สิ่งที่การจ่ายค่าไถ่ของ Instructure เปิดเผยเกี่ยวกับช่องโหว่ด้านความปลอดภัยของ Edtech

Instructure บริษัทเจ้าของ Canvas ซึ่งเป็นหนึ่งในระบบจัดการการเรียนรู้ที่ใช้กันแพร่หลายที่สุดในสหรัฐอเมริกา ได้ยืนยันว่าบรรลุข้อตกลงทางการเงินกับกลุ่มแฮกเกอร์ ShinyHunters หลังเกิดการโจมตีทางไซเบอร์ครั้งสำคัญบนแพลตฟอร์มของตน การตัดสินใจจ่ายค่าไถ่เพื่อป้องกันการเผยแพร่ข้อมูลที่ถูกขโมยสู่สาธารณะ ได้รับการตรวจสอบอย่างเข้มงวดจากคณะกรรมการความมั่นคงแห่งมาตุภูมิของสภาผู้แทนราษฎรสหรัฐฯ ซึ่งได้เปิดการสอบสวนอย่างเป็นทางการในเรื่องนี้ เหตุการณ์ดังกล่าวก่อให้เกิดคำถามเร่งด่วนเกี่ยวกับช่องโหว่จากการละเมิดข้อมูลด้านการศึกษา และตั้งคำถามว่าผู้ให้บริการ edtech ลงทุนด้านโครงสร้างพื้นฐานเพียงพอหรือไม่เพื่อปกป้องผู้ที่ใช้บริการ

การจ่ายค่าไถ่นั้นบอกเล่าสิ่งต่างๆ ได้มาก เมื่อองค์กรจ่ายเงินเพื่อปิดกั้นข้อมูลที่ถูกขโมยแทนที่จะยืนยันอย่างมั่นใจว่าข้อมูลได้รับการปกป้องอย่างเพียงพอ นั่นบ่งชี้ว่าจุดยืนด้านความปลอดภัยพื้นฐานอาจขาดมาตรการป้องกันที่แข็งแกร่ง เช่น การแบ่งส่วนเครือข่าย การควบคุมการเข้าถึงแบบ zero-trust หรือการเข้ารหัสแบบ end-to-end สำหรับข้อมูลที่ละเอียดอ่อน สำหรับแพลตฟอร์มที่จัดการข้อมูลส่วนตัวของนักเรียน ครู และบุคลากรทางการศึกษาในวงกว้าง การละเว้นสิ่งเหล่านี้ส่งผลกระทบอย่างร้ายแรง

ใครได้รับผลกระทบและ ShinyHunters ขโมยข้อมูลอะไรจาก Canvas

ขอบเขตของการละเมิดข้อมูลครั้งนี้มีความสำคัญอย่างยิ่ง ShinyHunters กลุ่มกรรโชกทรัพย์ที่มีประวัติการขโมยข้อมูลจำนวนมหาศาล อ้างว่าขโมยข้อมูลจากโรงเรียนและมหาวิทยาลัยนับพันแห่งที่ใช้แพลตฟอร์ม Canvas รายงานระบุว่าข้อมูลที่ถูกขโมยอาจครอบคลุมหลายร้อยล้านรายการที่เชื่อมโยงกับนักเรียน ครู และบุคลากรในโรงเรียน K-12 และสถาบันอุดมศึกษาทั่วประเทศ

ประเภทข้อมูลที่รายงานว่าเกี่ยวข้องประกอบด้วยตัวระบุตัวตนส่วนบุคคลและบันทึกทางวิชาการ ซึ่งเป็นข้อมูลประเภทที่เมื่อถูกเปิดเผยแล้ว ไม่สามารถเปลี่ยนแปลงหรือเพิกถอนได้ง่ายๆ ต่างจากรหัสผ่านที่ถูกบุกรุก ชื่อ วันเกิด สังกัดสถาบัน หรืออีเมลของนักเรียนผูกติดอยู่กับบุคคลนั้นอย่างถาวร ความเสี่ยงที่ตามมา ได้แก่ การโจมตีแบบฟิชชิง การฉ้อโกงข้อมูลส่วนตัว และการโจมตีทางวิศวกรรมสังคมที่มุ่งเป้าไปยังเยาวชนที่อาจยังไม่รู้จักสัญญาณเตือนภัย

ช่วงเวลาของการโจมตีที่เกิดขึ้นระหว่างการสอบปลายภาคของหลายสถาบัน ยังก่อให้เกิดการหยุดชะงักในการดำเนินงานที่ส่งผลกระทบต่อนักเรียนที่พยายามส่งงานและทำการสอบ ทำให้ความเสียหายเพิ่มมากกว่าแค่การขโมยข้อมูลเพียงอย่างเดียว

