Školy jsou stále zranitelné.
Nový útok na platformu Canvas to potvrzuje. Instructure, která pohání systém řízení výuky používaný třiceti miliony studentů, byla zasažena koncem minulého týdne. Neplacené účty byly hacknuty. Hackeři zvolili plán „zdarma pro učitele“. Tato volba není náhodná. Ukazuje, že útočníci přesně vědí, kde je obrana nejslabší.
Skupina ShinyHunters zabývající se kyberzločinem tvrdí, že ukradla 275 milionů záznamů. Z 9 000 vzdělávacích institucí po celém světě.
Reakce? Norma. Instructure oznámila, že dohoda byla dosažena. Společnost tvrdí, že data koupila, obdržela „digitální potvrzení“ o jejich vymazání a ujištění, že školy nebudou cílem vydírání.
Ani slovo o výši platby.
Na středu je naplánován pouze webinář.
Jedná se o druhý hack v tomto roce. E-mailové adresy, uživatelská jména, názvy kurzů. Vše, co potřebujete ke krádeži identity. K útoku došlo ve zkouškovém období. Chaos je perfektní krytí proti krádeži. Canvas byl zpět v provozu v sobotu. Ale nejméně tucet školních čtvrtí v šesti státech se stále potýká se spadem. ShinyHunters dokonce stanovili termín pro samostatná jednání s těmito kraji.
Proč si vybrat obor vzdělání? Protože je to snadné.
Odborníci nazývají tento sektor „bohatý na účel, ale chudý na zdroje“. Máme terabajty citlivých dat. Máme rozpočty na svačiny ve školní jídelně, ale žádné peníze pro inženýry kybernetické bezpečnosti. A protože pandemie přinutila každého učitele online, nechali jsme dveře odemčené. Teď jsme naštvaní. Ale hněv ransomware nezastaví.
A bude to jen horší. Umělá inteligence dělá hackery chytřejšími. Ale nikdy jsme se nepřizpůsobili.
„82 % škol K-12 nahlásilo incidenty v roce 2024. Bylo potvrzeno více než 9 300 případů.“
Tato čísla se zdají nudná, dokud se nezamyslíte nad obsahem vlastní schránky. Nebo o zdravotních a osobních záznamech vašeho dítěte.
Už jsme v této situaci byli. Jen s jinými jmény.
- 2018: GDPR přijaté EU. USA se jen usmály. Chyběl nám celostátní konsensus o tom, kdo vlastní data studentů.
- 2022: Osvětlené vzdělávání se dostalo pod útok a poté na Los Angeles Unified School. Hackeři uvolnili 500 gigabajtů souborů studentů na temném webu, protože LAUSD odmítl zaplatit výkupné. Školám říkali „pasti na med“. A měli pravdu.
- 2025: Federální podpora se vypařila. Škrty zasáhly týmy koordinující kybernetickou obranu. Okresy byly ponechány v provozu ve tmě. Žádné instrukce. Žádná pomoc.
Reportér Allien Ullman se na věc podíval. Její zjištění pro EdSurge byla ponurá. Školy jsou slabé v základním zabezpečení. Malé školy jsou zvláště atraktivní k útoku. Proč útočit na opevněnou citadelu, když můžete jednoduše ukrást cennosti z otevřené garáže? První linií obrany není software. To jsou lidé. A lidé jsou unavení. Klikají na špatné odkazy.
Proto spoléháme na audity.
Certifikáty. Kontrolní seznamy. Douglas Levin, který provozuje burzu zabezpečení K12, to nazval „divadlo shody“. Nemýlil se. Papírové štíty nezastaví kulky. Poskytnou vám právní ochranu pouze tehdy, když se něco pokazí.
Školám se doporučuje „školit zaměstnance“ a „vyhledat pomoc zvenčí“. Je snadné mluvit. Je to těžké, když váš IT člověk je stejný člověk, který opravuje tiskárnu v tělocvičně.
Tlak se zvyšuje. Útoky jsou stále sofistikovanější. Stále čekáme, až nás prodejce zachrání.
Ale oni to neudělají.
