Třicet milionů uživatelů. Toto je přibližně aktivní databáze Canvas. Platformu provozuje společnost Instructure. Tisíce amerických škol jej používají pro známkování, výuku a řízení školy. A pak, koncem minulého týdne, hackeři sundali systém.
Cíl byl konkrétní. Bezplatné účty pro učitele Instruct byly hacknuty. Jedná se o portály, které poskytují učitelům přímý přístup do systému. Zodpovědnost převzala skupina ShinyHunters. Nahlásili krádež 275 milionů záznamů. Postiženo je asi 9 000 vzdělávacích institucí. Tyto údaje citoval Security Week.
Ve středu ráno Instructure oznámila, že dosáhla dohody. Hackeři měli získat data zpět, nebo alespoň smazat jejich digitální kopii. Společnost uvedla, že obdržela potvrzení, že podmínky byly splněny, a také ujištění, že zákazníci nebudou čelit vydírání. Nebyla tam žádná zmínka o platbě výkupného, jen náznak nadcházejícího webináře pro „manažerské pracovníky“, aby o incidentu diskutovali.
Toto není nové území. Instructure připouští, že jde o druhé narušení dat v tomto roce. E-maily, uživatelská jména, názvy kurzů – všechny byly napadeny. A to vše se děje uprostřed zkouškového týdne na vysokých školách.
Canvas byl v sobotu opět v provozu. Šest univerzit a desítky školních obvodů však vydaly varování. CNN poznamenala, že ShinyHunters stanovili úterý jako konečný termín pro jednání. Zní to povědomě.
Proč školy? Protože jsou „bohatí na cíle, ale chudí na zdroje“. Odborníci tato slova často používají.
Během pandemie jsme spěchali s implementací EdTech. Žádný trénink. Žádné záchranné sítě. Nyní nás zajímá, zda lze těmto poskytovatelům služeb věřit. Pokud Canvas nedokáže ochránit svůj vlastní domov, může to udělat školní čtvrť?
Častěji se jedná pouze o divadelní ukázku dodržování norem
EdSurge označil kybernetickou bezpečnost za klíčový trend pro rok 2025. Možná to bylo přehnaně optimistické. Útoky na vysokoškolské vzdělávání a školy K-12 jsou na vzestupu. Umělá inteligence je dělá sofistikovanějšími. 82 procent organizací K-12 oznámilo nedávné incidenty. Tyto údaje poskytlo Centrum pro internetovou bezpečnost. Více než 9 300 potvrzených případů.
Takto jsme dopadli v této situaci:
- 2018: GDPR přijaté EU. Jasná pravidla.
- 2022: Illuminate Education bylo zasaženo. Ve Spojených státech stále neexistoval národní konsensus, pouze rozptýlené státní zákony.
- 2022: Školní čtvrť Los Angeles (LAUSD) odmítla zaplatit výkupné. Hackeři zveřejnili 500 GB dat na darknet. Odborníci nazývali školy „lahvemi medu“.
- 2025: Začátek Trumpovy administrativy. Škrty se dotkly federální podpory kybernetické bezpečnosti. Okresy říkají, že fungují „načerno“.
- 2025: EdSurge hlásí, že okresy se potýkají s hrozbami AI. Malé školy jsou snadným cílem. Nejlepší obranou jsou lidé. Ne firewally. Lidé.
Douglas Levine o tom otevřeně mluví na sociálních sítích. Moderní audity jsou slabé štíty. Divadlo shody
Personál potřebuje školení. Pro děti – povědomí. Rozpočty jsou ale napjaté. Hrozby jsou čím dál chytřejší. Data zůstávají zranitelná.
Co se stane, když v úterý ve 3:00 zazvoní další upozornění?
