Peretasan Kanvas Bukan Suatu Kecelakaan. Itu adalah Gejala.

33

Sekolah masih terbuka lebar.

Serangan baru terhadap Canvas membuktikannya. Instruktur, perusahaan yang menjalankan sistem manajemen pembelajaran yang digunakan oleh tiga puluh juta siswa, dibobol akhir pekan lalu. Bukan akun berbayar. Para peretas menargetkan tingkat “gratis untuk guru”. Pilihan spesifik itu penting. Hal ini menunjukkan bahwa penyerang tahu persis di mana pertahanan paling tipis.

ShinyHunters mengklaim mereka mencuri 275 juta rekaman. Dari 9.000 institusi di seluruh dunia.

Tanggapannya? Khas. Instruktur mengumumkan kesepakatan. Mereka mengatakan mereka membeli kembali data tersebut. Menerima “konfirmasi digital” itu telah dihapus. Mendapat janji tidak akan ada sekolah yang diperas.

Diam tentang apa yang mereka bayar.

Hanya webinar yang dijadwalkan pada hari Rabu.

Ini merupakan pelanggaran kedua pada tahun ini. Email, nama pengguna, nama kursus. Hal-hal yang merusak identitas. Itu semua terjadi saat anak-anak mengikuti final. Kekacauan adalah kedok yang baik untuk pencurian. Canvas kembali online pada hari Sabtu. Namun setidaknya selusin distrik sekolah di enam negara bagian masih membereskan kekacauan tersebut. ShinyHunters bahkan telah menetapkan batas waktu bagi distrik-distrik tersebut untuk bernegosiasi secara terpisah.

Mengapa pendidikan? Karena itu mudah.

Para ahli menyebut sektor ini sebagai “kaya sasaran, miskin sumber daya”. Kami memiliki data sensitif berukuran terabyte. Kami mempunyai anggaran untuk makanan ringan di kafetaria, namun tidak untuk insinyur keamanan. Dan karena pandemi memaksa setiap guru menggunakan komputer, kami membiarkan pintunya tidak terkunci. Sekarang kami marah. Namun kemarahan tidak menghentikan ransomware.

Ini menjadi lebih buruk. AI membuat para peretas menjadi lebih pintar. Kami belum benar-benar beradaptasi.

“82 persen K-12 melaporkan sebuah insiden pada tahun 2024. Lebih dari 9.300 kasus terkonfirmasi.”

Angka-angkanya membosankan sampai Anda memikirkan isi kotak masuk Anda sendiri. Atau catatan anak Anda.

Kami telah berada di sini sebelumnya. Hanya dengan nama yang berbeda.

  • 2018: UE meloloskan GDPR. Amerika mengangkat bahu. Kami tidak memiliki konsensus nasional mengenai siapa yang memiliki data siswa.
  • 2022: Illuminate Education terkena serangan. Kemudian Los Angeles Bersatu. Peretas membuang 500 gigabyte file siswa ke web gelap karena LAUSD menolak membayar. Mereka menyebut sekolah itu sebagai “pot madu”. Mereka benar.
  • 2025: Dukungan federal lenyap. Pemotongan dilakukan pada tim pertahanan yang terkoordinasi. Distrik mulai beroperasi dalam kegelapan. Tidak ada panduan. Tidak ada bantuan.

Reporter Ellen Ullman menyelidikinya. Temuannya untuk EdSurge suram. Sekolah lemah dalam hal dasar. Sekolah kecil sangat menggoda. Mengapa melawan benteng yang dibentengi ketika Anda bisa mencuri dari garasi terbuka? Garis pertahanan pertama bukanlah perangkat lunak. Itu manusia. Dan manusia menjadi lelah. Mereka mengklik tautan yang salah.

Jadi kami mengandalkan audit.

Sertifikasi. Daftar periksa. Douglas Levin, yang menjalankan K12 Security Exchange, menyebutnya sebagai “teater kepatuhan”. Dia tidak salah. Perisai kertas tidak dapat menghentikan peluru. Mereka hanya memberi Anda pembelaan hukum jika terjadi kesalahan.

Sekolah diminta untuk “mendidik staf”. Untuk “mencari bantuan dari luar.” Mudah untuk mengatakannya. Sulit dilakukan jika staf IT Anda juga merupakan orang yang memperbaiki printer di gym.

Tekanannya meningkat. Serangannya semakin cerdas. Kami terus menunggu vendor menyelamatkan kami.

Mereka tidak akan melakukannya.

Попередня статтяKesenjangan Matematika Kembali
Наступна статтяThe Gavel Stays in Human Hands