Instructure, Canvas İhlalinin Ardından ShinyHunters'a Fidye Ödedi

Instructure'ın Fidye Ödemesi Eğitim Teknolojisindeki Güvenlik Açıklarını Nasıl Gün Yüzüne Çıkardı

Amerika Birleşik Devletleri'nde en yaygın kullanılan öğrenme yönetim sistemlerinden biri olan Canvas'ın arkasındaki şirket Instructure, platformuna yönelik gerçekleştirilen önemli bir siber saldırının ardından ShinyHunters hacker grubuyla mali bir anlaşmaya vardığını doğruladı. Çalınan kayıtların kamuoyuyla paylaşılmasını önlemek amacıyla alınan fidye ödeme kararı, ABD Temsilciler Meclisi İç Güvenlik Komitesi'nin dikkatini çekti ve Komite bu olayla ilgili resmi bir soruşturma başlattı. Bu gelişme, eğitim alanındaki veri ihlali açıklarına ve eğitim teknolojisi satıcılarının hizmet verdikleri kişileri korumak için gereken altyapıya yeterince yatırım yapıp yapmadığına dair acil sorular doğurmaktadır.

Fidye ödemesinin bizzat kendisi son derece çarpıcıdır. Bir kuruluş, verilerin yeterince korunduğunu güvenle ileri sürmek yerine çalınan verileri bastırmak için ödeme yaptığında, temel güvenlik duruşunun ağ segmentasyonu, sıfır güven erişim kontrolleri veya hassas kayıtlarda uçtan uca şifreleme gibi sağlam savunma mekanizmalarını içermediğine işaret eder. Öğrencilerin, öğretmenlerin ve akademik personelin kişisel bilgilerini büyük ölçekte işleyen bir platform için bu eksiklikler ciddi sonuçlar doğurmaktadır.

Kimlerin Etkilendiği ve ShinyHunters'ın Canvas'tan Hangi Verileri Çaldığı

İhlalin kapsamı son derece geniştir. Yüksek hacimli veri hırsızlığı konusundaki siciliyle tanınan üretken bir gasp grubu olan ShinyHunters, Canvas platformunu kullanan binlerce okul ve üniversiteden kayıt çaldığını iddia etmiştir. Raporlar, çalınan verilerin ülke genelindeki K-12 okulları ve yükseköğretim kurumlarındaki öğrenciler, öğretmenler ve personelle bağlantılı yüz milyonlarca kaydı kapsayabileceğine işaret etmektedir.

Çalındığı bildirilen veri türleri arasında kişisel tanımlayıcılar ve akademik kayıtlar yer almakta olup bunlar bir kez ifşa edildiğinde kolayca değiştirilemeyen ya da iptal edilemeyen bilgilerdir. Ele geçirilmiş bir parolanın aksine, bir öğrencinin adı, doğum tarihi, kurumsal bağlantısı veya e-posta adresi o kişiyle kalıcı olarak ilişkilendirilmiştir. Bunun yol açabileceği riskler arasında kimlik avı kampanyaları, kimlik dolandırıcılığı ve henüz tehlike işaretlerini tanıyamayabilecek genç insanları hedef alan sosyal mühendislik saldırıları sayılabilir.

Saldırının pek çok kurumda final sınavları döneminde gerçekleşmesi, ödev teslim etmeye ve sınava girmeye çalışan öğrencileri etkileyen operasyonel aksaklıklara da neden olarak zararı yalnızca veri hırsızlığının çok ötesine taşımıştır.

Okullar ve Eğitim Teknolojisi Satıcılarının Fidye Yazılımı Saldırılarının Başlıca Hedefi Olmaya Devam Etmesinin Nedenleri

Eğitim kurumları ve onlara hizmet veren teknoloji satıcıları, fidye yazılımı ve gasp grupları için tutarlı birer hedef haline gelmiştir; bunun nedenleri yapısaldır. Okul bölgeleri ve üniversiteler çoğu zaman kısıtlı BT bütçeleri, eski sistemler ve kapsamlı güvenliği sağlamayı zorlaştıran parçalı ağ ortamlarıyla çalışmaktadır. Instructure gibi üçüncü taraf satıcılar binlerce kurumun verilerini tek bir platformda topladığında, o satıcı düzeyinde gerçekleşen başarılı bir ihlal tüm ekosistemde domino etkisi yaratabilir.

Eğitim teknolojisi platformları ayrıca gasp gruplarının değerli bulduğu belirli bir veri türünü barındırmaktadır: reşit olmayanlara ait kayıtlar. Öğrenci verileri FERPA kapsamında federal koruma altındadır ve kurumların bu verilerin ifşa edilmesiyle karşı karşıya kalması durumunda itibar ve hukuki açıdan çok yüksek bir bedel ödeyeceği bilinmektedir; bu durum kuruluşları kamuoyuna açıklamak yerine saldırganlarla müzakere masasına oturmaya daha yatkın hale getirebilir. Bu dinamik, ShinyHunters gibi grupların tam olarak istismar ettiği kaldıraç gücünü doğurmaktadır.

