حمله سایبری وضعیت متزلزل حریم خصوصی دانش آموزان را روشن می کند

نرم افزاری که بسیاری از دپارتمان های آموزشی از آن برای پیگیری پیشرفت دانش آموزان استفاده می کنند، می تواند اطلاعات بسیار طبقه بندی شده در مورد کودکان را ثبت کند: «ناتوانی ذهنی». “آشفتگی عاطفی.” “بی خانمان.” “ناوشکن.” “چالش.” “جنایتکار.” “حرف زدن زیاد.” او باید در تدریس خصوصی شرکت کند.

پس از حمله سایبری اخیر به Illuminate Education، ارائه دهنده پیشرو نرم افزار ردیابی دانش آموز، که اطلاعات شخصی بیش از 1 میلیون دانش آموز فعلی و سابق را در ده ها شهرستان – از جمله در شهر نیویورک و لوس – تحت تأثیر قرار داد، اکنون این سیستم ها تحت نظارت شدید قرار دارند. آنجلس، بزرگترین سیستم مدارس دولتی در جهان. کشور.

مقامات گفتند که داده ها در برخی مناطق شامل نام، تاریخ تولد، جنسیت، نژاد و نمرات آزمون برای دانش آموزان است. حداقل یک منطقه گفت که داده ها شامل اطلاعات دقیق تری مانند میزان تاخیر دانش آموزان، وضعیت مهاجران، حوادث رفتاری و توصیف ناتوانی ها است.

افشای چنین اطلاعات خصوصی می تواند عواقب گسترده ای داشته باشد.

“اگر دانش آموز بدی هستید و مشکلات انضباطی دارید و این اطلاعات اکنون در دسترس است، چگونه از آن خلاص می شوید؟” جو گرین، متخصص امنیت سایبری و والدین دانش آموز دبیرستانی در ایری، کلرادو، که دبیرستان پسرش تحت تأثیر هک قرار گرفت، گفت. “این آینده شماست. رفتن به دانشگاه و یافتن شغل. این همه چیز است.”

در دهه گذشته، شرکت‌های فناوری و اصلاح‌طلبان آموزشی مدارس را به سمت استفاده از سیستم‌های نرم‌افزاری سوق داده‌اند که می‌تواند شیوع کلاس‌های درس، غیبت و چالش‌های یادگیری دانش‌آموزان را طبقه‌بندی و طبقه‌بندی کند. هدف از چنین ابزارهایی منطقی است: کمک به معلمان برای شناسایی و مداخله دانش آموزان در معرض خطر. و با افزایش این سیستم‌های ردیابی دانش‌آموزان، حملات سایبری به فروشندگان نرم‌افزار مدارس نیز افزایش می‌یابد – از جمله هک اخیری که مدارس دولتی شیکاگو، سومین ناحیه بزرگ کشور را تحت تأثیر قرار داد.

اکنون برخی از کارشناسان امنیت سایبری و حریم خصوصی می گویند که حمله سایبری به آموزش Illuminate به عنوان هشداری برای صنعت و تنظیم کننده های دولتی عمل می کند. اگرچه این بزرگ‌ترین هک یک شرکت فناوری آموزشی نبود، اما این کارشناسان می‌گویند که از ماهیت و دامنه نقض داده‌ها نگران هستند – که در برخی موارد شامل جزئیات شخصی کوچک در مورد دانش‌آموزان یا داده‌های دانش‌آموزی است که قدمت آن به بیش از یک سال می‌رسد. دهه . آنها می گویند در حالی که برخی از شرکت های فناوری آموزشی اطلاعات حساس میلیون ها دانش آموز را جمع آوری کرده اند، اقدامات برای محافظت از داده های دانش آموزان به طرز تاسف باری ناکافی به نظر می رسد.

هکتور بالدراس، دادستان کل نیومکزیکو، که دفترش از شرکت‌های فناوری به دلیل نقض حریم خصوصی کودکان و دانش‌آموزان شکایت کرده است، گفت: «واقعاً یک شکست رخ داد.

