Тридцять мільйонів користувачів. Стільки приблизно становить активна база Canvas. Платформу управляє компанія Instructure. Тисячі шкіл США використовують її для виставлення оцінок, викладання та управління шкільною рутиною. А потім, наприкінці минулого тижня, хакери вивели систему з ладу.
Мета була конкретною. Були зламані безкоштовні облікові записи для викладачів Instructure. Це портали, які дають вчителям прямий доступ до системи. Відповідальність взяла на себе група ShinyHunters. Вони заявили про крадіжку 275 мільйонів записів. Зачеплено близько 9000 навчальних закладів. Такі цифри навела Security Week.
До середи вранці Instructure оголосила про досягнуту угоду. Хакери повинні були повернути дані або принаймні видалити їх цифровий зліпок. Компанія заявила, що отримала підтвердження виконання умов, а також гарантії, що клієнти не зіткнуться з вимаганням. Згадки про оплату викупу не було, лише натяк на майбутній вебінар для «керівного складу» для обговорення інциденту.
Це не нова територія. Instructure визнає, що це вже другий витік даних цього року. Електронні листи, імена користувачів, назви курсів – все це виявилося скомпрометовано. І все це відбувається в розпал екзаменаційного тижня в коледжах.
Canvas знову запрацювала у суботу. Проте шість університетів та десятки шкільних округів випустили попередження. CNN зазначила, що ShinyHunters встановили вівторок як дедлайн для переговорів. Звучить знайоме.
Чому школи? Тому що вони «багаті на цілі, але бідні на ресурси». Експерти часто використовують ці слова.
Ми кинулися впроваджувати EdTech під час пандемії. Без навчання. Без страхувальних сіток. Тепер ми запитуємо, чи можна довіряти цим постачальникам послуг. Якщо Canvas не може захистити свій власний будинок, чи це зможе зробити шкільний округ?
Найчастіше це лише театральна демонстрація дотримання норм
EdSurge назвала кібербезпеку ключовим трендом 2025 року. Можливо, це було надто оптимістично. Атаки на вищу освіту та школи K-12 наростають. Штучний інтелект робить їх витонченішими. 82 відсотки організацій K-12 повідомили про нещодавні інциденти. Такі дані навів Центр інтернет-безпеки. Понад 9300 підтверджених випадків.
Ось як ми опинилися у цій ситуації:
- 2018 рік: ЄС прийняв GDPR. Точні правила.
- 2022 рік: Під удар потрапила Illuminate Education. У США, як і раніше, не було національного консенсусу, лише розрізнені закони штатів.
- 2022: Шкільний округ Лос-Анджелеса (LAUSD) відмовився платити викуп. Хакери виклали 500 ГБ даних у даркнет. Експерти називали школи «медовими бутіями».
- 2025: Початок адміністрації Трампа. Скорочення торкнулися федеральної підтримки кібербезпеки. Округи кажуть, що працюють «наосліп».
- **2025: EdSurge повідомляє, що округи борються з погрозами ІІ. Малі школи – легка мета. Найкращий захист – це люди. Чи не файрволи. Люди.
Дуглас Левін прямо говорить про це у соціальних мережах. Сучасні аудити – це слабкі щити. Театр compliance.
Персоналу потрібне навчання. Дітям – обізнаність. Але бюджети жорсткі. Загрози стають розумнішими. Дані залишаються вразливими.
Що станеться, коли наступне сповіщення пролунає у вівторок о 3 годині ночі?