ทำไมโรงเรียนและผู้ให้บริการ Edtech จึงยังคงเป็นเป้าหมายหลักของ Ransomware

สถาบันการศึกษาและผู้ให้บริการเทคโนโลยีที่รับใช้พวกเขาได้กลายเป็นเป้าหมายสม่ำเสมอสำหรับกลุ่มแรนซัมแวร์และกลุ่มกรรโชกทรัพย์ และสาเหตุนั้นเป็นเรื่องเชิงโครงสร้าง เขตโรงเรียนและมหาวิทยาลัยมักดำเนินการด้วยงบประมาณไอทีที่จำกัด ระบบเดิมที่ล้าสมัย และสภาพแวดล้อมเครือข่ายที่กระจัดกระจาย ซึ่งทำให้การรักษาความปลอดภัยอย่างครอบคลุมทำได้ยาก เมื่อผู้ให้บริการบุคคลที่สามอย่าง Instructure รวบรวมข้อมูลจากสถาบันนับพันแห่งไว้ในแพลตฟอร์มเดียว การละเมิดที่ประสบความสำเร็จในระดับผู้ให้บริการนั้นสามารถส่งผลกระทบแบบต่อเนื่องทั่วทั้งระบบนิเวศ

แพลตฟอร์ม edtech ยังเก็บข้อมูลประเภทเฉพาะที่กลุ่มกรรโชกทรัพย์ถือว่ามีคุณค่า ได้แก่ บันทึกที่เกี่ยวข้องกับผู้เยาว์ ข้อมูลนักเรียนอยู่ภายใต้การคุ้มครองของรัฐบาลกลางตาม FERPA และความเสี่ยงด้านชื่อเสียงและกฎหมายสำหรับสถาบันที่เผชิญกับการเปิดเผยข้อมูลดังกล่าวมีสูงมาก ซึ่งอาจทำให้องค์กรยอมเจรจากับผู้โจมตีมากกว่าเสี่ยงต่อการเปิดเผยต่อสาธารณะ พลวัตนี้สร้างอำนาจต่อรองที่กลุ่มอย่าง ShinyHunters แสวงหาผลประโยชน์

สภาพแวดล้อมด้านกฎระเบียบก็กำลังเข้มงวดมากขึ้นเรื่อยๆ เกี่ยวกับวิธีการจัดการข้อมูลนักเรียน ความพยายามทางกฎหมายในระดับรัฐ เช่น SB 73 ของรัฐยูทาห์ที่มุ่งเป้าการยืนยันอายุและความเป็นส่วนตัวออนไลน์สำหรับผู้เยาว์ สะท้อนให้เห็นถึงแรงกดดันจากสาธารณชนและการเมืองที่เพิ่มขึ้นในการปกป้องผู้ใช้รุ่นเยาว์ออนไลน์ บริษัท edtech ที่ไม่สามารถปฏิบัติตามภาระผูกพันเหล่านี้ได้ก่อน อาจต้องเผชิญทั้งผลกระทบจากการละเมิดและบทลงโทษด้านการปฏิบัติตามกฎระเบียบไปพร้อมกัน

สถาบันการศึกษาจะใช้ VPN และ Zero-Trust เป็นชั้นการป้องกันข้อมูลนักเรียนได้อย่างไร

เหตุการณ์ของ Instructure เป็นกรณีศึกษาของสิ่งที่เกิดขึ้นเมื่อการรวบรวมข้อมูลขนาดใหญ่ไม่ได้มาพร้อมกับการลงทุนด้านการควบคุมการเข้าถึงและสถาปัตยกรรมเครือข่ายอย่างสมส่วน สำหรับผู้ดูแลระบบไอทีด้านการศึกษา การละเมิดครั้งนี้เสนอกรอบการทำงานในทางปฏิบัติสำหรับการประเมินจุดยืนด้านการป้องกันของตนเองใหม่

เทคโนโลยี VPN เมื่อใช้งานในระดับเครือข่าย สามารถทำหน้าที่เป็นหนึ่งในชั้นของกลยุทธ์ที่กว้างขึ้นเพื่อจำกัดว่าระบบและผู้ใช้รายใดสามารถเข้าถึงฐานข้อมูลที่ละเอียดอ่อนและฟังก์ชันการดูแลระบบได้ เมื่อรวมกับหลักการ zero-trust ซึ่งหมายความว่าไม่มีผู้ใช้หรืออุปกรณ์ใดได้รับความไว้วางใจโดยอัตโนมัติเพียงเพราะอยู่ภายในขอบเขตเครือข่าย VPN ช่วยให้มั่นใจได้ว่าการเคลื่อนที่ด้านข้างภายในสภาพแวดล้อมที่ถูกบุกรุกจะยากขึ้นอย่างมีนัยสำคัญ ผู้โจมตีที่ได้รับจุดเข้าถึงเริ่มต้นผ่านอีเมลฟิชชิงหรือจุดสิ้นสุดที่มีช่องโหว่ไม่ควรสามารถเคลื่อนที่อย่างอิสระไปยังที่เก็บบันทึกนักเรียนได้

