent victimes d’attaques de ransomwares car leurs budgets et ressources en matière de cybersécurité sont inférieurs à ceux des grandes entreprises, ce qui les rend plus vulnérables aux campagnes massives de ransomwares. Ceci est confirmé par nos propres recherches, qui ont révélé que 89 % des personnes interrogées dans le secteur de l’éducation ont subi une cyberattaque et 85 % ont subi une attaque de ransomware.

Les attaques de ransomwares sont aveugles

La première idée fausse est que les attaques de ransomware ciblent des organisations spécifiques. En fait, ils sont généralement aveugles. Les sociétés de ransomware cherchent à exploiter les vulnérabilités des logiciels et des systèmes utilisés par des milliers d’organisations. Une fois qu’ils ont accès à ces systèmes, ils peuvent exfiltrer ou copier les données de toutes les organisations utilisant ce logiciel.

L’énorme attaque MOVEit en est un excellent exemple. En exploitant une vulnérabilité du programme de transfert de fichiers MOVEit, largement utilisé, une société de ransomware a attaqué plus de 1 000 organisations dans le monde et accédé aux données d’environ 60 millions de personnes.[1]. Aucune des organisations concernées n’était spécifiquement ciblée – il s’agissait simplement d’utilisateurs du logiciel.

Si les données sont importantes pour vous, elles le sont aussi pour les criminels

La deuxième idée fausse est que les cybercriminels cherchent à voler des données personnelles afin de les revendre à des fraudeurs. En réalité, il est bien plus lucratif pour eux de voler des données pour lesquelles ils peuvent exiger une rançon – plutôt que d’essayer de vendre des informations personnelles individuelles sur le dark web. Pour exiger une rançon, ils ont uniquement besoin de données qui ont une valeur émotionnelle, financière ou de réputation pour les individus et les organisations à qui elles sont volées.

Les données détenues par les organisations éducatives et caritatives sur leurs étudiants, leur personnel, leurs anciens élèves, leurs donateurs et autres groupes sont extrêmement précieuses pour ces personnes. Pensez à la quantité de données personnelles que les écoles détiennent sur leurs élèves. Si ces données tombaient entre de mauvaises mains, les parents seraient extrêmement inquiets – ce qui signifie que les entreprises de ransomware sont en position de force pour exiger une rançon pour leur rétablissement en toute sécurité.

Gérer une réponse

Si vous êtes une école, un collège, une université ou un organisme de bienfaisance, comment réagissez-vous à une violation de données ? Qui devez-vous informer et à quelle vitesse ? Comment allez-vous gérer les communications ? Maintenant que les compagnies d’assurance introduisent davantage d’exclusions et de limites dans leurs polices d’assurance cyber, comment minimiser les coûts, protéger votre réputation et déployer au mieux les ressources pour gérer votre réponse ?

Chez Experian, nous avons constaté de nombreuses failles dans les secteurs de l’éducation et des œuvres caritatives. Nous comprenons donc les défis spécifiques auxquels ils sont confrontés et la meilleure façon de les résoudre. gérer la récupération après une violation. Il est important d’examiner la situation du point de vue des personnes touchées. Il peut s’agir d’étudiants actuels et anciens, de parents, de membres du personnel actuels et anciens, de gouverneurs, de fournisseurs, de donateurs, de bénéficiaires et bien d’autres.

Contacter plusieurs groupes de cohortes

La vaste gamme de groupes de cohortes constitue l’un des plus grands défis auxquels sont confrontés les prestataires de services d’éducation et les organisations caritatives lorsqu’il s’agit de répondre à une violation. Tous ces groupes doivent être contactés. La première étape consiste donc à identifier les coordonnées dont vous disposez et à déterminer la meilleure façon d’informer les gens. Lorsqu’un grand nombre de personnes sont impliquées, les lettres ou les courriels sont probablement les moyens de communication les plus efficaces et efficients. Mais vous ne disposez peut-être pas des coordonnées à jour de tout le monde, en particulier des anciens étudiants et des étudiants étrangers qui sont rentrés chez eux ou ont déménagé.

Vous devez ensuite réfléchir à la manière de répondre aux requêtes et aux préoccupations. Pouvez-vous mettre en place des ressources de centre d’appels ou externaliser des agents de centre d’appels auprès d’un prestataire spécialisé ? Quel numéro appelle-t-il et s’agit-il d’un appel gratuit, d’un tarif local ou international ? Répondre aux requêtes par courrier électronique est souvent plus simple et plus facile à gérer, mais peut ne pas être acceptable pour tout le monde. Tout ce que vous faites doit être axé sur les besoins des personnes concernées.

Vous devez également comprendre les implications juridiques. Jusqu’où devez-vous aller pour contacter les gens, et quand pouvez-vous cesser vos efforts après plusieurs tentatives infructueuses ? Chez Experian, nous disposons de l’expertise nécessaire pour vous conseiller sur toutes ces questions. Nous pouvons vous aider à formuler des messages et vous conseiller sur les meilleurs mécanismes pour répondre aux requêtes, et contribuer à minimiser les dommages financiers et de réputation.

La préparation est la clé

Prendre toutes ces décisions et gérer votre réponse dans le feu de l’environnement post-violation est particulièrement difficile – lorsque la rapidité est vitale et que l’échéance de la rançon approche. Pour que tout soit plus gérable et moins stressant, il est de loin préférable de planifier votre stratégie de réponse à la crise à l’avance. De cette façon, vous pouvez avoir des plans en place et des ressources en attente, prêts à passer à l’action si le pire se produit. Je proposerai des conseils sur la planification et la préparation des réponses aux crises dans une prochaine série de blogs – alors surveillez cet espace !

Vous pourriez également aimer...