يضهر الهجوم الإلكتروني الحالة المهتزة لخصوصية الطلاب
يمكن للبرنامج الذي تستخدمه العديد من المناطق التعليمية لتتبع تقدم الطلاب تسجيل معلومات سرية للغاية عن الأطفال: “الإعاقة الذهنية”. “الاضطراب العاطفي.” “بلا مأوى.” “مدمرة.” “التحدي.” “مرتكب الجريمة.” “الحديث المفرط.” “يجب أن يحضر الدروس الخصوصية.”
تخضع هذه الأنظمة الآن لتدقيق شديد بعد هجوم إلكتروني حديث على Illuminate Education ، المزود الرائد لبرامج تتبع الطلاب ، والذي أثر على المعلومات الشخصية لأكثر من مليون طالب حالي وسابق عبر عشرات المقاطعات – بما في ذلك في مدينة نيويورك و لوس أنجلوس ، أكبر أنظمة المدارس العامة في البلاد.
وقال مسؤولون إن البيانات في بعض المناطق تضمنت الأسماء وتواريخ الميلاد والأجناس والأعراق وعشرات الاختبارات للطلاب. قالت منطقة واحدة على الأقل إن البيانات تضمنت معلومات أكثر حميمية مثل معدلات تأخر الطلاب وحالة المهاجرين وحوادث السلوك وأوصاف الإعاقات.
إن كشف مثل هذه المعلومات الخاصة يمكن أن يكون له عواقب بعيدة المدى.
“إذا كنت طالبًا سيئًا ولديك مشاكل تأديبية وهذه المعلومات متوفرة الآن ، كيف تتعافى من ذلك؟” قال جو جرين ، وهو متخصص في الأمن السيبراني ووالد طالب في مدرسة ثانوية في إيري ، كولورادو ، والذي تأثرت مدرسة ابنه الثانوية بالاختراق. “إنه مستقبلك. إنه الالتحاق بالجامعة والحصول على وظيفة. انها كل شيء.”
على مدار العقد الماضي ، دفعت شركات التكنولوجيا ومصلحو التعليم المدارس إلى اعتماد أنظمة برمجية يمكنها تصنيف وتصنيف اندلاع الفصول الدراسية والتغيب وتحديات التعلم لدى الطلاب. إن القصد من مثل هذه الأدوات له معنى جيد: لمساعدة المعلمين على تحديد الطلاب المعرضين للخطر والتدخل معهم. ومع انتشار أنظمة تتبع الطلاب هذه ، فقد انتشرت أيضًا الهجمات الإلكترونية على بائعي البرامج المدرسية – بما في ذلك الاختراق الأخير الذي أثر على مدارس شيكاغو العامة ، ثالث أكبر منطقة في البلاد.
الآن يقول بعض خبراء الأمن السيبراني والخصوصية أن الهجوم الإلكتروني على Illuminate Education بمثابة تحذير لمنظمي الصناعة والحكومة. على الرغم من أنه لم يكن أكبر اختراق لشركة تكنولوجيا تعليمية ، إلا أن هؤلاء الخبراء يقولون إنهم منزعجون من طبيعة ونطاق خرق البيانات – والذي تضمن ، في بعض الحالات ، تفاصيل شخصية دقيقة عن الطلاب أو بيانات الطلاب التي يعود تاريخها إلى أكثر من عقد. . في الوقت الذي جمعت فيه بعض شركات تكنولوجيا التعليم معلومات حساسة عن الملايين من أطفال المدارس ، كما يقولون ، تبدو إجراءات حماية بيانات الطلاب غير كافية على الإطلاق.
قال هيكتور بالديراس ، المدعي العام لنيو مكسيكو ، الذي رفع مكتبه دعوى قضائية ضد شركات التكنولوجيا لانتهاكها خصوصية الأطفال والطلاب: “كان هناك حقًا فشل ذريع”.
في مقابلة أجريت معه مؤخرًا ، قال السيد بالديراس إن الكونجرس فشل في سن حماية بيانات حديثة وذات مغزى للطلاب بينما فشل المنظمون في تحميل شركات التكنولوجيا المحكومة المسؤولية عن انتهاك خصوصية بيانات الطلاب وأمانها.
قال السيد بالديراس: “هناك بالتأكيد فجوة في التطبيق والمساءلة”.
وقالت Illuminate في بيان لها إنه “ليس لديها دليل على أن أي معلومات كانت عرضة لسوء استخدام فعلي أو محاولة إساءة استخدام” وأنها “نفذت تحسينات أمنية لمنع” المزيد من الهجمات الإلكترونية.
منذ ما يقرب من عقد من الزمان ، بدأ خبراء الخصوصية والأمان في التحذير من أن انتشار أدوات التنقيب عن البيانات المتطورة في المدارس قد تجاوز بسرعة إجراءات حماية المعلومات الشخصية للطلاب. سارع المشرعون للرد.
