Тридцать миллионов пользователей. Столько примерно составляет активная база Canvas. Платформу управляет компания Instructure. Тысячи школ США используют её для выставления оценок, преподавания и управления школьной рутиной. А затем, в конце прошлой недели, хакеры вывели систему из строя.
Цель была конкретной. Были взломаны бесплатные аккаунты для преподавателей Instructure. Это порталы, предоставляющие учителям прямой доступ к системе. Ответственность взяла на себя группа ShinyHunters. Они заявили о краже 275 миллионов записей. Затронуты около 9000 учебных заведений. Такие цифры привела Security Week.
К среде утром Instructure объявила о достигнутом соглашении. Хакеры должны были вернуть данные или, по крайней мере, удалить их цифровой слепок. Компания заявила, что получила подтверждение выполнения условий, а также гарантии того, что клиенты не столкнутся с вымогательством. Упоминания об оплате выкупа не было, лишь намек на предстоящий вебинар для «руководящего состава» для обсуждения инцидента.
Это не новая территория. Instructure признаёт, что это уже вторая утечка данных в этом году. Электронные письма, имена пользователей, названия курсов — всё это оказалось скомпрометировано. И всё это происходит в самый разгар экзаменационной недели в колледжах.
Canvas снова заработала в субботу. Тем не менее, шесть университетов и десятки школьных округов выпустили предупреждения. CNN отметила, что ShinyHunters установили вторник как дедлайн для переговоров. Звучит знакомо.
Почему школы? Потому что они «богаты целями, но бедны ресурсами». Эксперты часто используют эти слова.
Мы бросились внедрять EdTech во время пандемии. Без обучения. Без страховочных сеток. Теперь мы задаёмся вопросом, можно ли доверять этим поставщикам услуг. Если Canvas не может защитить свой собственный дом, сможет ли это сделать школьный округ?
Чаще всего это лишь театральная демонстрация соблюдения норм
EdSurge назвала кибербезопасность ключевым трендом 2025 года. Возможно, это было излишне оптимистично. Атаки на высшее образование и школы K-12 нарастают. Искусственный интеллект делает их более изощрёнными. 82 процента организаций K-12 сообщили о недавних инцидентах. Такие данные привёл Центр интернет-безопасности. Более 9300 подтверждённых случаев.
Вот как мы оказались в этой ситуации:
- 2018 год: ЕС принял GDPR. Чёткие правила.
- 2022 год: Под удар попала Illuminate Education. В США по-прежнему не было национального консенсуса, лишь разрозненные законы штатов.
- 2022 год: Школьный округ Лос-Анджелеса (LAUSD) отказался платить выкуп. Хакеры выложили 500 ГБ данных в даркнет. Эксперты называли школы «медовыми бутиями».
- 2025 год: Начало администрации Трампа. Сокращения затронули федеральную поддержку кибербезопасности. Округи говорят, что работают «вслепую».
- 2025 год: EdSurge сообщает, что округа борются с угрозами ИИ. Малые школы — лёгкая мишень. Лучшая защита — это люди. Не файрволы. Люди.
Дуглас Левин прямо говорит об этом в социальных сетях. Современные аудиты — это слабые щиты. Театр compliance.
Персоналу нужно обучение. Детям — осведомлённость. Но бюджеты жёсткие. Угрозы становятся умнее. Данные остаются уязвимыми.
Что произойдёт, когда следующее оповещение прозвенит во вторник в 3 часа ночи?
