Birçok okul bölgesinin öğrencilerin ilerlemesini izlemek için kullandığı yazılım, çocuklarla ilgili son derece gizli bilgileri kaydedebilir: “Zihinsel engellilik.” “Duygusal Bozukluk.” “Evsiz.” “Yıkıcı.” “Nispet.” “Suçlu.” “Aşırı Konuşma.” “Derslere katılmalı.”
Şimdi bu sistemler, önde gelen öğrenci takip yazılımı sağlayıcısı Illuminate Education’a yakın zamanda gerçekleşen ve New York City ve New York dahil olmak üzere düzinelerce bölgede bir milyondan fazla mevcut ve eski öğrencinin kişisel bilgilerini etkileyen bir siber saldırının ardından yoğun bir inceleme altına giriyor. Los Angeles, ülkenin en büyük devlet okulu sistemleri.
Yetkililer, bazı bölgelerde öğrencilerin isimleri, doğum tarihleri, ırkları veya etnik kökenleri ile test puanlarının veri içerdiğini söyledi. En az bir bölge, verinin öğrenci gecikme oranları, göçmenlik durumu, davranış olayları ve engel tanımları gibi daha samimi bilgiler içerdiğini söyledi.
Bu tür özel bilgilerin ifşa edilmesinin uzun vadeli sonuçları olabilir.
“Kötü bir öğrenciyseniz ve disiplin sorunlarınız varsa ve bu bilgi artık oradaysa, bundan nasıl kurtulursunuz?” Siber güvenlik uzmanı Joe Green ve oğlunun lisesi saldırıdan etkilenen Erie, Colo.’daki bir lise öğrencisinin ebeveyni. “Bu senin geleceğin. Üniversiteye girmek, iş bulmak. Her şey bu.”
Son on yılda, teknoloji şirketleri ve eğitim reformcuları, okulları, öğrencilerin sınıf patlamalarını, devamsızlıklarını ve öğrenme zorluklarını kataloglayabilen ve kategorize edebilen yazılım sistemlerini benimsemeye zorladı. Bu tür araçların amacı iyi niyetlidir: eğitimcilerin risk altındaki öğrencileri belirlemelerine ve müdahale etmelerine yardımcı olmak. Bununla birlikte, bu öğrenci izleme sistemleri yayıldıkça, okul yazılımı satıcılarına yönelik siber saldırılar da arttı – ülkenin üçüncü en büyük bölgesi olan Chicago Devlet Okullarını etkileyen yakın tarihli bir hack de dahil.
Şimdi bazı siber güvenlik ve gizlilik uzmanları, Illuminate Education’a yapılan siber saldırının endüstri ve hükümet düzenleyicileri için bir uyarı anlamına geldiğini söylüyor. Bu, bir ed teknolojisi şirketine yapılan en büyük saldırı olmasa da, bu uzmanlar veri ihlalinin doğası ve kapsamından rahatsız olduklarını söylüyorlar – bu, bazı durumlarda öğrenciler veya öğrenci verileri hakkında on yıldan daha eski olan hassas kişisel ayrıntıları içeriyordu. . Bazı eğitim teknolojisi şirketlerinin milyonlarca okul çocuğu hakkında hassas bilgiler topladığı bir anda, diyorlar ki, öğrenciler için güvenlik önlemleri tamamen yetersiz görünüyor.
Ofisi çocukların ve öğrencilerin mahremiyetini ihlal ettikleri için teknoloji şirketlerine dava açan New Mexico başsavcısı Hector Balderas, “Gerçekten destansı bir başarısızlık oldu” dedi.
Yakın tarihli bir röportajda, Bay Balderas, Kongre’nin öğrenciler için çağdaş, anlamlı veri korumaları yürürlüğe koymakta başarısız olduğunu, düzenleyicilerin ise eğitim teknoloji şirketlerini öğrencilerin gizliliğini ve güvenliğini ihlal etmekten sorumlu tutmadığını söyledi.
Bay Balderas, “Kesinlikle bir yaptırım ve hesap verebilirlik boşluğu var” dedi.
New Mexico başsavcısı Hector Balderas, çocukların ve öğrencilerin mahremiyetini ihlal ettiği için teknoloji şirketlerini takip etti. Kredi… Getty Images aracılığıyla Brent Lewis/Denver Post
Illuminate yaptığı açıklamada, “herhangi bir bilginin fiili veya kötüye kullanıma tabi olduğuna dair hiçbir kanıtı olmadığını” ve daha fazla siber saldırıyı önlemek için “güvenlik geliştirmelerini uyguladığını” söyledi.
Yaklaşık on yıl önce, mahremiyet ve güvenlik uzmanları, okullarda karmaşık veri madenciliği araçlarının yayılmasının öğrencilerin kişisel bilgilerinin korunmasını hızla geride bıraktığı konusunda uyarmaya başladılar. Milletvekilleri hemen yanıt verdi.