در مصاحبه اخیر، آقای بالدراس گفت که کنگره نتوانسته است حفاظت از داده‌های به‌روز و معنی‌داری را برای دانش‌آموزان وضع کند، در حالی که قانون‌گذاران نتوانسته‌اند شرکت‌های فناوری دولتی را مسئول نقض حریم خصوصی و امنیت داده‌های دانش‌آموز بدانند.

آقای بالدراس گفت: “قطعاً شکاف اجرایی و پاسخگویی وجود دارد.”

ایلومینیت در بیانیه‌ای اعلام کرد که «هیچ مدرکی دال بر سوء استفاده واقعی یا سوءاستفاده از هرگونه اطلاعات» ندارد و «پیشرفت‌های امنیتی برای جلوگیری از» حملات سایبری بیشتر انجام داده است.

نزدیک به یک دهه پیش، کارشناسان حریم خصوصی و امنیت هشدار دادند که گسترش ابزارهای پیچیده داده کاوی در مدارس به سرعت از حفاظت از اطلاعات شخصی دانش آموزان پیشی گرفته است. نمایندگان مجلس به سرعت پاسخ دادند.

از سال 2014، کالیفرنیا، کلرادو و ده ها ایالت دیگر قوانین حفظ حریم خصوصی و امنیت اطلاعات دانش آموزان را تصویب کرده اند. در سال 2014، ده‌ها ارائه‌دهنده فناوری از مهدکودک تا دبیرستان، تعهد ملی حفظ حریم خصوصی دانش‌آموزان را امضا کردند و قول دادند «برنامه امنیتی جامع» را حفظ کنند.

حامیان این تعهد گفتند که کمیسیون تجارت فدرال، که بر شیوه های فریبنده حفظ حریم خصوصی نظارت می کند، می تواند شرکت ها را به تعهدات خود نگه دارد. پرزیدنت اوباما این تعهد را تأیید کرد و از شرکت های شرکت کننده در سخنرانی مهم حریم خصوصی FTC در سال 2015 تمجید کرد.

FTC سابقه طولانی در جریمه کردن شرکت ها به دلیل نقض حریم خصوصی کودکان در خدمات مصرف کننده مانند YouTube و TikTok دارد. علیرغم گزارش‌های متعدد مبنی بر اینکه شرکت‌های فناوری آموزشی با مسائل مربوط به حریم خصوصی و امنیتی مواجه هستند، آژانس هنوز تعهدنامه حریم خصوصی دانش‌آموز را در این زمینه اجرا نکرده است.

در ماه مه، کمیسیون تجارت فدرال (FTC) اعلام کرد که رگولاتورها قصد دارند شرکت‌های فناوری آموزشی را که قانون فدرال – قانون حفاظت از حریم خصوصی آنلاین کودکان – را نقض می‌کنند، سرکوب کنند که خدمات آنلاین کودکان زیر 13 سال را برای محافظت از داده‌های شخصی آنها ملزم می‌کند. جولیانا گرونوالد هندرسون، سخنگوی کمیسیون تجارت فدرال، گفت که آژانس در حال پیگیری تعدادی از تحقیقات غیر عمومی در مورد شرکت های فناوری آموزشی است.

Illuminate Education که دفتر مرکزی آن در ایروین، کالیفرنیا واقع شده است، یکی از پیشروترین فروشندگان نرم افزار ردیابی دانش آموز در کشور است.

وب سایت این شرکت می گوید که خدمات آن به بیش از 17 میلیون دانش آموز در 5200 منطقه مدرسه می رسد. محصولات پرطرفدار شامل یک سیستم ثبت حضور و غیاب و یک کتاب کلاس آنلاین و همچنین یک پلتفرم مدرسه به نام eduCLIMBER است که معلمان را قادر می‌سازد تا «رفتار عاطفی-اجتماعی» دانش‌آموزان و کد رنگی کودکان را با رنگ سبز («در مسیر») یا قرمز ثبت کنند. “در مسیر نیست”).

