Trzydzieści milionów użytkowników. To jest w przybliżeniu aktywna baza danych Canvas. Platformą zarządza firma Instructure. Tysiące szkół w USA używa go do oceniania, nauczania i zarządzania szkołą. A potem, pod koniec ubiegłego tygodnia, hakerzy usunęli system.
Cel był konkretny. Włamano się na bezpłatne konta nauczycieli Instructure. Są to portale, które zapewniają nauczycielom bezpośredni dostęp do systemu. Grupa ShinyHunters wzięła na siebie odpowiedzialność. Zgłosili kradzież 275 milionów płyt. Problem dotyczy około 9 000 instytucji edukacyjnych. Liczby te przytoczył Security Week.
W środę rano Instructure ogłosił, że osiągnął porozumienie. Hakerzy powinni byli odzyskać dane lub przynajmniej usunąć ich cyfrową kopię. Firma podała, że otrzymała potwierdzenie spełnienia warunków oraz zapewnienia, że klientom nie grożą wymuszenia. Nie było żadnej wzmianki o zapłacie okupu, jedynie zapowiedź nadchodzącego seminarium internetowego dla „kadry zarządzającej” w celu omówienia incydentu.
To nie jest nowy teren. Instructure przyznaje, że jest to już drugie naruszenie danych w tym roku. E-maile, nazwy użytkowników, nazwy kursów – wszystkie zostały naruszone. A wszystko to dzieje się w środku tygodnia egzaminacyjnego na uczelniach.
W sobotę aplikacja Canvas ponownie działała. Jednak sześć uniwersytetów i dziesiątki okręgów szkolnych wydały ostrzeżenia. CNN zauważyło, że ShinyHunters wyznaczyli wtorek jako termin negocjacji. Brzmi znajomo.
Dlaczego szkoły? Ponieważ są „bogaci w cele, ale ubodzy w zasoby”. Eksperci często używają tych słów.
W czasie pandemii pospieszyliśmy się z wdrożeniem EdTech. Brak szkoleń. Brak siatek ochronnych. Teraz zastanawiamy się, czy tym usługodawcom można ufać. Jeśli Canvas nie jest w stanie chronić własnego domu, czy okręg szkolny może to zrobić?
Najczęściej jest to po prostu teatralna demonstracja przestrzegania standardów
EdSurge uznał cyberbezpieczeństwo za kluczowy trend na rok 2025. Być może był to zbyt optymistyczny wniosek. Nasilają się ataki na szkolnictwo wyższe i szkoły podstawowe i podstawowe. Sztuczna inteligencja czyni je bardziej wyrafinowanymi. 82 procent organizacji K-12 zgłosiło niedawne incydenty. Dane te udostępniło Centrum Bezpieczeństwa Internetu. Ponad 9300 potwierdzonych przypadków.
Oto jak znaleźliśmy się w tej sytuacji:
- 2018: UE przyjęła RODO. Jasne zasady.
- 2022: Illuminate Education zostało trafione. W Stanach Zjednoczonych nadal nie było narodowego konsensusu, a jedynie rozproszone przepisy stanowe.
- 2022: Okręg szkolny Los Angeles (LAUSD) odmówił zapłaty okupu. Hakerzy umieścili w darknecie 500 GB danych. Eksperci nazwali szkoły „butelkami miodu”.
- 2025: Początek administracji Trumpa. Cięcia wpłynęły na federalne wsparcie w zakresie cyberbezpieczeństwa. Okręgi twierdzą, że działają „w ciemności”.
- 2025: EdSurge informuje, że dzielnice zmagają się z zagrożeniami związanymi ze sztuczną inteligencją. Małe szkoły są łatwym celem. Najlepszą obroną są ludzie. Nie firewalle. Ludzie.
Douglas Levine otwarcie wypowiada się na ten temat w mediach społecznościowych. Współczesne audyty to słaba tarcza. Teatr zgodności
Personel potrzebuje szkolenia. Dla dzieci – świadomość. Ale budżety są napięte. Zagrożenia są coraz mądrzejsze. Dane pozostają podatne na zagrożenia.
Co się stanie, gdy następny sygnał alarmowy zadzwoni we wtorek o 3:00?
