Instructure maksoi ShinyHunterseille lunnaat Canvas-tietomurron jälkeen

Mitä Instructuren lunnasmaksu paljastaa koulutusteknologian tietoturva-aukoista

Instructure, Canvas-oppimisalustan takana oleva yritys – yksi Yhdysvaltojen laajimmin käytetyistä oppimisenhallintajärjestelmistä – on vahvistanut tehneensä taloudellisen sopimuksen ShinyHunters-hakkerointiryhmän kanssa merkittävän kyberhyökkäyksen jälkeen. Päätös maksaa lunnaat varastettujen tietueiden julkaisemisen estämiseksi on herättänyt huomiota Yhdysvaltain edustajainhuoneen sisäisen turvallisuuden komiteassa, joka on käynnistänyt virallisen tutkinnan tapauksesta. Tapaus herättää kiireellisiä kysymyksiä koulutustietojen tietomurtohaavoittuvuuksista ja siitä, investoivatko koulutusteknologiatoimittajat riittävästi infrastruktuuriin, jota tarvitaan palvelemiensa ihmisten suojaamiseen.

Lunnasmaksu itsessään on paljastava. Kun organisaatio maksaa varastetun datan tukahduttamiseksi sen sijaan, että vakuuttavasti väittäisi datan olleen riittävästi suojattu, se viittaa siihen, että taustalla oleva tietoturva-asento ei ehkä sisältänyt vahvoja puolustuksia kuten verkon segmentointia, zero trust -pääsynhallintaa tai arkaluonteisten tietueiden päästä päähän -salausta. Alustalle, joka käsittelee opiskelijoiden, opettajien ja akateemisen henkilöstön henkilötietoja laajassa mittakaavassa, näillä puutteilla on vakavia seurauksia.

Ketä asia koskee ja mitä tietoja ShinyHunters varasti Canvasista

Tietomurron laajuus on merkittävä. ShinyHunters, tuottelias kiristysryhmä, jolla on vahva historia suurimittaisessa tietovarkaudessa, väitti varastaneensa tietueita tuhansista Canvas-alustaa käyttävistä kouluista ja yliopistoista. Raporttien mukaan varastetut tiedot voivat käsittää satoja miljoonia tietueita, jotka liittyvät opiskelijoihin, opettajiin ja henkilökuntaan K-12-kouluissa ja korkeakouluissa ympäri maan.

Mukana olevien tietojen tyyppeihin kuuluu henkilötunnisteet ja akateemiset tietueet – juuri sellainen tieto, jota kerran paljastettuna ei voida helposti muuttaa tai peruuttaa. Toisin kuin vaarantunut salasana, opiskelijan nimi, syntymäaika, oppilaitosyhteys tai sähköpostiosoite on pysyvästi sidottu kyseiseen henkilöön. Jatkoriski sisältää tietojenkalasteluoperaatioita, identiteettipetoksia ja sosiaalisen manipuloinnin hyökkäyksiä, jotka kohdistuvat nuoriin ihmisiin, jotka eivät ehkä vielä tunnista varoitusmerkkejä.

Hyökkäyksen ajoitus, joka tapahtui monissa oppilaitoksissa loppukokeiden aikana, aiheutti myös toiminnallisia häiriöitä, jotka vaikuttivat opiskelijoihin, jotka yrittivät palauttaa kurssisuorituksia ja suorittaa arviointeja, pahentaen haittaa pelkän tietovarkauden lisäksi.

Miksi koulut ja koulutusteknologiatoimittajat ovat edelleen ensisijaisia kiristyshaittaohjelmakohteiden kohteita

Oppilaitokset ja niitä palvelevat teknologiatoimittajat ovat nousseet johdonmukaisiksi kiristyshaittaohjelmien ja kiristysryhmien kohteiksi, ja syyt ovat rakenteellisia. Koulupiirit ja yliopistot toimivat usein rajoitettujen IT-budjettien, vanhojen järjestelmien ja pirstaloituneiden verkkoympäristöjen kanssa, mikä tekee kattavan tietoturvan saavuttamisen vaikeaksi. Kun kolmannen osapuolen toimittajat kuten Instructure kokoavat tuhansien oppilaitosten tiedot yhteen alustaan, onnistuneella tietomurrolla kyseisellä toimittajatasolla voi olla kaskadivaikutus koko ekosysteemiin.

Koulutusteknologia-alustat pitävät myös erityistä tietoa, jota kiristysryhmät pitävät arvokkaana: alaikäisiä koskevia tietueita. Opiskelijatiedot ovat FERPA:n mukaisten liittovaltion suojen alaisia, ja oppilaitosten maine- ja oikeudellinen panos kyseisten tietojen paljastumiselle on korkea, mikä voi tehdä organisaatioista halukkaampia neuvottelemaan hyökkääjien kanssa julkisen paljastumisen riskin sijaan. Tämä dynamiikka luo juuri sellaisen vivun, jota ShinyHuntersin kaltaiset ryhmät hyödyntävät.

