PowerSchool 17,25 millió dolláros egyezsége a Naviance diákok nyomon követése ügyében

PowerSchool 17,25 millió dolláros egyezsége a Naviance diákok nyomon követése ügyében

A PowerSchool ellen indított, 17,25 millió dolláros csoportos keresetből született egyezség újra ráirányítja a figyelmet egy olyan gyakorlatra, amelynek létezéséről sok család nem is tudott: a diákok csendes, folyamatos megfigyelésére éppen azokon a platformokon keresztül, amelyeket az iskolák jelölnek ki számukra. A per középpontjában a Naviance, egy széles körben használt, főiskolai és karrierfelkészülési eszköz állt, és azt állította, hogy a platform harmadik féltől származó nyomkövető szoftvereket ágyazott be, amelyek 2021-től 2026-ig, beleegyezés nélkül gyűjtötték a diákok billentyűleütéseit, kattintásait és privát kommunikációját. Ez az ügy az egyik legnyilvánvalóbb példája annak, hogyan maradhatnak fenn évekig a diákok adatkövetésével és az oktatástechnológiai adatvédelmi hibákkal kapcsolatos problémák, mielőtt bárkit is felelősségre vonnának.

Mit gyűjtött valójában a Naviance – és mennyi ideig

A Naviance nem egy rétegigényeket kiszolgáló eszköz. Az Egyesült Államokban középiskolások milliói használják, a főiskolai jelentkezések nyomon követésének, a karrierfelméréseknek és a tanulmányi tervezésnek a központjaként szolgál. Mivel az iskolák írják elő a használatát, a diákoknak és a családoknak általában nincs más választásuk, mint használni.

A per szerint a Naviance-ba beágyazott nyomkövetés messze túlmutatott a szokásos analitikán. A harmadik féltől származó szoftverek állítólag billentyűleütés-szintű adatokat rögzítettek, ami azt jelenti, hogy minden egyes karaktert rögzíthettek, amit egy diák begépelt. A kattintásokat, a navigációs mintákat és a privát kommunikációt is állítólag gyűjtötték. Az ilyen típusú adatgyűjtés nem passzív. Részletes, viselkedésalapú, és sok esetben sokkal többet árul el, mint egy egyszerű bejelentkezési rekord.

A legszembetűnőbb talán az idővonal. Az állítólagos nyomkövetés 2021-től 2026-ig tartott, egy ötéves időszak, amely alatt diákok millióinak érzékeny adatait gyűjthették a tudtuk, illetve szüleik vagy gondviselőik tudta nélkül. Beleegyezést nem szereztek. Világos tájékoztatást nem adtak. A megfigyelés a kialakításából adódóan láthatatlan volt.

Miért jelentenek az iskolák által kiadott platformok vakfoltot a diákok adatvédelme szempontjából

Amikor egy vállalat elad egy fogyasztói alkalmazást, és nyomkövetőket ágyaz bele, a felhasználóknak legalább elméletileg van lehetőségük visszautasítani azt. Amikor egy iskola kötelezővé tesz egy platformot, ez a lehetőség megszűnik. A diákoknak használniuk kell az eszközt a feladatok elvégzéséhez, a jelentkezések benyújtásához vagy az erőforrások eléréséhez. Ez egy alapvető beleegyezési problémát teremt, amelyet a meglévő törvények eddig nehezen tudtak teljes mértékben kezelni.

Az olyan szövetségi keretrendszerek, mint a FERPA (Családi Oktatási Jogok és Adatvédelem Törvény) és a COPPA (Gyermekek Online Adatvédelmének Védelméről szóló Törvény) biztosítanak némi alapvető védelmet, de megalkotásukkor nem a modern oktatástechnológiai ökoszisztémák összetettségét tartották szem előtt. Egy iskola szerződhet egy szállítóval. A szállító beágyazhat harmadik féltől származó kódot. Ezek a harmadik felek adatokat gyűjthetnek. Lehet, hogy minden egyes lépés technikailag megfelel a meglévő szabályoknak, miközben a diákok adatai mégis olyan szervezetekhez áramlanak, amelyekről a családok soha nem is hallottak.

Ez a dinamika az, ami a PowerSchool ügyét a dollárösszegen túl is jelentőssé teszi. Ez egy dokumentált példája a jogi megfelelés és a valódi átláthatóság közötti szakadéknak. Az a tény, hogy a nyomkövetés állítólag öt évig folytatódott nyilvános értesítés nélkül, aláhúzza, hogy a szülőknek és a diákoknak általában milyen kevés rálátásuk van arra, hogy az iskolai platformok valójában mit csinálnak.

Ez a probléma nem korlátozódik a passzív nyomkövetésre. Ahogy a ShinyHunters Canvas elleni támadása is megmutatta, a diákok adatainak kitettsége a rejtett megfigyeléstől az aktív kibertámadásokig terjed. Amikor közel 275 millió diák adata került veszélybe az incidens során, ez megerősítette, hogy az oktatástechnológiai szektor egyszerre több irányból is sebezhetőségekkel néz szembe.

