Geçtiğimiz iki hafta boyunca, ülkenin en büyüğü de dahil olmak üzere Kanada genelindeki okul kurulları, K-12 okulları tarafından öğrenci bilgilerini yönetmek için kullanılan üçüncü taraf bir sağlayıcı olan PowerSchool ile bağlantılı büyük bir veri ihlaline ilişkin ayrıntıları açıkladı.
Siber saldırıya ilişkin soruşturmalar devam ettikçe olayla ilgili daha geniş bir anlayış ortaya çıkmaya başlıyor; bazı kurullar, onlarca yıl öncesine ait öğrenci verilerinin etkilenmiş olabileceğini söylüyor.
Erişilebilir verilerin genişliğine rağmen uzmanlar, ailelerin ve okulların kendilerini korumak için hâlâ alabilecekleri önlemlerin olduğunu söylüyor.
Kim etkilendi?
Kanada genelindeki (Alberta, Ontario, Manitoba, Newfoundland ve Labrador, Nova Scotia, Kuzeybatı Bölgeleri ve Prens Edward Adası’ndaki) okul bölümleri PowerSchool’u öncelikle öğrencilerin kişisel bilgilerini ve bazen de tıbbi bilgilerini, notlarını ve diğer öğrenim ayrıntılarını yönetmek için kullanır. Bazıları bunu ailelerle iletişim kurmak için bir geçit olarak kullanıyor.
Yetkililer, Aralık ayı sonlarında okul yönetim kurullarına teknik destek sağlamak için kullanılan bir arka uç hesabın platformla ele geçirilmesiyle meydana gelen ihlalin boyutunu belirlemek için PowerSchool ile birlikte çalışıyor.
Son dakika haberleri ve analizler için CBCNews.ca, CBC News uygulaması ve CBC Haber Ağı’ndan en son haberleri alın.
8 Ocak’ta hack hakkında konuşan Newfoundland Eğitim Bakanı Christa-Lynn Howell, 1995’ten itibaren öğrenci bilgilerinin etkilendiğini belirtti.
Diğer eğitim bakanlıkları ve okul yönetim kurulu liderleri de hack’te hangi spesifik verilerin yer aldığını ve bunların ne kadar geriye gittiğini açıkladı. Bunlar, örneğin Cape Breton’daki eski ve kıdemli okul çalışanlarının Sosyal Güvenlik numaralarından, Peel Bölge Okul Kurulu’ndaki 1965’ten bu yana öğrenci bilgilerine kadar uzanmaktadır.
Ne tür öğrenci verileri etkilenir?
Yeni öğrencilerle ilgili erişilen veriler arasında genellikle isimler, doğum tarihleri, ev adresleri ve telefon numaraları yer alıyor.
Ancak kurula bağlı olarak öğrenci kimlik numaraları, sınıf, cinsiyet, tıbbi bilgiler, acil durumda iletişime geçilecek kişiler ve disiplin notları gibi diğer bilgilere de erişmek mümkündür. Olayın ciddiyeti Kanada Gizlilik Komiseri’nin de dikkatini çekti.
Öğrenciler olayla ilgili güncellemeleri nasıl alıyor?
Toronto Bölge Okul Kurulu sözcüsü Ryan Baird, Kanada’nın en büyük okul yönetim kurulunda, ihlalin muhtemelen Eylül 1985’ten Aralık 2024’e kadar yaklaşık 1,49 milyon öğrenciyi kapsayan verileri etkilediğini tahmin ediyor.
Daha sonra TDSB haline gelen kurullardan gelenler de dahil olmak üzere önceki öğrenci bilgilerinin, sonradan kayıt taleplerine olanak sağlamak için saklandığını belirtti.
Salı günü yaptığı açıklamada, mevcut ailelere e-posta göndermenin yanı sıra, “insanların etkilenmiş olabileceklerini bilmeleri için ellerinden geleni yapmalıyız” dedi ve güncellemelerin ortak bir yaklaşım olan TDSB’nin çevrimiçi “kaynak merkezinde” yayınlandığını ekledi. . Etkilenen konseylerin çoğu tarafından.
Baird, “PowerSchool bize kopyalanan bilgilerin silindiğine dair güvence verdi” dedi. “Bildiğimiz kadarıyla hiçbir yerde çevrimiçi olarak yayınlanmadı.”
Yönetim kurullarının ayrıca PowerSchool’un sunduğu kredi izleme ve kimlik hırsızlığı korumasına nasıl erişileceğine ilişkin nihai ayrıntıları beklediğini söyledi.
Şirket yaptığı açıklamada şunları kaydetti: “Bireyin Sosyal Güvenlik numarasının sızdırılıp sızdırılmadığına bakılmaksızın bunu yapıyoruz.”
Siber güvenlik uzmanı Ivo Wiens, Kanada okul kurullarından gelen siber saldırılarla ilgili yakın tarihli bazı e-postaları analiz ediyor, nelere bakılması gerektiğini paylaşıyor ve bu e-postalar gelen kutunuza ulaştığında (olmadığında değil) ebeveynlerin sorması gereken soruları özetliyor.