منذ عام 2014 ، أقرت ولايات كاليفورنيا وكولورادو وعشرات الولايات الأخرى قوانين خصوصية وأمان بيانات الطلاب. في عام 2014 ، وقع العشرات من مزودي التكنولوجيا من رياض الأطفال حتى نهاية التعليم الثانوي على تعهد خصوصية الطلاب الوطني ، ووعدوا بالحفاظ على “برنامج أمان شامل”.
وقال مؤيدو التعهد إن لجنة التجارة الفيدرالية ، التي تراقب ممارسات الخصوصية الخادعة ، ستكون قادرة على إلزام الشركات بالتزاماتها. أيد الرئيس أوباما التعهد ، مشيدًا بالشركات المشاركة في خطاب خصوصية هام في F.T.C. في عام 2015.
قدم فريق F.T.C. لديها تاريخ طويل في تغريم الشركات لانتهاكها خصوصية الأطفال على خدمات المستهلك مثل YouTube و TikTok. على الرغم من التقارير العديدة عن شركات تكنولوجيا التعليم التي تعاني من مشاكل الخصوصية والأمان ، إلا أن الوكالة لم تنفذ حتى الآن تعهد خصوصية الطلاب في هذا المجال.
في مايو ، قدم فريق F.T.C. أعلن أن المنظمين يعتزمون اتخاذ إجراءات صارمة ضد شركات التكنولوجيا التعليمية التي تنتهك قانونًا فيدراليًا – قانون حماية خصوصية الأطفال على الإنترنت – الذي يتطلب خدمات عبر الإنترنت تستهدف الأطفال دون سن 13 عامًا لحماية بياناتهم الشخصية. قالت جوليانا جروينوالد هندرسون ، إحدى شركات F.T.C. ، إن الوكالة تتابع عددًا من التحقيقات غير العامة في شركات التكنولوجيا التعليمية. المتحدثة.
تعد شركة Illuminate Education ، التي يقع مقرها في إيرفين بولاية كاليفورنيا ، واحدة من الشركات الرائدة في بيع برمجيات تتبع الطلاب في البلاد.
يقول موقع الشركة إن خدماتها تصل إلى أكثر من 17 مليون طالب في 5200 منطقة تعليمية. تشمل المنتجات الشائعة نظام الحضور وكتاب الدرجات عبر الإنترنت بالإضافة إلى scho
منصة ol ، تسمى eduCLIMBER ، والتي تمكّن المعلمين من تسجيل “السلوك الاجتماعي العاطفي” للطلاب ورموز الألوان للأطفال على أنهم أخضر (“على المسار الصحيح”) أو أحمر (“ليس على المسار الصحيح”).
عززت Illuminate الأمن السيبراني الخاص بها. في عام 2016 ، أعلنت الشركة أنها وقعت على تعهد الصناعة لإظهار “دعمها لحماية” بيانات الطلاب.
ظهرت مخاوف بشأن هجوم إلكتروني في يناير بعد أن اكتشف بعض المعلمين في مدارس مدينة نيويورك أن أنظمة الحضور عبر الإنترنت وكتب الدرجات قد توقفت عن العمل. وقالت Illuminate إنها أوقفت هذه الأنظمة مؤقتًا بعد أن علمت بوجود “نشاط مشبوه” على جزء من شبكتها.
قال ناثانيال ستير ، السكرتير الصحفي للمدارس العامة في مدينة نيويورك ، في 25 مارس ، أخطرت Illuminate المنطقة بأن بعض قواعد بيانات الشركة قد خضعت للوصول غير المصرح به. وقال إن الحادث أثر على حوالي 800 ألف طالب حالي وسابق في حوالي 700 مدرسة محلية.
بالنسبة لطلاب مدينة نيويورك المتأثرين ، تضمنت البيانات الاسم الأول والأخير واسم المدرسة ورقم هوية الطالب بالإضافة إلى اثنين على الأقل مما يلي: تاريخ الميلاد والجنس والعرق أو العرق واللغة المحلية ومعلومات الفصل مثل اسم المعلم. في بعض الحالات ، تأثرت أيضًا حالة إعاقة الطلاب – أي ما إذا كانوا يتلقون خدمات تعليمية خاصة أم لا.
قال مسؤولون في مدينة نيويورك إنهم غاضبون. في عام 2020 ، وقعت Illuminate اتفاقية بيانات صارمة مع المنطقة تتطلب من الشركة حماية بيانات الطلاب وإخطار مسؤولي المنطقة على الفور في حالة حدوث خرق للبيانات.
طلب مسؤولو المدينة من مكتب المدعي العام في نيويورك ومكتب F.B.I. للتحقيق. في مايو ، أصدر قسم التعليم في مدينة نيويورك ، والذي يُجري تحقيقًا خاصًا به ، تعليمات للمدارس المحلية بالتوقف عن استخدام منتجات Illuminate.
قال رئيس البلدية إريك آدامز في بيان لصحيفة نيويورك تايمز: “لقد كان طلابنا يستحقون شريكًا يركز على توفير الأمن الكافي ، ولكن بدلاً من ذلك ، تُركت معلوماتهم في خطر”. وأضاف السيد آدامز أن إدارته كانت تعمل مع المنظمين “لأننا نضغط من أجل تحميل الشركة المسؤولية الكاملة عن عدم تزويد طلابنا بالأمان الموعود”.