Hogyan működik a rejtett billentyűleütés- és kommunikációkövetés

Azoknak az olvasóknak, akik nem ismerik a technikai mechanizmusokat, érdemes megérteniük, hogyan működik ez a fajta nyomkövetés a gyakorlatban. A harmadik féltől származó nyomkövető szkripteket általában a platform fejlesztői ágyazzák be az építési folyamat során. Amikor egy felhasználó betölt egy oldalt, ezek a szkriptek automatikusan lefutnak a háttérben. A felhasználó semmi szokatlant nem észlel.

A billentyűleütés-naplózó szkriptek valós időben rögzíthetik a bevitt adatokat, megörökítve azt, amit valaki begépel, még mielőtt a beküldés gombra kattintana. A munkamenet-visszajátszó eszközök rögzíthetik az egérmozgásokat, a görgetési viselkedést és a kattintási mintákat, hogy pontosan rekonstruálják, mit csinált a felhasználó a munkamenet során. A kommunikáció elfogása akkor történhet meg, amikor a platform belső rendszerén keresztül küldött üzenetek harmadik féltől származó infrastruktúrán haladnak át, mielőtt elérnék a céljukat.

Mindehhez nincs szükség különleges hozzáférésre az eszközhöz. Mindez a böngészőn belül, magán a platformon belül történik. A szokásos vírusirtó szoftverek nem jelzik. A szülői felügyeleti eszközök nem blokkolják. Még az adatvédelemre összpontosító böngészőbővítmények sem feltétlenül fogják ki őket, ha a szkriptek mélyen integrálva vannak a platform saját kódjába.

Pontosan ez az oka annak, hogy a szerződéses szintű beleegyezés és tájékoztatás, az iskolák és a szállítók között, annyira fontos. Mire egy diák megnyitja a Naviance-t, az adatcsővezeték már kiépült.

Mit tehetnek a családok az oktatástechnológiai megfigyelés korlátozása érdekében

A PowerSchool-féle egyezség nem az utolsó lesz a maga nemében. Az oktatástechnológia terjedése tovább folytatódik, és a viselkedési adatok bevételszerzésére irányuló pénzügyi ösztönzők továbbra is erősek maradnak. Ennek ellenére a családok nincsenek teljesen eszközök nélkül.

Kérjék el az adatleltárt. A FERPA értelmében a 18 év alatti diákok szüleinek joguk van hozzáférést kérni az oktatási nyilvántartásokhoz. Az iskoláknak képesnek kell lenniük arra is, hogy megadják azon harmadik fél szállítók listáját, akikkel megosztják a diákok adatait. Ennek a listának a kérése jelzi az iskolák felé, hogy a családok odafigyelnek.

Évente vizsgálják felül az iskolai technológiai szabályzatokat. Sok körzet minden tanév elején frissíti az elfogadható használatra és az adatvédelemre vonatkozó szabályzatait. E dokumentumok elolvasása, akár csak összefoglaló szinten is, felfedheti, hogy mely platformok vannak használatban, és milyen adatkezelési gyakorlatok kerültek nyilvánosságra hozatalra.

Használjanak böngészőszintű védelmet, ahol lehetséges. Bár a családok nem mindig tudnak leiratkozni az iskola által kijelölt platformokról, azok a diákok, akik személyes eszközt használnak az iskolai munkához, profitálhatnak az adatvédelemre összpontosító böngészőkből vagy kiterjesztésekből, amelyek korlátozzák a harmadik féltől származó szkriptek futtatását, amennyiben ezek az eszközök nem zavarják a platform szükséges működését.

Vonják be az iskolaszékeket és az adminisztrátorokat. A leghatékonyabb hosszú távú védelem az intézményi elszámoltathatóságból fakad. A szülők által az iskolaszéki üléseken feltett kérdések a szállítói szerződésekről és az adatauditokról nyomást gyakorolnak az erősebb felügyelet érdekében.

Legyenek naprakészek az oktatástechnológiai incidensekkel kapcsolatban. A PowerSchool ügy és a ShinyHunters Canvas elleni támadás egy szélesebb mintázat része. Annak megértése, hogy a diákok adatainak megsértése és a megfigyelés visszatérő problémák, nem pedig elszigetelt események, az alapja annak, hogy jobb védelmet követeljünk.

A PowerSchool elleni 17,25 millió dolláros egyezség egy jelentőségteljes eredmény, de a valódi jelentősége abban rejlik, amit a szokványos iparági gyakorlatokról feltár. Ha egy platform, amelyet diákok milliói használtak öt éven keresztül, beágyazhatott nem nyilvánosságra hozott nyomkövető szoftvereket, akkor a megválaszolandó kérdés nem csupán az, hogy mit csinált a Naviance, hanem hogy más oktatástechnológiai platformok éppen most mit csinálhatnak. A családoknak, az oktatóknak és a döntéshozóknak egyaránt szerepük van abban, hogy válaszokat követeljenek, még a következő egyezség előtt, ne utána.