Sääntelyympäristö kiristyy myös opiskelijatietojen käsittelyn osalta. Lainsäädäntötoimet osavaltiotasolla, kuten Utahin SB 73, joka kohdistuu ikäverifiointiin ja alaikäisten verkkosuojaan, heijastavat kasvavaa julkista ja poliittista painetta suojata nuorempia käyttäjiä verkossa. Koulutusteknologiayritykset, jotka eivät pysy näiden velvollisuuksien edellä, voivat löytää itsensä samanaikaisesti kohtaamassa sekä tietomurron seurauksia että vaatimustenmukaisuusseuraamuksia.

Miten oppilaitokset voivat yhdistää VPN:t ja zero trustin suojatakseen opiskelijatietoja

Instructuren tapaus on tapaustutkimus siitä, mitä tapahtuu, kun laajamittaista tietojen kokoamista ei täydennetä suhteellisella investoinnilla pääsynhallintaan ja verkkoarkkitehtuuriin. Koulutuksen IT-ylläpitäjille tietomurto tarjoaa käytännöllisen viitekehyksen oman puolustusasennon uudelleenarviointiin.

VPN-tekniikka, kun se otetaan käyttöön verkkotasolla, voi toimia yhtenä kerroksena laajemmassa strategiassa, jolla rajoitetaan, mitkä järjestelmät ja käyttäjät voivat käyttää arkaluonteisia tietokantoja ja hallinnollisia toimintoja. Yhdistettynä zero trust -periaatteisiin – eli siihen, että mihinkään käyttäjään tai laitteeseen ei automaattisesti luoteta vain siksi, että ne ovat verkkoperimetrin sisällä – VPN:t auttavat varmistamaan, että sivuttaisliike vaarantuneessa ympäristössä on merkittävästi vaikeampaa. Hyökkääjä, joka saa alkujalansijan tietojenkalastelusähköpostin tai haavoittuvan päätepisteen kautta, ei pitäisi pystyä liikkumaan vapaasti sinne, missä opiskelijatietueita säilytetään.

Verkon segmentointi on yhtä kriittistä. Pitämällä oppimisenhallintajärjestelmän tiedot eristettynä muista oppilaitoksen järjestelmistä varmistetaan, että tietomurto yhdellä alueella ei automaattisesti paljasta kaikkea muuta. Salattu pääsynhallinta, monivaiheinen todennus ja säännölliset kolmannen osapuolen tietoturvatarkastukset täydentävät sen, miltä puolustettavan koulutusteknologiaympäristön tulisi näyttää.

Vanhempien ja opiskelijoiden osalta välittömin toimenpide on seurata epätavallista tilitoimintaa, joka liittyy Canvasiin tai siihen liittyviin oppilaitostileihin yhdistettyihin sähköpostiosoitteisiin tai tunnistetietoihin, ja suhtautua odottamattomaan yhteydenottoon koulutusyhteyshenkilöiltä asianmukaisella skeptisyydellä.

Mitä tämä tarkoittaa sinulle

Olitpa sitten IT-ylläpitäjä koulupiirissä, yliopiston tietoturvavastaava tai opiskelijan vanhempi, joka käyttää Canvasia, tämä tietomurto muistuttaa, että koulutusteknologia-alustoille uskottu data on yhtä turvallinen kuin sitä suojaavat tietoturvakäytännöt. Lunnasmaksut tukahduttavat vuotoja, mutta ne eivät peruuta varkautta eivätkä takaa, ettei data nouse myöhemmin pintaan.

Toiminnalliset johtopäätökset:

• Jos oppilaitoksesi käyttää Canvasia, ota yhteyttä IT-osastoosi vahvistaaksesi, mitä erityistä dataa saattoi olla mukana ja saavatko asianomaiset käyttäjät ilmoituksen.
• Tarkista, mitä kolmannen osapuolen koulutusteknologiatoimittajia oppilaitoksesi käyttää, ja esitä suoria kysymyksiä heidän tietoturvasertifioinneistaan, tietomurtohistoriastaan ja tietojen säilyttämiskäytännöistä.
• IT-tiimien kannalta tämä on tilaisuus tarkastaa verkon segmentointikäytännöt ja pääsynhallinnat kaikkien toimittajien hallinnoimien alustojen osalta, jotka pitävät opiskelijatietueita.
• Tutki, ulottuvatko oppilaitoksesi nykyiset VPN- ja zero trust -käytännöt kolmannen osapuolen integraatioihin – ei pelkästään sisäisiin järjestelmiin.
• Opiskelijoiden ja henkilökunnan tulisi vaihtaa Canvas-tileihin liittyvät salasanat sekä kaikki tilit, joissa kyseisiä tunnistetietoja on käytetty uudelleen.

Edustajainhuoneen sisäisen turvallisuuden komitean tutkimus voi tuottaa uusia ohjeita tai lainsäädännöllistä painetta koulutusteknologiatoimittajille. Sillä välin tehokkain suoja tulee oppilaitoksilta, jotka käsittelevät kolmannen osapuolen tietoturvaa jatkuvana vastuukysymyksenä – ei sopimuksen allekirjoittamishetkellä suoritettavana valintaruutuna.