Faculdades e instituições de ensino em geral são conhecidas pela característica inclusiva de seus ambientes de ensino, seja em locais físicos, seja em sua presença digital. Esse aspecto é essencial para o desenvolvimento de um ambiente propício para o aprendizado e para o crescimento do aluno, mas também pode provocar fragilidades, do ponto de vista da segurança da informação quando tratamos de riscos digitais.
Muitas instituições dispõem de equipamentos antigos e softwares desatualizados - ou mesmo pirateados. Em muitos casos, também não têm protocolos de segurança definidos. Além disso, os estudantes utilizam cada vez mais as redes de internet das instituições com seus próprios dispositivos, o que facilita as contaminações por artefatos maliciosos (malware), por exemplo. Em relação às redes e à segurança das instituições de ensino, convém ressaltar que elas armazenam diversas informações sobre seu corpo acadêmico: cadastro de alunos, dados financeiros, dados pessoais de professores e de colaboradores em geral. Essas informações podem ser valiosas em mãos de indivíduos mal-intencionados, que, uma vez de sua posse, buscam explorá-las de alguma forma ou vender o banco de dados no mercado negro (Dark Web).
O público acadêmico em geral, devido à pouca conscientização sobre riscos digitais, é um alvo em potencial de ciberataques, como, por exemplo, golpes por phishing direcionado (spear phishing). Apesar de algumas instituições do setor educacional estarem começando a investir em aparatos de segurança para suas estruturas, a maioria ainda são alvos vulneráveis para os fraudadores.
Historicamente, os mais afetados por riscos digitais foram os grandes bancos, porém, devido a toda a tecnologia de proteção que o setor bancário desenvolveu com o passar dos anos, hackers começaram a procurar alvos mais fáceis, voltando seus olhares para outros tipos de empresas. Assim como em outros setores, o ataque mais popular contra o público acadêmico é o phishing por e-mail.
O vetor mais comum de ataques contra instituições de ensino, ultimamente, são os e-mails fraudulentos, em nome de um suposto reitor, solicitando o encaminhamento de documentos contendo informações financeiras. Em muitos desses casos, a vítima (o aluno) não nota que o e-mail não foi enviado por uma pessoa que faça parte do corpo docente de sua instituição de ensino e acaba cumprindo o solicitado. Com posse das informações da vítima, o fraudador pode apropriar-se de sua identidade e, por exemplo, solicitar empréstimos em seu nome ou vender seus dados no mercado negro.
Além de ataques por phishing e roubo de credenciais, há um outro tipo de riscos digitais que tende a disseminar-se no Brasil: o diploma falso. É de amplo entendimento que o Ensino Fundamental brasileiro deixa muito a desejar, e que o sistema de Ensino Superior é de difícil acesso a classes mais pobres da sociedade. Esse cenário, aliado ao alto índice de desemprego nos últimos meses, gera um cenário de alta competitividade no mercado de trabalho, no qual ter um curso de graduação ou, até mesmo, Ensino Médio Completo torna-se um grande diferencial.
Tendo isso em vista, fraudadores criaram uma oferta de diplomas e certificados de cursos falsos, tanto para beneficiar o acesso ao mercado de trabalho, quanto para o ingresso em cursos superiores. Em páginas da Web e da Deep Web, são oferecidos amplamente os chamados "diplomas quentes". Anúncios na internet prometem diplomas, histórico escolar completo e prontuário de notas, válidos para todas as faculdades, reconhecidos pelo MEC, com publicação no Diário Oficial e cadastro no GDAE.
Estes tipos de riscos digitais criam um problema sério no mercado de trabalho, mas também nas instituições de ensino, pois a aceitação de um documento falso em nome de determinada instituição certamente prejudica a sua credibilidade.
O melhor modo de combater esses riscos digitais, que estão além do perímetro das instituições de ensino, é a criação de protocolos para monitorar o que está acontecendo na internet e a conscientização do corpo docente para que se analisem todos os links e mensagens de e-mail que receberem, treinando-os para a identificação de fraudes. As instituições de ensino devem adotar processos claros para todos os seus públicos, guiando-os para que ajam de forma correta quando forem expostos a fraudes. É, também, importante a ação proativa, com o monitoramento de riscos digitais e a execução de ações de takedown (cease & desist) para que se mitiguem possíveis danos e repercussões de fraudes.