Tento zvuk je generován automaticky. Pokud máte, dejte nám vědět zpětná vazba.
Poté, co se 19letý Matthew Lane přiznal k hackerství a vydírání od ed-tech gigantu PowerSchool, byl v úterý odsouzen ke čtyřem letům vězení a restituci ve výši téměř 14,1 milionu dolarů.
Vysokoškolský student z Massachusetts byl obviněn z používání přihlašovacích údajů zaměstnance k získání neoprávněného přístupu k síti poskytovatele softwaru K-12 založeného na cloudu v září 2024 a vydírání 2,85 milionu dolarů v bitcoinech ze společnosti v prosinci 2024, uvedl v květnu americký prokurátor pro okres Massachusetts. PowerSchool nebyla původně identifikována v právních dokumentech, ale později bylo potvrzeno, že byla obětí.
Od ledna 2025, kdy PowerSchool začala upozorňovat okresy na únik dat, bylo odhaleno, že došlo k úniku citlivých dat pro více než 60 milionů studentů a 10 milionů učitelů. V podání soudu bylo uvedeno, že Laneův přístup k datům tohoto studenta a učitele zahrnoval jména, e-mailové adresy, telefonní čísla, čísla sociálního zabezpečení, data narození, lékařské informace, adresy bydliště, informace o rodičích a opatrovnících a hesla.
Lane údajně řekl PowerSchool, že pokud nepředá výkupné ve výši téměř 2,85 milionu dolarů, prosákne ukradené informace „do celého světa“.
Narušení šokovalo vedoucí okresů, protože se zdálo, že PowerSchool dělala všechny správné věci, aby udržela svá data v bezpečí, řekl Doug Levin, spoluzakladatel a národní ředitel K12 Security Information eXchange, národní neziskové organizace zaměřené na kybernetickou bezpečnost K-12. Například řekl, že společnost PowerSchool provedla audity a ujistila se, že její sítě uchovávající informace školních obvodů byly zabezpečené před únikem dat v roce 2024.
Společnost dokonce veřejně propagovala důležitost kybernetické bezpečnosti K-12 v Bílém doměřekl.
PowerSchool stále čelí více soudních sporů které tvrdí, že společnost byla během kybernetického útoku nedbalá a neposkytla včasné upozornění dotčeným uživatelům.
Mluvčí PowerSchool řekl K-12 Dive ve čtvrtečním prohlášení, že společnost „oceňuje úsilí žalobců a vymáhání práva, kteří postavili tohoto jednotlivce před soud“. Od narušení dat společnost uvedla, že posílila své systémy přidáním dalších vrstev zabezpečení a implementací časových kontrol přístupu.
Nemohu vrátit džina zpět do láhve
Ačkoli byl Lane pohnán k odpovědnosti za kybernetický útok PowerSchool a odsouzen k vězení, „škoda je způsobena“ únikem citlivých dat školních obvodů, řekl Levin. „Není možné vrátit džina zpět do láhve.“
Kybernetická bezpečnost K-12 zůstává „přetrvávajícím problémem“ a kybernetické útoky proti školám se nezastaví jen proto, že byl někdo pohnán k odpovědnosti za incident v PowerSchool, řekl Levin.
Mezi červencem 2023 a prosincem 2024 82 % škol K-12 uvedli, že zažili kybernetický incident, podle březnové zprávy neziskového Centra pro internetovou bezpečnost.
Jak důvěra erodovala, konverzace se přesunula k ed tech
Narušení dat PowerSchool „zásadně otřáslo“ důvěrou školních systémů ve velké dodavatele technologií, řekl Levin.
Před tímto incidentem se podle něj mnoho konverzací v oblasti kybernetické bezpečnosti K-12 zaměřovalo na to, jak by se školy mohly lépe chránit prostřednictvím úsilí, jako je posílení firewallů a implementace vícefaktorové autentizace.
I když jsou to důležité strategie, realita je taková, že školy spoléhají na velké množství dodavatelů, kteří mají jejich citlivé informace. „Školy jsou jen tak silné, jako je jejich nejslabší článek,“ řekl Levin, „a pokud se ukáže, že nejslabším článkem je prodejce, jak jsme viděli v těchto případech, přiměje lidi, aby přehodnotili, co to znamená být kyberneticky bezpečný.“
Více dotazů na zásady uchovávání údajů okresů
V případě PowerSchool byla některá vystavená data získaná ze školních obvodů stará desítky let. To, řekl Levin, naznačuje, že uchovávání dat po delší dobu může představovat nepřijatelnou úroveň rizika – zvláště když neexistuje způsob, jak se dostat k lidem, jejichž data mohla uniknout.
V důsledku toho vedoucí představitelé K-12 více mluví o tom, jak a zda minimalizovat shromažďovaná data – a jak dlouho uchovávat citlivé informace.
Minimálně, řekl Levin, by školy měly zvážit způsoby, jak odstranit a archivovat starší citlivé informace – nebo alespoň zabránit tomu, aby zůstaly dostupné na internetu – aby se snížilo riziko pro členy své komunity.
Na federální úrovni, řekl Levin, se zdá, že úředníci „dramaticky stáhli podporu školám a kybernetické bezpečnosti“. Bílý dům a Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury přesunuly mnohem více zátěže pro kybernetickou bezpečnost na státy a lokality, včetně škol, řekl.
Jak federální vláda ustupuje, státy přebírají větší odpovědnost, například tím, že po školách požadují, aby hlásily incidenty kybernetické bezpečnosti v určitém časovém rámci, nebo zavádějí standardy kybernetické bezpečnosti, řekl Levin.
Dobrou zprávou, dodal Levin, je, že „v mnoha případech začínáme vidět, že státy si uvědomují, že jde o problém, o který se musí opřít. A musí zajistit, aby veřejné agentury plnily svou roli, ale také to, že prodejci a další dodavatelé pro veřejné agentury jsou stejně kritičtí… že svou roli dělají také.“