Düzenleyici ortam da öğrenci verilerinin işlenme biçimi konusunda giderek sıkılaşmaktadır. Utah'ın reşit olmayanlar için yaş doğrulama ve çevrimiçi gizliliği hedefleyen SB 73 yasası gibi eyalet düzeyindeki yasal düzenleme çabaları, genç kullanıcıları çevrimiçi ortamda koruma yönündeki artan kamuoyu ve siyasi baskıyı yansıtmaktadır. Bu yükümlülüklerin gerisinde kalan eğitim teknolojisi şirketleri, hem ihlal sonuçlarıyla hem de uyumsuzluk cezalarıyla aynı anda yüzleşmek durumunda kalabilir.

Eğitim Kurumlarının Öğrenci Verilerini Korumak İçin VPN ve Sıfır Güveni Nasıl Katmanlı Kullanabileceği

Instructure olayı, büyük ölçekli veri toplamanın erişim kontrolleri ve ağ mimarisine orantılı yatırımla desteklenmemesi durumunda neler olabileceğinin somut bir örneğidir. Eğitim BT yöneticileri için bu ihlal, kendi savunma duruşlarını yeniden değerlendirmeye yönelik pratik bir çerçeve sunmaktadır.

Ağ düzeyinde devreye alındığında VPN teknolojisi, hangi sistemlerin ve kullanıcıların hassas veritabanlarına ve yönetim işlevlerine erişebileceğini kısıtlamaya yönelik daha geniş bir stratejinin bir katmanı olarak işlev görebilir. Sıfır güven ilkeleriyle, yani hiçbir kullanıcı veya cihazın yalnızca ağ çevresi içinde olduğu için otomatik olarak güvenilir kabul edilmemesi anlayışıyla birleştirildiğinde VPN'ler, ele geçirilmiş bir ortamda yanal hareketin çok daha zorlaşmasını sağlar. Kimlik avı e-postası veya savunmasız bir uç nokta aracılığıyla ilk dayanak noktasını elde eden bir saldırgan, öğrenci kayıtlarının depolandığı yerlere serbestçe geçiş yapabilmemelidir.

Ağ segmentasyonu da en az bunlar kadar kritiktir. Öğrenme yönetim sistemi verilerini diğer kurumsal sistemlerden yalıtılmış halde tutmak, bir alandaki ihlalin otomatik olarak her şeyi ifşa etmesini önler. Şifreli erişim kontrolleri, çok faktörlü kimlik doğrulama ve düzenli üçüncü taraf güvenlik denetimleri, savunulabilir bir eğitim teknolojisi ortamının nasıl görünmesi gerektiğini tamamlayan unsurlardır.

Ebeveynler ve öğrenciler için daha acil olan adım ise Canvas veya bağlı kurumsal hesaplarla ilişkili herhangi bir e-posta adresi ya da kimlik bilgisine bağlı olağandışı hesap etkinliğini izlemek ve eğitim kurumlarına ait kişilerden gelen beklenmedik iletişimlere uygun şüphecilikle yaklaşmaktır.

Bu Sizin İçin Ne Anlama Geliyor

İster bir okul bölgesinde BT yöneticisi, ister üniversite güvenlik yetkilisi, ister Canvas kullanan bir öğrencinin ebeveyni olun; bu ihlal, eğitim teknolojisi platformlarına emanet edilen verilerin ancak onu koruyan güvenlik uygulamaları kadar güvende olduğunu hatırlatmaktadır. Fidye ödemeleri sızıntıları bastırır; ancak hırsızlığı geri almaz ve verilerin ileride gün yüzüne çıkmayacağını garanti etmez.

Uygulanabilir çıkarımlar:

• Kurumunuz Canvas kullanıyorsa, hangi verilerin dahil olabileceğini ve etkilenen kullanıcıların bildirim alıp almayacağını teyit etmek için BT departmanınızla iletişime geçin.
• Kurumunuzun kullandığı üçüncü taraf eğitim teknolojisi satıcılarını gözden geçirin ve güvenlik sertifikaları, ihlal geçmişi ile veri saklama uygulamaları hakkında doğrudan sorular sorun.
• BT ekipleri için bu olayı, öğrenci kayıtlarını barındıran satıcı tarafından yönetilen platformlara ilişkin ağ segmentasyonu politikalarını ve erişim kontrollerini denetlemek için bir fırsat olarak değerlendirin.
• Kurumunuzun mevcut VPN ve sıfır güven politikalarının yalnızca dahili sistemlere değil, üçüncü taraf entegrasyonlarına da uzanıp uzanmadığını araştırın.
• Öğrenciler ve öğretim üyeleri, Canvas hesaplarıyla ilişkili parolaları ve bu kimlik bilgilerinin yeniden kullanıldığı diğer hesapların parolalarını değiştirmelidir.

Temsilciler Meclisi İç Güvenlik Komitesi soruşturması, eğitim teknolojisi satıcılarına yönelik yeni kılavuzlar veya yasal baskılar üretebilir. Bu süreçte en etkili koruma, üçüncü taraf veri güvenliğini sözleşme imzalama aşamasında tamamlanan bir onay kutusu olarak değil, sürekli bir hesap verebilirlik meselesi olarak ele alan kurumlardan gelmektedir.