2014’ten bu yana, California, Colorado ve diğer düzinelerce eyalet, öğrenci veri gizliliği ve güvenlik yasalarını kabul etti. 2014’te düzinelerce K-12 ed teknoloji sağlayıcısı, “kapsamlı bir güvenlik programı” sürdürme sözü vererek ulusal bir Öğrenci Gizliliği Taahhüdü imzaladı.
Taahhüdün destekçileri, aldatıcı gizlilik uygulamalarını denetleyen Federal Ticaret Komisyonu’nun şirketleri taahhütlerini yerine getirebileceğini söyledi. Başkan Obama, 2015 yılında FTC’de yaptığı önemli bir gizlilik konuşmasında katılımcı şirketleri överek bu taahhüdü onayladı.
FTC, YouTube ve TikTok gibi tüketici hizmetlerinde çocukların mahremiyetini ihlal ettikleri için şirketlere uzun bir cezalandırma geçmişine sahiptir. Sorunlu gizlilik ve güvenlik uygulamalarına sahip ed teknoloji şirketlerinin sayısız raporuna rağmen, ajans henüz sektörün öğrenci gizliliği taahhüdünü uygulamış değil.
Mayıs ayında FTC, düzenleyicilerin, kişisel verilerini korumak için 13 yaşın altındaki çocuklara yönelik çevrimiçi hizmetler gerektiren bir federal yasayı (Çocukların Çevrimiçi Gizliliğini Koruma Yasası) ihlal eden eğitim teknolojisi şirketlerini çökertmeyi amaçladıklarını duyurdu. FTC sözcüsü Juliana Gruenwald Henderson, ajansın eğitim teknolojisi şirketlerine yönelik bir dizi kamuya açık olmayan soruşturma yürüttüğünü söyledi.
Merkezi Irvine, Kaliforniya’da bulunan Illuminate Education, ülkenin önde gelen öğrenci takip yazılımı satıcılarından biridir.
Şirketin sitesi, hizmetlerinin 5.200 okul bölgesinde 17 milyondan fazla öğrenciye ulaştığını söylüyor. Popüler ürünler arasında bir yoklama sistemi ve çevrimiçi bir not defterinin yanı sıra eğitimcilerin öğrencilerin “sosyal-duygusal davranışlarını” kaydetmelerini ve çocukları yeşil (“yolda”) olarak renk kodlamasını sağlayan eduCLIMBER adlı bir okul platformu yer alır. kırmızı (“yolda değil”).
Illuminate, siber güvenliğini destekledi. 2016 yılında şirket, öğrenci verisinin “korumaya desteğini” göstermek için sektör taahhüdüne imza attığını duyurdu.
Ocak ayında New York City okullarındaki bazı öğretmenlerin çevrimiçi devam ve not defteri sistemlerinin çalışmayı durdurduğunu keşfetmesinin ardından bir siber saldırıyla ilgili endişeler ortaya çıktı. Illuminate, ağının bir kısmında “şüpheli etkinlik” olduğunu fark ettikten sonra bu sistemleri geçici olarak devre dışı bıraktığını söyledi.
New York Şehri Devlet Okulları basın sekreteri Nathaniel Styer, 25 Mart’ta Illuminate’in bölgeye bazı şirket veritabanlarının yetkisiz erişime maruz kaldığını bildirdiğini söyledi. Olayın, yaklaşık 700 yerel okulda yaklaşık 800.000 mevcut ve eski öğrenciyi etkilediğini söyledi.
Etkilenen New York City öğrencileri için veri, ad ve soyadı, okul adı ve öğrenci kimlik numarasının yanı sıra aşağıdakilerden en az ikisini içeriyordu: doğum tarihi, cinsiyet, ırk veya etnik köken, ev dili ve öğretmen adı gibi sınıf bilgileri. Bazı durumlarda, öğrencilerin engellilik durumu, yani özel eğitim hizmetleri alıp almadıkları da etkilenmiştir.
New York City yetkilileri öfkeli olduklarını söyledi. 2020’de Illuminate, bölge ile şirketin öğrenci verilerini korumasını ve bir veri ihlali durumunda bölge yetkililerini derhal bilgilendirmesini gerektiren katı bir veri anlaşması imzaladı.
Şehir yetkilileri New York başsavcılığından ve FBI’dan soruşturma yapmasını istedi. Mayıs ayında, New York City’nin kendi araştırmasını yürüten eğitim departmanı, yerel okullara Illuminate ürünlerini kullanmayı bırakmaları talimatını verdi.