Illuminate امنیت سایبری خود را افزایش داده است. در سال 2016، این شرکت اعلام کرد که یک تعهد صنعتی را برای نشان دادن “حمایت خود از حفاظت” از داده های دانش آموزان امضا کرده است.

نگرانی‌ها در مورد حمله سایبری در ماه ژانویه پس از اینکه برخی از معلمان در مدارس شهر نیویورک متوجه شدند که سیستم‌های حضور و غیاب آنلاین و کتاب‌های نمره از کار افتاده‌اند، ظاهر شد. Illuminate گفت که این سیستم ها را پس از آگاهی از “فعالیت مشکوک” در بخشی از شبکه خود متوقف کرده است.

ناتانیل استیر، دبیر مطبوعاتی مدارس دولتی شهر نیویورک گفت، در 25 مارس، ایلومینیت به منطقه اطلاع داد که برخی از پایگاه های داده شرکت در معرض دسترسی غیرمجاز قرار گرفته اند. وی گفت: این حادثه حدود 800 هزار دانش آموز فعلی و سابق در حدود 700 مدرسه محلی را تحت تأثیر قرار داده است.

برای دانش آموزان آسیب دیده شهر نیویورک، داده ها شامل نام و نام خانوادگی، نام مدرسه، شماره شناسه دانش آموزی و همچنین حداقل دو مورد از موارد زیر بود: تاریخ تولد، جنسیت، نژاد یا قومیت، زبان محلی، و اطلاعات کلاس مانند معلم نام. در برخی موارد، وضعیت ناتوانی دانش آموزان تحت تأثیر قرار گرفت – یعنی اینکه آیا آنها خدمات آموزشی ویژه دریافت کردند یا نه.

مقامات شهر نیویورک گفتند که عصبانی هستند. در سال 2020، Illuminate یک توافقنامه داده سختگیرانه را با منطقه امضا کرد که شرکت را ملزم می‌کند از داده‌های دانش‌آموز محافظت کند و در صورت وقوع نقض داده، بلافاصله به مدیران منطقه اطلاع دهد.

مقامات شهر از دفتر دادستان کل نیویورک و اف بی آی خواسته اند تا در این باره تحقیق کنند. در ماه مه، اداره آموزش شهر نیویورک، که تحقیقات خود را انجام می دهد، به مدارس محلی دستور داد استفاده از محصولات Illuminate را متوقف کنند.

شهردار اریک آدامز در بیانیه ای به نیویورک تایمز گفت: «دانشجویان ما سزاوار شریکی بودند که بر تامین امنیت کافی تمرکز داشت، اما در عوض، اطلاعات آنها در معرض خطر قرار گرفت. آقای آدامز افزود که دولت او با تنظیم‌کننده‌ها کار می‌کند “زیرا ما تلاش می‌کنیم تا شرکت را به طور کامل در قبال عدم ارائه ایمنی وعده داده شده به دانش‌آموزانمان مسئول بدانیم”.

به گفته وزارت آموزش ایالت نیویورک که تحقیقات خود را انجام می دهد، هک Illuminate بر 174000 دانش آموز دیگر در 22 منطقه مدرسه در سراسر ایالت تأثیر گذاشت.

در طول چهار ماه گذشته، ایلومینیت همچنین به بیش از ده شهرستان دیگر – در کانکتیکات، کالیفرنیا، کلرادو، اوکلاهما و ایالت واشنگتن – در مورد این حمله سایبری اطلاع داده است.

ایلومینیت از بیان اینکه چه تعداد از مدارس و دانش آموزان تحت تاثیر قرار گرفته اند خودداری کرد. در بیانیه ای، این شرکت گفت که با کارشناسان خارجی برای بررسی این حادثه امنیتی کار کرده است و به این نتیجه رسیده است که اطلاعات دانش آموزان بین 28 دسامبر 2021 و 8 ژانویه 2022 “به طور بالقوه در برابر دسترسی های غیرمجاز آسیب پذیر است.” در آن زمان، بیانیه می گوید Illuminate پنج کارمند تمام وقت که به عملیات امنیتی اختصاص داده شده اند.