Öğrenci verilerinden nasıl yararlanabiliriz?
Siber güvenlik hizmetleri şirketi ESET’te uzman Tony Anscombe, siber suçluların, öğrencinin adı, notu ve ebeveyn e-postası gibi temel bilgileri kullanarak kredi kartı bilgilerini ele geçirmek için kolaylıkla bir kimlik avı dolandırıcılığı oluşturabileceğini söylüyor.
Bu, örneğin üçüncü sınıf öğrencinizin okul gezisi masraflarını ödemek için sizi bir bağlantıya tıklamaya teşvik eden bir not gibi görünebilir. Bu özel ihlalden sonra sizi kredi izlemeye kaydolmaya davet eden, okul departmanınızdan gelen bir notta sahtecilik yapıyor olabileceğini belirtti.
Brighton, İngiltere’den 30 yaşındaki siber güvenlik uzmanı Salı günü yaptığı açıklamada, alternatif olarak, bir öğrencinin adı ve ev adresinin sahte bir doğum tarihiyle birleştirilerek kredi başvurusu oluşturulabileceğini veya kimlik kartı başvurusu yapılabileceğini söyledi.
Reçeteli ilaçlar ve öğrenme zorluklarıyla ilgili notlar gibi diğer ayrıntılar, ayrı bir olaydan elde edilen bilgilerle birleştirilebilir ve “birlikte, halihazırda gidip birinin kimliğini hacklemeye yetecek kadar bulmacaya sahip olabilirler.” [and] Onlardan zorla para alıyoruz.”
Ebeveynler ve okullar ne yapabilir?
Anscombe, ebeveynlerin istismardan sonra hala atabileceği adımlar olduğunu söylüyor.
- Anscombe Çocuklarınızla hack hakkında konuşun, böylece okul e-postalarında kimlik avı girişimleri gibi tuhaf şeyleri izleyebilirler.
- Okul hesaplarınızın şifresini değiştirin. Şifre kurtarma istemleri ele geçirilmiş olabilecek bilgileri (annenizin kızlık soyadı gibi) içeriyorsa, onu da değiştirin.
- Tüm hesaplar için iki faktörlü kimlik doğrulamayı açın.
- Çocuklarınız için kredi izlemeyi kurun. Anscombe, ücretsiz bir hesap oluşturduğunuzda kredi geçmişinizi kilitlemek için kullanılabileceğini söylüyor. “Siz onu açana kadar herhangi birinin onu gerçekten kullanmasını engelliyor.”
- E-posta tekliflerine şüpheyle yaklaşın. Bir siber suçlunun, kredi izleme ve kimlik hırsızlığına karşı koruma sağlayan bir e-posta dolandırıcılığı oluşturabileceğini, bunun da pek çok hassas verinin ifşa edilmesini içerebileceğini söylüyor. Teklifin gerçek olup olmadığını, hemen e-postadaki bir bağlantıya tıklamak yerine, mesaj panonuzun web sitesine giderek veya onaylamak için onları arayarak kontrol edin. “Görünen her şeyi doğrulayın ve hiçbir şeye güvenmeyin.”
- Okul formlarına kişisel bilgilerinizi girmeniz istendiğinde, her alanın mutlaka doldurulması gerekip gerekmediğini düşünün ve bunu okula sorun. Anscombe, “Verilerimizin bir değeri olduğunu ve değerimizi çalınabileceği birçok yerde bıraktığımızı anlamak bence gerçekten iyi bir zihniyet” dedi.
Bu ihlal, okulların dosyada tuttukları öğrenci bilgilerinin türlerini yeniden gözden geçirmesine neden olabilir. Baird, okulların her yıl çok sayıda kişisel bilgi istediğini kabul etti ancak hacklemenin ardından TDSB, sağlık kartı numaralarını toplamayı durdurmaya ve topladığı numaraları sisteminden silmeye karar verdi.
Anscombe, yeterince finanse edilmeyen okul yönetim kurullarının diğer sektörlerde bulunan siber güvenlik kaynaklarından ve beceri setlerinden yoksun olabileceğini ancak okul bölgesi BT departmanlarının yine de harekete geçebileceğini belirtti.
Kurullara yönelik önerileri arasında iyi siber güvenlik uygulamaları oluşturmak, olası ihlallere nasıl yanıt verileceğini belirlemek için “tablo tatbikatları” düzenleyerek proaktif olmak ve üçüncü taraf yazılım veya hizmetlerinin sağlam güvenlik önlemlerine sahip olmasını sağlamak ve bu prosedürleri düzenli olarak gözden geçirmek yer alıyor.
Bazıları okullara yönelik siber saldırıların bir durum olduğunu söylese de, Anscombe bunların olması gerekmediğine ve okulların doğru süreçlere ve siber güvenliğe sahip olması durumunda önlenebileceğine inanıyor.
“Siber suçlular gidip en alttaki meyveyi arayacaklar” dedi.