Belediye Başkanı Eric Adams, The New York Times’a yaptığı açıklamada, “Öğrencilerimiz yeterli güvenliğe sahip olmaya odaklanan bir ortağı hak ettiler, ancak bunun yerine bilgileri risk altında kaldı” dedi. Bay Adams, yönetiminin “öğrencilerimize vaat edilen güvenliği sağlayamamaktan şirketi tamamen sorumlu tutmak için baskı yaparken” düzenleyici kurumlarla birlikte çalıştığını da sözlerine ekledi.
Kendi soruşturmasını yürüten New York Eyalet Eğitim Departmanına göre, Illuminate saldırısı eyalet çapında 22 okul bölgesinde 174.000 öğrenciyi daha etkiledi.
Son dört ayda Illuminate, Connecticut, California, Colorado, Oklahoma ve Washington Eyaletindeki bir düzineden fazla bölgeyi siber saldırı hakkında bilgilendirdi.
Illuminate, kaç okul bölgesi ve öğrencinin etkilendiğini söylemeyi reddetti. Şirket yaptığı açıklamada, güvenlik olayını araştırmak için dışarıdan uzmanlarla çalıştığını ve 28 Aralık 2021 ile 8 Ocak 2022 arasında öğrenci bilgilerinin “potansiyel olarak yetkisiz erişime maruz kaldığı” sonucuna vardığını söyledi. Açıklamada, Illuminate’in güvenlik operasyonlarına adanmış beş tam zamanlı çalışanı olduğu belirtildi.
Illuminate, Amazon Web Services çevrimiçi depolama sisteminde tutulan öğrenci verilerini. Siber güvenlik uzmanları, birçok şirketin, veritabanlarını şirket platformları veya ürünlerinden sonra adlandırarak, bilgisayar korsanlarının bulmasını istemeden AWS depolama paketlerini kolaylaştırdığını söyledi.
Saldırının ardından Illuminate, bir baş bilgi güvenliği görevlisi de dahil olmak üzere altı ek tam zamanlı güvenlik ve uyumluluk çalışanı işe aldığını söyledi.
Illuminate’in Colorado’daki bir okul bölgesine gönderdiği bir mektuba göre, siber saldırıdan sonra şirket çok sayıda güvenlik yükseltmesi de yaptı. Mektupta, diğer değişikliklerin yanı sıra, Illuminate, tüm AW.S. hesapları ve şimdi AWS dosyaları için geliştirilmiş oturum açma güvenliğini zorunlu kılıyor.
Ancak bir siber güvenlik risk yönetimi firması olan UpGuard’ın siber araştırmalardan sorumlu başkan yardımcısı Greg Pollock, bir muhabirle yaptığı röportaj sırasında, Illuminate’in kolayca tahmin edilebilir bir isme sahip AWS paketlerinden birini buldu. Muhabir daha sonra okullar için popüler bir Illuminate platformunun adını taşıyan ikinci bir AWS paketi buldu.
Illuminate, güvenlik uygulaması hakkında “güvenlik nedenleriyle” ayrıntı veremeyeceğini söyledi.
Hem eğitim teknolojisi şirketlerine hem de devlet okullarına yönelik bir dizi siber saldırının ardından eğitim yetkilileri, Washington’un öğrencileri korumak için müdahale etme zamanının geldiğini söyledi.
New York Şehri okulları sözcüsü Bay Styer, “Federal düzeydeki değişikliklerin zamanı geldi ve ani ve ülke çapında bir etkisi olabilir” dedi. Örneğin Kongre, okul satıcılarına veri güvenlik gereksinimleri uygulamak için federal eğitim gizlilik kurallarını değiştirebileceğini söyledi. Bu, federal kurumların uymayan şirketlere para cezası vermesini sağlayacaktır.
Bir ajans zaten çöktü – ancak öğrenciler adına değil.
Geçen yıl, Menkul Kıymetler ve Borsa Komisyonu, okullar için önemli bir değerlendirme yazılımı sağlayıcısı olan Pearson’ı, milyonlarca öğrencinin doğum tarihlerinin ve e-posta adreslerinin çalındığı bir siber saldırı hakkında yatırımcıları yanıltıcı olmakla suçladı. Pearson, suçlamaları halletmek için 1 milyon dolarlık hisse vermeyi kabul etti.
Başsavcı Bay Balderas, mali düzenleyicilerin Pearson davasında yatırımcıları korumak için harekete geçmesine çileden çıktığını söyledi – gizlilik düzenleyicileri siber suç mağduru olan okul çocukları için adım atmakta başarısız olsa bile.
Bay Balderas, “Benim endişem, özellikle teknoloji protokollerinin çok sağlam olmadığını düşündüklerinde, bir devlet okulu ortamından yararlanacak kötü aktörler olacağıdır” dedi. “Ve Kongre’nin neden henüz korkmadığını bilmiyorum.”