Cyberaanval verlicht de wankele staat van de privacy van studenten

Cyberaanval verlicht de wankele staat van de privacy van studenten

De software die veel onderwijsafdelingen gebruiken om de voortgang van studenten bij te houden, kan zeer geheime informatie over kinderen vastleggen: ‘verstandelijke handicap’. “Emotionele onrust.” “dakloos.” “Torpedojager.” “de uitdaging.” “de crimineel.” “Overdreven praten.” ‘Hij zou bijles moeten krijgen.’

Die systemen worden nu intensief onder de loep genomen na een recente cyberaanval op Illuminate Education, de toonaangevende leverancier van software voor het volgen van leerlingen, waarbij de persoonlijke informatie van meer dan 1 miljoen huidige en voormalige studenten in tientallen provincies werd aangetast, waaronder in New York City en Los Angeles. Angeles, het grootste openbare schoolsysteem ter wereld.

Ambtenaren zeiden dat de gegevens in sommige gebieden namen, geboortedata, geslachten, rassen en testscores voor studenten bevatten. Ten minste één district zei dat de gegevens meer intieme informatie bevatten, zoals het te laat komen van studenten, de status van immigranten, gedragsincidenten en beschrijvingen van handicaps.

Het onthullen van dergelijke privé-informatie kan verstrekkende gevolgen hebben.

“Als je een slechte student bent en disciplinaire problemen hebt en deze informatie is nu beschikbaar, hoe herstel je dan?” zei Joe Green, een cyberbeveiligingsspecialist en ouder van een middelbare scholier in Erie, Colorado, wiens zoons middelbare school werd getroffen door de hack. “Het is jouw toekomst. Het is naar de universiteit gaan en een baan krijgen. Het is alles.”

In de afgelopen tien jaar hebben technologiebedrijven en onderwijsvernieuwers scholen ertoe aangezet om softwaresystemen in te voeren die uitbraken, absenteïsme en leerproblemen van leerlingen kunnen categoriseren en categoriseren. De bedoeling van dergelijke tools is logisch: om leraren te helpen bij het identificeren van en ingrijpen bij leerlingen die risico lopen. Naarmate deze leerlingvolgsystemen zich verspreiden, nemen ook cyberaanvallen op leveranciers van schoolsoftware toe, waaronder de recente hack die schoolsoftware trof. Openbare scholen in Chicagode op twee na grootste regio van het land.

Nu zeggen sommige experts op het gebied van cyberbeveiliging en privacy dat de cyberaanval op Illuminate Education een waarschuwing is voor de industrie en de overheid. Hoewel het niet de grootste hack van een educatief technologiebedrijf was, zeggen deze experts dat ze gealarmeerd zijn door de aard en omvang van het datalek – waarbij in sommige gevallen minieme persoonlijke details over studenten of studentgegevens uit het verleden betrokken waren . meer dan een decennium. Hoewel sommige onderwijstechnologiebedrijven gevoelige informatie hebben verzameld over miljoenen schoolkinderen, lijken maatregelen om leerlinggegevens te beschermen hopeloos ontoereikend.

Hector Balderas, de procureur-generaal van New Mexico, wiens kantoor een rechtszaak heeft aangespannen tegen… technologie bedrijven om de privacy van kinderen te schenden en de studenten.

In een recent interview zei de heer Balderas dat het Congres er niet in is geslaagd om actuele en zinvolle gegevensbescherming voor studenten uit te vaardigen, terwijl regelgevers geregeerde technologiebedrijven niet verantwoordelijk hebben gehouden voor het schenden van de privacy en beveiliging van studentengegevens.

“Er is zeker een hiaat in de implementatie en verantwoording”, zei de heer Balderas.

In een verklaring zei Illuminate dat het “geen bewijs had dat informatie het onderwerp was van daadwerkelijk misbruik of poging tot misbruik” en dat het “beveiligingsverbeteringen had doorgevoerd om verdere cyberaanvallen te voorkomen”.

Bijna tien jaar geleden begonnen privacy- en beveiligingsexperts te waarschuwen dat de verspreiding van geavanceerde tools voor datamining op scholen snel ging. Bescherming voor studenten‘ persoonlijke informatie. Wetgevers reageerden snel.