أثر اختراق Illuminate على 174000 طالب إضافي في 22 منطقة تعليمية في جميع أنحاء الولاية ، وفقًا لإدارة التعليم في ولاية نيويورك ، التي تجري تحقيقًا خاصًا بها.
على مدى الأشهر الأربعة الماضية ، أخطرت Illuminate أيضًا أكثر من اثنتي عشرة مقاطعة أخرى – في كونيتيكت وكاليفورنيا وكولورادو وأوكلاهوما وولاية واشنطن – بشأن الهجوم الإلكتروني.
رفضت Illuminate تحديد عدد المناطق التعليمية والطلاب المتضررين. في بيان ، قالت الشركة إنها عملت مع خبراء خارجيين للتحقيق في الحادث الأمني وخلصت إلى أن معلومات الطلاب “يحتمل أن تكون عرضة للوصول غير المصرح به” بين 28 ديسمبر 2021 و 8 يناير 2022. في ذلك الوقت ، وقال البيان إن لدى Illuminate خمسة موظفين بدوام كامل مكرسين للعمليات الأمنية.
احتفظت Illuminate ببيانات الطلاب على نظام التخزين عبر الإنترنت Amazon Web Services. قال خبراء الأمن السيبراني إن العديد من الشركات قد صنعت عن غير قصد A.W.S. دلاء التخزين التي يسهل على المتسللين العثور عليها – من خلال تسمية قواعد البيانات بعد منصات الشركة أو المنتجات.
في أعقاب الاختراق ، قالت Illuminate إنها وظفت ستة موظفين إضافيين في مجال الأمن والامتثال بدوام كامل ، بما في ذلك كبير مسؤولي أمن المعلومات.
بعد الهجوم الإلكتروني ، أجرت الشركة أيضًا العديد من الترقيات الأمنية ، وفقًا لرسالة أرسلتها Illuminate إلى منطقة تعليمية في كولورادو. وقالت الرسالة ، من بين التغييرات الأخرى ، أنشأت Illuminate مراقبة مستمرة من طرف ثالث على جميع أجهزة AWS الخاصة بها. الحسابات ويتم الآن فرض أمان تسجيل دخول محسّن لـ A.W.S. الملفات.
ولكن خلال مقابلة مع أحد المراسلين ، وجد جريج بولوك ، نائب الرئيس للأبحاث السيبرانية في UpGuard ، وهي شركة لإدارة مخاطر الأمن السيبراني ، واحدة من شركة Illuminate’s A.W.S. دلاء تحمل اسم يسهل تخمينه. ثم عثر المراسل على أ.دبليو.إس. دلو يحمل اسم منصة Illuminate الشهيرة للمدارس.
قالت Illuminate إنها لا تستطيع تقديم تفاصيل حول ممارساتها الأمنية “لأسباب أمنية”.
بعد سلسلة من الهجمات الإلكترونية على كل من شركات التكنولوجيا التعليمية والمدارس العامة ، قال مسؤولو التعليم إن الوقت قد حان لواشنطن للتدخل لحماية الطلاب.
قال السيد ستيير ، المتحدث باسم مدارس مدينة نيويورك: “التغييرات على المستوى الفيدرالي قد فات موعدها ويمكن أن يكون لها تأثير فوري على الصعيد الوطني”. وقال إن الكونجرس ، على سبيل المثال ، يمكنه تعديل قواعد خصوصية التعليم الفيدرالية لفرض متطلبات أمان البيانات على بائعي المدارس. ومن شأن ذلك أن يمكّن الوكالات الفيدرالية من فرض غرامات على الشركات التي لا تمتثل.
قامت إحدى الوكالات بالفعل باتخاذ إجراءات صارمة – ولكن ليس نيابة عن الطلاب.
في العام الماضي ، اتهمت لجنة الأوراق المالية والبورصات بيرسون ، وهي مزود رئيسي لبرامج التقييم للمدارس ، بتضليل المستثمرين بشأن هجوم إلكتروني تم فيه تحديد تواريخ ميلاد وعناوين بريد إلكتروني
تم سرقة أسود الطلاب. وافق بيرسون على دفع مليون دولار لتسوية التهم.
قال السيد بالديراس ، المدعي العام ، إنه كان غاضبًا لأن المنظمين الماليين تصرفوا لحماية المستثمرين في قضية بيرسون – حتى مع فشل منظمي الخصوصية في دعم تلاميذ المدارس الذين وقعوا ضحايا جرائم الإنترنت.
قال السيد بالديراس: “ما يقلقني هو أنه سيكون هناك جهات فاعلة سيئة ستستغل بيئة المدرسة العامة ، خاصة عندما يعتقدون أن بروتوكولات التكنولوجيا ليست قوية للغاية”. “وأنا لا أعرف لماذا لم يخاف الكونجرس بعد.”
إضافة تعليق