داده‌های دانش‌آموزان را در سیستم ذخیره‌سازی آنلاین خدمات وب آمازون روشن کنید. کارشناسان امنیت سایبری گفته‌اند که بسیاری از شرکت‌ها به‌طور ناخواسته یافتن مخازن ذخیره‌سازی AWS را برای هکرها آسان‌تر کرده‌اند – با نامگذاری پایگاه‌های اطلاعاتی به پلتفرم‌ها یا محصولات شرکت.

در پی این هک، Illuminate گفت که شش کارمند امنیتی و انطباق تمام وقت اضافی، از جمله یک افسر ارشد امنیت اطلاعات را استخدام کرده است.

بر اساس نامه ای که Illuminate به یکی از مدارس کلرادو ارسال کرد، پس از حمله سایبری، این شرکت چندین ارتقاء امنیتی نیز انجام داد. از جمله تغییرات دیگر، Illuminate نظارت مستمر شخص ثالث را بر روی تمام دستگاه‌های AWS خود ایجاد کرده است. اکنون امنیت ورود به سیستم پیشرفته ای را برای فایل های AWS خود اعمال می کند.

اما در طول مصاحبه با یک خبرنگار، گرگ بولاک، معاون تحقیقات سایبری در UpGuard، یک شرکت مدیریت ریسک امنیت سایبری، یکی از سطل های AWS Illuminate را با نامی که به راحتی قابل حدس زدن بود، پیدا کرد. سپس خبرنگار دومین کانتینر AWS را به نام پلتفرم محبوب Illuminate برای مدارس پیدا کرد.

ایلومینیت گفت که به دلایل امنیتی نمی تواند جزئیاتی در مورد اقدامات امنیتی خود ارائه کند.

پس از یک سری حملات سایبری به شرکت های فناوری آموزشی و مدارس دولتی، مقامات آموزش و پرورش گفتند که وقت آن رسیده است که واشنگتن برای محافظت از دانش آموزان وارد عمل شود.

آقای استایر، سخنگوی مدارس شهر نیویورک، گفت: «تغییرات در سطح فدرال دیر شده است و می تواند تأثیر فوری در سطح ملی داشته باشد. او گفت، برای مثال، کنگره می‌تواند قوانین حریم خصوصی آموزش فدرال را برای اعمال الزامات امنیت داده‌ها در فروشندگان مدارس اصلاح کند. این امر به آژانس‌های فدرال امکان می‌دهد تا شرکت‌هایی را که رعایت نمی‌کنند جریمه کنند.

یک آژانس قبلاً آن را سرکوب کرده است – اما نه از طرف دانشجویان.

سال گذشته، کمیسیون بورس و اوراق بهادار، پیرسون، ارائه‌دهنده بزرگ نرم‌افزار ارزیابی مدارس را به گمراه کردن سرمایه‌گذاران در مورد حمله سایبری که در آن تاریخ تولد و آدرس ایمیل میلیون‌ها دانش‌آموز به سرقت رفت، متهم کرد. پیرسون با پرداخت 1 میلیون دلار برای رفع اتهامات موافقت کرد.

آقای بالدراس، دادستان کل، گفت که از این که تنظیم‌کننده‌های مالی برای محافظت از سرمایه‌گذاران در پرونده پیرسون اقدام کردند، خشمگین است – حتی اگر تنظیم‌کننده‌های حریم خصوصی از بچه‌های مدرسه‌ای که قربانی جرایم سایبری شده‌اند حمایت کنند.

آقای بالدراس گفت: “نگرانی من این است که بازیگران بدی وجود داشته باشند که از محیط مدارس دولتی سوء استفاده کنند، به خصوص زمانی که فکر می کنند پروتکل های فناوری خیلی قوی نیستند.” من نمی دانم چرا کنگره هنوز نمی ترسد.