Sinds 2014 hebben Californië, Colorado en tientallen andere staten de privacy- en beveiligingswetten voor studentengegevens aangenomen. In 2014 logden tientallen technologieaanbieders van kleuterschool tot secundair onderwijs in op een burger Privacybelofte voor studentenmet de belofte een “uitgebreid beveiligingsprogramma” te handhaven.

Aanhangers van de belofte zeiden dat de Federal Trade Commission, die toezicht houdt op misleidende privacypraktijken, bedrijven aan hun verplichtingen zou kunnen houden. president Obama trouw aan de beloftewaarin de bedrijven worden geprezen die hebben deelgenomen aan een belangrijke privacytoespraak bij de Federal Trade Commission in 2015.

De FTC heeft een lange geschiedenis in het beboeten van bedrijven voor het schenden van de privacy van kinderen op een consument Diensten zoals YouTube En de tik tok. ondanks Talloze rapporten van elektronische technologiebedrijven problematische privacy En de beveiligingspraktijkenHet bureau moet echter nog steeds de privacybelofte van de sector voor studenten handhaven.

In mei heeft de Federal Trade Commission vrijgegeven: aankondigen Dat regelgevers van plan zijn hard op te treden tegen educatieve technologiebedrijven die een federale wet overtreden – de Children’s Online Privacy Protection Act – die onlinediensten vereist die gericht zijn op kinderen onder de 13 jaar om hun persoonlijke gegevens te beschermen. Juliana Groenewald Henderson, een woordvoerster van de Federal Trade Commission, zei dat het bureau een aantal niet-openbare onderzoeken uitvoert naar bedrijven in onderwijstechnologie.

Illuminate Education, met hoofdkantoor in Irvine, Californië, is een van ‘s lands toonaangevende verkopers van software voor het volgen van studenten.

De De website van het bedrijf Het zegt dat zijn diensten meer dan 17 miljoen studenten bereiken in 5.200 schooldistricten. Populaire producten zijn onder meer een aanwezigheidssysteem en online cijferlijst, evenals een schoolplatform genaamd eduCLIMBER, waarmee leraren het ‘sociaal-emotionele gedrag’ van leerlingen kunnen vastleggen en kinderen kunnen kleuren als groen (“op de goede weg”) of rood (“niet op de goede weg”).

Illuminate heeft zijn eigen cyberbeveiliging verbeterd. In 2016 kondigde het bedrijf aan dat het de Industry Pledge had ondertekend Om zijn steun voor bescherming te tonen“studenteninformatie.

Bezorgdheid over een cyberaanval dook in januari op nadat enkele leraren op scholen in New York City ontdekten dat een online aanwezigheidssysteem en het schrijven van cijfers stop met werken. Illuminate zei dat het deze systemen heeft onderbroken nadat het zich bewust werd van “verdachte activiteit” op een deel van zijn netwerk.

Op 25 maart bracht Illuminate het district op de hoogte dat sommige van de databases van het bedrijf onderhevig waren aan ongeautoriseerde toegang, zei Nathaniel Steer, perssecretaris voor openbare scholen in New York City. Hij zei dat het ongeval ongeveer 800.000 huidige en voormalige studenten in ongeveer 700 lokale scholen trof.

Voor getroffen New York City-studenten omvatten de gegevens voor- en achternaam, schoolnaam, student-ID-nummer en ten minste twee van de volgende: geboortedatum, geslacht, ras of etniciteit, lokale taal en klasinformatie zoals leraar naam. In sommige gevallen werd de handicapstatus van studenten aangetast, dat wil zeggen of ze al dan niet speciaal onderwijs ontvingen.

Ambtenaren van New York City Ze zeiden dat ze boos waren. In 2020 tekende Illuminate een strenge data-overeenkomst met het district die het bedrijf verplicht om studentgegevens te beschermen en districtsbestuurders onmiddellijk te informeren in het geval van een datalek.

Ambtenaren van de stad hebben het kantoor van de procureur-generaal van New York en de FBI opgeroepen om het te onderzoeken. In mei gaf het New York City Department of Education, dat zijn eigen onderzoek voert, lokale scholen de opdracht om te stoppen met het gebruik van Illuminate-producten.

