Школи все ще вразливі.
Нова атака на платформу Canvas це підтверджує. Наприкінці минулого тижня було зруйновано Instructure, яка забезпечує систему управління навчанням, якою користуються тридцять мільйонів студентів. Безоплатні акаунти були зламані. Хакери обрали план «безкоштовно для вчителів». Цей вибір не випадковий. Це показує, що зловмисники точно знають, де захист найслабший.
Кіберзлочинна група ShinyHunters стверджує, що викрала 275 мільйонів записів. З 9000 навчальних закладів по всьому світу.
Реакція? Стандартний. Керівництво оголосило про досягнення угоди. Компанія стверджує, що купила дані, отримала «цифрове підтвердження» їх видалення та запевнення, що школи не стануть мішенню для вимагання.
Про суму платежу ні слова.
На середу запланований лише вебінар.
Це вже другий злом цього року. Адреси електронної пошти, імена користувачів, назви курсів. Все, що вам потрібно, щоб викрасти вашу особистість. Напад стався під час іспитового періоду. Хаос – ідеальне прикриття для крадіжки. У суботу Canvas повернувся в експлуатацію. Але принаймні десяток шкільних округів у шести штатах все ще борються з наслідками. ShinyHunters навіть встановив кінцевий термін для окремих переговорів із цими країнами.
Чому варто обрати сферу освіти? Тому що це легко.
Експерти називають цей сектор «багатим цілями, але бідним ресурсами». У нас є терабайти конфіденційних даних. У нас є бюджети на закуски в шкільній їдальні, але немає грошей на інженерів з кібербезпеки. І оскільки пандемія змусила кожного вчителя бути онлайн, ми залишили двері незамкненими. Тепер ми злі. Але гнів не зупиняє програми-вимагачі.
І стає тільки гірше. Штучний інтелект робить хакерів розумнішими. Але ми так і не адаптувалися.
«У 2024 році 82% шкіл K-12 повідомили про інциденти. Було підтверджено понад 9300 випадків».
Ці цифри здаються нудними, поки не згадаєш про вміст власної поштової скриньки. Або про медичні та особисті документи вашої дитини.
Ми були в такій ситуації раніше. Просто з іншими назвами.
- 2018: ЄС ухвалив GDPR. США тільки посміхнулися. Нам бракувало національного консенсусу щодо того, хто володіє даними студентів.
- 2022: піддалася атаці Iluminate Education, а потім і Los Angeles Unified School. Хакери випустили 500 гігабайт студентських файлів у темну мережу через те, що LAUSD відмовився платити викуп. Вони називали школи «медовими пастками». І вони мали рацію.
- 2025: федеральна підтримка зникла. Скорочення вдарили по командах, які координують кіберзахист. Округи залишилися в темряві. Ніяких інструкцій. Ніякої допомоги.
Репортер Аллієн Уллман досліджував це питання. Її висновки для EdSurge були похмурими. Школи слабкі щодо базової безпеки. Маленькі школи особливо привабливі для нападу. Навіщо штурмувати укріплену цитадель, коли можна просто вкрасти цінні речі з відкритого гаража? Перша лінія захисту — це не програмне забезпечення. Це люди. І люди втомлюються. Вони натискають на неправильні посилання.
Тому ми покладаємося на аудит.
Сертифікати. Контрольні списки. Дуглас Левін, який керує K12 Security Exchange, назвав це «театром відповідності». Він не помилився. Паперові щити не зупиняють кулі. Вони надають вам правовий захист лише тоді, коли щось йде не так.
Школам рекомендовано «навчати персонал» і «шукати сторонню допомогу». Розмовляти легко. Це важко зробити, коли ваш ІТ-спеціаліст – це та сама людина, яка ремонтує принтер у спортзалі.
Тиск зростає. Атаки стають все більш витонченими. Продовжуємо чекати, поки постачальник нас врятує.
Але вони цього не зроблять.