การแบ่งส่วนเครือข่ายมีความสำคัญเท่าเทียมกัน การแยกข้อมูลระบบจัดการการเรียนรู้ออกจากระบบอื่นๆ ของสถาบัน หมายความว่าการละเมิดในพื้นที่หนึ่งจะไม่เปิดเผยทุกอย่างโดยอัตโนมัติ การควบคุมการเข้าถึงแบบเข้ารหัส การยืนยันตัวตนหลายปัจจัย และการตรวจสอบความปลอดภัยจากบุคคลที่สามอย่างสม่ำเสมอ ถือเป็นองค์ประกอบที่ครบถ้วนของสภาพแวดล้อม edtech ที่สามารถป้องกันได้

สำหรับผู้ปกครองและนักเรียน ขั้นตอนเร่งด่วนกว่าคือการติดตามกิจกรรมบัญชีที่ผิดปกติที่เชื่อมโยงกับที่อยู่อีเมลหรือข้อมูลประจำตัวที่เกี่ยวข้องกับ Canvas หรือบัญชีสถาบันที่เกี่ยวข้อง และการรับมือการติดต่อที่ไม่คาดคิดจากผู้ติดต่อทางการศึกษาด้วยความระมัดระวังที่เหมาะสม

ความหมายของเหตุการณ์นี้สำหรับคุณ

ไม่ว่าคุณจะเป็นผู้ดูแลระบบไอทีในเขตโรงเรียน เจ้าหน้าที่รักษาความปลอดภัยมหาวิทยาลัย หรือผู้ปกครองของนักเรียนที่ใช้ Canvas การละเมิดครั้งนี้เตือนให้ระลึกว่าข้อมูลที่มอบความไว้วางใจแก่แพลตฟอร์ม edtech นั้นปลอดภัยเพียงเท่าที่แนวปฏิบัติด้านความปลอดภัยที่ปกป้องข้อมูลนั้นเป็น การจ่ายค่าไถ่ช่วยยับยั้งการรั่วไหล แต่ไม่ได้ยกเลิกการขโมย และไม่ได้รับประกันว่าข้อมูลจะไม่ปรากฏขึ้นภายหลัง

สิ่งที่ควรดำเนินการ:

  • หากสถาบันของคุณใช้ Canvas ติดต่อแผนกไอทีเพื่อยืนยันว่าข้อมูลใดบ้างที่อาจเกี่ยวข้องและผู้ใช้ที่ได้รับผลกระทบจะได้รับการแจ้งเตือนหรือไม่
  • ตรวจสอบว่าสถาบันของคุณใช้ผู้ให้บริการ edtech บุคคลที่สามรายใดบ้าง และถามคำถามโดยตรงเกี่ยวกับใบรับรองด้านความปลอดภัย ประวัติการละเมิด และแนวปฏิบัติการเก็บรักษาข้อมูล
  • สำหรับทีมไอที ถือโอกาสนี้ตรวจสอบนโยบายการแบ่งส่วนเครือข่ายและการควบคุมการเข้าถึงรอบแพลตฟอร์มที่จัดการโดยผู้ให้บริการที่เก็บบันทึกนักเรียน
  • สำรวจว่านโยบาย VPN และ zero-trust ปัจจุบันของสถาบันของคุณครอบคลุมถึงการผสานรวมกับบุคคลที่สามหรือไม่ ไม่ใช่แค่ระบบภายใน
  • นักเรียนและคณาจารย์ควรเปลี่ยนรหัสผ่านที่เกี่ยวข้องกับบัญชี Canvas และบัญชีอื่นๆ ที่ใช้ข้อมูลประจำตัวเดียวกัน

การสอบสวนของคณะกรรมการความมั่นคงแห่งมาตุภูมิของสภาผู้แทนราษฎรอาจผลิตแนวทางใหม่หรือแรงกดดันทางกฎหมายต่อผู้ให้บริการ edtech ในระหว่างนี้ การป้องกันที่มีประสิทธิภาพสูงสุดมาจากสถาบันที่ปฏิบัติต่อความปลอดภัยของข้อมูลบุคคลที่สามว่าเป็นคำถามด้านความรับผิดชอบอย่างต่อเนื่อง ไม่ใช่เพียงช่องทำเครื่องหมายที่เสร็จสิ้นในขณะลงนามสัญญา