Szkoły nadal są zagrożone.
Potwierdza to nowy atak na platformę Canvas. Instructure, który obsługuje system zarządzania nauką, z którego korzysta trzydzieści milionów uczniów, został dotknięty pod koniec zeszłego tygodnia. Włamano się na konta niepłatne. Hakerzy wybrali plan „bezpłatny dla nauczycieli”. Wybór ten nie jest przypadkowy. Pokazuje, że napastnicy dokładnie wiedzą, gdzie obrona jest najsłabsza.
Grupa cyberprzestępcza ShinyHunters twierdzi, że ukradła 275 milionów rekordów. Z 9 000 instytucji edukacyjnych na całym świecie.
Reakcja? Standard. Instructure ogłosił, że osiągnięto porozumienie. Firma twierdzi, że kupiła dane, otrzymała „cyfrowe potwierdzenie” ich usunięcia i zapewnienia, że szkoły nie będą celem wyłudzeń.
Ani słowa o kwocie płatności.
Na środę zaplanowano jedynie webinar.
To już drugi hack w tym roku. Adresy e-mail, nazwy użytkowników, nazwy kursów. Wszystko, czego potrzebujesz, aby ukraść swoją tożsamość. Do ataku doszło w czasie egzaminu. Chaos jest idealną przykrywką dla kradzieży. W sobotę Canvas wrócił do pracy. Jednak co najmniej kilkanaście okręgów szkolnych w sześciu stanach nadal zmaga się ze skutkami tej sytuacji. ShinyHunters wyznaczyli nawet termin odrębnych negocjacji z tymi hrabstwami.
Dlaczego warto wybrać kierunek kształcenia? Ponieważ to łatwe.
Eksperci nazywają ten sektor „bogatym w cele, ale ubogim w zasoby”. Mamy terabajty wrażliwych danych. Mamy budżety na przekąski w stołówkach szkolnych, ale nie ma pieniędzy na inżynierów ds. cyberbezpieczeństwa. A ponieważ pandemia zmusiła każdego nauczyciela do korzystania z Internetu, pozostawiliśmy drzwi otwarte. Teraz jesteśmy źli. Ale gniew nie powstrzymuje oprogramowania ransomware.
I jest tylko gorzej. Sztuczna inteligencja sprawia, że hakerzy stają się mądrzejsi. Ale nigdy się nie dostosowaliśmy.
„82% szkół podstawowych i gimnazjalnych zgłosiło incydenty w 2024 r. Potwierdzono ponad 9300 przypadków.”
Liczby te wydają się nudne, dopóki nie pomyślisz o zawartości własnej skrzynki pocztowej. Lub o dokumentację medyczną i osobistą Twojego dziecka.
Byliśmy już w takiej sytuacji. Tyle, że pod różnymi nazwami.
- 2018: UE przyjęła RODO. USA tylko się uśmiechnął. Brakowało nam ogólnokrajowego konsensusu co do tego, kto jest właścicielem danych uczniów.
- 2022: Illuminate Education zostało zaatakowane, a następnie Los Angeles Unified School. Hakerzy udostępnili w ciemnej sieci 500 gigabajtów plików studentów, ponieważ firma LAUSD odmówiła zapłaty okupu. Nazywali szkoły „pułapkami na miód”. I mieli rację.
- 2025: Wsparcie federalne wyparowało. Cięcia dotknęły zespoły koordynujące cyberobronę. Okręgi działały w ciemności. Brak instrukcji. Żadnej pomocy.
Reporter Allien Ullman przyjrzała się sprawie. Jej ustalenia dla EdSurge były ponure. Szkoły mają słaby poziom podstawowego bezpieczeństwa. Małe szkoły są szczególnie atrakcyjne do ataku. Po co szturmować ufortyfikowaną cytadelę, skoro można po prostu ukraść kosztowności z otwartego garażu? Pierwszą linią obrony nie jest oprogramowanie. To są ludzie. A ludzie się męczą. Klikają niewłaściwe linki.
Dlatego stawiamy na audyty.
Certyfikaty. Listy kontrolne. Douglas Levin, który prowadzi giełdę zabezpieczeń K12, nazwał to „teatrem zgodności”. Nie mylił się. Tarcze papierowe nie zatrzymują kul. Dają ci ochronę prawną tylko wtedy, gdy coś pójdzie nie tak.
Szkołom zaleca się „szkolenie personelu” i „szukanie pomocy z zewnątrz”. Łatwo jest rozmawiać. Trudno to zrobić, gdy informatyk to ta sama osoba, która naprawia drukarkę na siłowni.
Ciśnienie rośnie. Ataki stają się coraz bardziej wyrafinowane. Nadal czekamy, aż sprzedawca nas uratuje.
Ale oni tego nie zrobią.

















