Що виплата викупу Instructure розкриває про прогалини в безпеці едтех-галузі

Instructure, компанія, що стоїть за Canvas — однією з найпоширеніших систем управління навчанням у Сполучених Штатах, — підтвердила, що досягла фінансової угоди з хакерським угрупованням ShinyHunters після значної кібератаки на свою платформу. Рішення виплатити викуп з метою запобігти публічному розголошенню викрадених записів привернуло увагу Комітету Палати представників США з питань національної безпеки, який розпочав офіційне розслідування інциденту. Ця подія порушує невідкладні питання щодо вразливостей систем освітніх даних до витоків і того, чи достатньо едтех-постачальники інвестують в інфраструктуру, необхідну для захисту тих, кого вони обслуговують.

Сам факт виплати викупу є промовистим. Коли організація платить за приховування викрадених даних замість того, щоб впевнено стверджувати про їхній належний захист, це свідчить про те, що базова система безпеки могла не включати надійних засобів захисту, таких як сегментація мережі, засади нульової довіри або наскрізне шифрування конфіденційних записів. Для платформи, що масштабно обробляє персональні дані студентів, викладачів та академічного персоналу, такі упущення мають серйозні наслідки.

Хто постраждав і які дані ShinyHunters вкрали з Canvas

Масштаб злому є значним. ShinyHunters — активне угруповання-вимагач із досвідом масштабних крадіжок даних — заявило про викрадення записів із тисяч шкіл і університетів, що використовують платформу Canvas. За повідомленнями, викрадені дані можуть стосуватися сотень мільйонів записів, пов'язаних зі студентами, викладачами та персоналом закладів K-12 і вищої освіти по всій країні.

Серед типів даних, про які повідомляється, — особисті ідентифікатори та академічні записи, тобто саме та інформація, яку після розкриття неможливо легко змінити чи анулювати. На відміну від скомпрометованого пароля, ім'я студента, дата народження, інституційна приналежність або електронна адреса назавжди пов'язані з цією людиною. Похідні ризики включають фішингові кампанії, шахрайство з ідентичністю та атаки соціальної інженерії, спрямовані на молодих людей, які можуть ще не розпізнавати тривожні сигнали.

Час атаки, що збігся з фінальними іспитами в багатьох закладах, також призвів до операційних збоїв, які вплинули на студентів, що намагалися здати курсові роботи та скласти тести, що посилило шкоду поза межами самого витоку даних.

Чому школи та едтех-постачальники залишаються головними цілями програм-вимагачів

Навчальні заклади та технологічні постачальники, що їх обслуговують, стали постійними цілями для груп, що використовують програми-вимагачі та займаються вимаганням, і причини цього мають структурний характер. Шкільні округи та університети нерідко працюють з обмеженими ІТ-бюджетами, застарілими системами та фрагментованими мережевими середовищами, що ускладнює досягнення комплексного захисту. Коли сторонні постачальники, такі як Instructure, агрегують дані тисяч установ на одній платформі, успішний злом на рівні такого постачальника може мати каскадний ефект на всю екосистему.

Едтех-платформи також зберігають особливий тип даних, який угруповання-вимагачі вважають цінним: записи, що стосуються неповнолітніх. Дані студентів підпадають під федеральний захист відповідно до FERPA, а репутаційні та юридичні ставки для установ, що зіштовхуються з розголошенням цих даних, є дуже високими. Це може змушувати організації охочіше вступати в переговори з зловмисниками, аніж ризикувати публічним розголошенням. Така динаміка створює саме той важіль впливу, який використовують такі групи, як ShinyHunters.

Регуляторне середовище також посилює вимоги до поводження з даними студентів. Законодавчі зусилля на рівні штатів, як-от SB 73 в Юті, спрямований на верифікацію віку та онлайн-конфіденційність неповнолітніх, відображають зростаючий суспільний і політичний тиск із метою захисту молодших користувачів в Інтернеті. Едтех-компанії, що не встигають виконувати ці вимоги, можуть одночасно зіткнутися як із наслідками витоків, так і з санкціями за недотримання нормативів.

Як навчальні заклади можуть поєднувати VPN і нульову довіру для захисту даних студентів

Інцидент з Instructure є показовим прикладом того, що відбувається, коли масштабна агрегація даних не підкріплена пропорційними інвестиціями в засоби контролю доступу та мережеву архітектуру. Для ІТ-адміністраторів у сфері освіти цей злом пропонує практичну основу для переоцінки власного захисного стану.

Технологія VPN, розгорнута на мережевому рівні, може слугувати одним із шарів у ширшій стратегії обмеження доступу до конфіденційних баз даних та адміністративних функцій для певних систем і користувачів. У поєднанні з принципами нульової довіри — тобто жоден користувач або пристрій не має автоматичної довіри лише тому, що перебуває всередині мережевого периметра, — VPN допомагають суттєво ускладнити горизонтальне переміщення в скомпрометованому середовищі. Зловмисник, який отримав початковий доступ через фішинговий лист або вразливу кінцеву точку, не повинен мати змогу вільно переміщатися до місця зберігання даних студентів.

Сегментація мережі є не менш критичною. Ізоляція даних системи управління навчанням від інших інституційних систем означає, що злом в одній зоні не розкриває автоматично все інше. Зашифровані засоби контролю доступу, багатофакторна автентифікація та регулярні аудити безпеки третіми сторонами доповнюють картину того, як має виглядати захищене едтех-середовище.

Для батьків і студентів більш невідкладним кроком є моніторинг незвичайної активності облікових записів, пов'язаних із будь-якими електронними адресами або обліковими даними, асоційованими з Canvas або пов'язаними інституційними акаунтами, а також ставлення з належною обережністю до несподіваних звернень від освітніх контактів.

Що це означає для вас

Незалежно від того, чи є ви ІТ-адміністратором шкільного округу, офіцером безпеки університету або батьком студента, що користується Canvas, цей злом нагадує: дані, довірені едтех-платформам, є настільки захищеними, наскільки надійними є практики безпеки, що їх охороняють. Виплати викупу приглушують витоки, але не скасовують крадіжку і не гарантують, що дані не з'являться пізніше.

Практичні висновки:

  • Якщо ваша установа використовує Canvas, зверніться до ІТ-відділу, щоб уточнити, які саме дані могли бути задіяні та чи отримають постраждалі користувачі сповіщення.
  • Перегляньте, яких сторонніх едтех-постачальників використовує ваша установа, і поставте прямі запитання щодо їхніх сертифікатів безпеки, історії зломів та практик зберігання даних.
  • ІТ-командам слід скористатися цією можливістю для аудиту політик сегментації мережі та засобів контролю доступу навколо будь-яких платформ, що управляються постачальниками та зберігають записи студентів.
  • Вивчіть, чи поширюються поточні політики VPN і нульової довіри вашої установи на інтеграції з третіми сторонами, а не лише на внутрішні системи.
  • Студенти та викладачі повинні змінити паролі, пов'язані з акаунтами Canvas, і будь-якими акаунтами, де ці облікові дані були повторно використані.

Розслідування Комітету Палати представників з питань національної безпеки може призвести до нових рекомендацій або законодавчого тиску на едтех-постачальників. Тим часом найефективніший захист забезпечують установи, які розглядають безпеку даних третіх сторін як постійне питання підзвітності, а не як позначку у чек-листі, що проставляється в момент підписання контракту.