Школы всё ещё остаются беззащитными.
Новая атака на платформу Canvas это подтверждает. Компания Instructure, обеспечивающая работу системы управления обучением, которой пользуются тридцать миллионов студентов, попала под удар в конце прошлой недели. Взломали не платные аккаунты. Хакеры выбрали тариф «бесплатно для учителей». Этот выбор не случаен. Он показывает, что злоумышленники точно знают, где защита самая слабая.
Киберпреступная группировка ShinyHunters заявляет, что похитила 275 миллионов записей. Из 9 000 учебных заведений по всему миру.
Реакция? Стандартная. Instructure объявила о достигнутой сделке. Компания утверждает, что выкупила данные, получила «цифровое подтверждение» их удаления и заверения, что школы не станут объектом вымогательства.
О сумме выплаты — ни слова.
Есть лишь запланированный вебинар на среду.
Это второй взлом в этом году. Email-адреса, имена пользователей, названия курсов. Всё, что нужно для кражи личных данных. Атака произошла именно в период сдачи экзаменов. Хаос — идеальное прикрытие для кражи. Canvas вернулась в строй к субботе. Но как минимум в дюжине школьных округов в шести штатах всё ещё разбираются с последствиями. ShinyHunters даже установили дедлайн для отдельных переговоров с этими округами.
Почему выбирают сферу образования? Потому что это легко.
Эксперты называют этот сектор «богатым на цели, но бедным на ресурсы». У нас есть терабайты конфиденциальных данных. У нас есть бюджеты на закуски в школьных столовых, но нет денег на инженеров по кибербезопасности. И поскольку пандемия вынудила каждого учителя выйти в онлайн, мы оставили двери незапертыми. Теперь мы злимся. Но гнев не останавливает программы-вымогатели.
А становится только хуже. Искусственный интеллект делает хакеров умнее. А мы так и не адаптировались.
«82% школ K-12 сообщили об инцидентах в 2024 году. Подтверждено более 9 300 случаев».
Эти цифры кажутся скучными, пока вы не подумаете о содержимом своей собственной почтовой коробки. Или о медицинских и личных карточках вашего ребенка.
Мы уже были в такой ситуации. Просто с другими именами.
- 2018: ЕС принял GDPR. США лишь усмехнулись. Нам не хватало национального консенсуса о том, кому принадлежат данные учеников.
- 2022: Под удар попали Illuminate Education, а затем и единая школа Лос-Анджелеса. Хакеры выложили 500 гигабайт файлов учеников в даркнете, потому что LAUSD отказалась платить выкуп. Они назвали школы «медовыми ловушками». И были правы.
- 2025: Федеральная поддержка испарилась. Сокращения ударили по командам, координирующим кибероборону. Округи остались работать вслепую. Без инструкций. Без помощи.
Репортер Эллиен Уллман изучила этот вопрос. Её findings для EdSurge были мрачными. Школы слабы в основах безопасности. Малые школы особенно привлекательны для атак. Зачем штурмовать укреплённую цитадель, если можно просто похитить ценности из открытого гаража? Первая линия обороны — это не софт. Это люди. А люди устают. Они нажимают на неправильные ссылки.
Поэтому мы опираемся на аудиты.
Сертификаты. Чек-листы. Дуглас Левин, который руководит K12 Security Exchange, назвал это «театром соответствия нормам». Он не ошибся. Бумажные щиты не останавливают пули. Они лишь дают вам юридическую защиту, когда всё идёт не так.
Школам рекомендуют «обучать персонал» и «искать помощь извне». Говорить легко. Делать трудно, когда ваш IT-специалист — это тот же человек, который чинит принтер в спортзале.
Давление нарастает. Атаки становятся изощрённее. Мы продолжаем ждать, что спасёт нас вендор.
Но они этого не сделают.