“Onze studenten verdienden een partner die zich richtte op het bieden van adequate beveiliging, maar in plaats daarvan werd hun informatie in gevaar gebracht”, zei burgemeester Eric Adams in een verklaring aan The New York Times. De heer Adams voegde eraan toe dat zijn administratie samenwerkt met regelgevers “omdat we erop aandringen om het bedrijf volledig verantwoordelijk te houden voor het niet bieden van de beloofde veiligheid aan onze studenten”.

De Illuminate-hack trof nog eens 174.000 studenten in 22 schooldistricten in de staat, volgens het New York State Department of Education, dat zijn eigen onderzoek uitvoert.

In de afgelopen vier maanden heeft Illuminate ook meer dan een dozijn andere provincies – in Connecticut, Californië, Colorado, Oklahoma en de staat Washington – geïnformeerd over de cyberaanval.

Illuminate weigerde te zeggen hoeveel schooldistricten en studenten werden getroffen. In een verklaring zei het bedrijf dat het met externe experts werkte om het beveiligingsincident te onderzoeken en tot de conclusie kwam dat studenteninformatie tussen 28 december 2021 en 8 januari 2022 “mogelijk kwetsbaar was voor ongeautoriseerde toegang”. vijf Fulltime medewerkers die zich bezighouden met beveiligingsoperaties.

verlicht Studentgegevens blijven behouden Op het online opslagsysteem van Amazon Web Services. Cybersecurity-experts hebben gezegd dat veel bedrijven het hackers onbedoeld gemakkelijker hebben gemaakt om AWS-opslagvaten te vinden – door databases te noemen naar de platforms of producten van het bedrijf.

In de nasleep van de hack zei Illuminate dat het zes extra fulltime beveiligings- en nalevingsmedewerkers heeft aangenomen, waaronder een chief information security officer.

Na de cyberaanval heeft het bedrijf ook verschillende beveiligingsupgrades doorgevoerd, volgens een brief die Illuminate naar een schooldistrict in Colorado stuurde. Naast andere veranderingen heeft Illuminate continue monitoring door derden ingesteld op al zijn AWS-apparaten, aldus het bericht. Het dwingt nu verbeterde inlogbeveiliging af voor zijn AWS-bestanden.

Maar tijdens een interview met een verslaggever vond Greg Bullock, vice-president cyberonderzoek bij UpGuard, een bedrijf voor cyberbeveiligingsrisicobeheer, een van Illuminate’s AWS-buckets met een gemakkelijk te raden naam. Toen vond de verslaggever een tweede AWS-container genoemd naar het populaire Illuminate-platform voor scholen.

Illuminate zei dat het om “veiligheidsredenen” geen details kon geven over zijn beveiligingspraktijken.

na, na ijsbergWat betreft cyberaanvallen op zowel educatieve technologiebedrijven als openbare scholen, zeiden onderwijsfunctionarissen dat het tijd was voor Washington om in te grijpen om studenten te beschermen.

“Veranderingen op federaal niveau zijn achterstallig en kunnen een onmiddellijke nationale impact hebben”, zei de heer Steyer, een woordvoerder van scholen in New York City. Hij zei dat het Congres bijvoorbeeld de privacyregels van het federale onderwijs zou kunnen wijzigen om de vereisten voor gegevensbeveiliging aan schoolverkopers af te dwingen. Dit zou federale agentschappen in staat stellen boetes op te leggen aan bedrijven die zich niet aan de regels houden.

Eén instantie heeft er al tegen opgetreden, maar niet namens de studenten.

Vorig jaar gaf de Securities and Exchange Commission Pearson, een belangrijke leverancier van evaluatieprogramma’s voor scholen, de opdracht om: beleggers misleiden Over een cyberaanval waarbij de geboortedata en e-mailadressen van miljoenen studenten werden gestolen. Pearson stemde ermee in om $ 1 miljoen te betalen om de kosten te schikken.

De heer Balderas, de procureur-generaal, zei dat hij boos was dat financiële toezichthouders handelden om investeerders in de Pearson-zaak te beschermen – zelfs als privacytoezichthouders er niet in slaagden schoolkinderen te ondersteunen die het slachtoffer waren van cybercriminaliteit.

“Mijn zorg is dat er slechte actoren zullen zijn die de openbare schoolomgeving zullen exploiteren, vooral wanneer ze denken dat de technologieprotocollen niet erg robuust zijn”, zei de heer Balderas. “Ik weet niet waarom het Congres nog niet bang is.”