Rada Szkolna Okręgu Toronto (TDSB) ogłosiła, że niedawne naruszenie cyberbezpieczeństwa wpływające na PowerSchool mogło narazić na szwank dane osobowe uczniów w latach 1985–2024. Naruszenie wykryte 7 stycznia wzbudziło zaniepokojenie, ponieważ potencjalnie wpływa na informacje medyczne, numery kart zdrowia i adresy domowe.
Władze szkoły w Toronto zgłaszają naruszenie cyberbezpieczeństwa mające wpływ na dane uczniów
PowerSchool to platforma oparta na chmurze, używana przez wiele zarządów szkół do przechowywania danych uczniów i pracowników. W komunikacie skierowanym do rodziców i opiekunów tymczasowa dyrektor ds. edukacji Stacey Zucker wyjaśniła, że szczegółowe informacje dotyczące skompromitowanych danych różnią się w zależności od okresu nauki ucznia.
TDSB zgłoszone że dane dotyczące uczniów zapisanych od 3 września 1985 r. do 31 sierpnia 2017 r. mogły zawierać imiona i nazwiska, daty urodzenia, płeć, numery kart zdrowia, adresy domowe, numery telefonów i dodatkowe informacje. W przypadku uczniów, którzy uczęszczali do szkoły od września 2017 r. do 28 grudnia 2024 r., dostępne informacje mogą obejmować imiona i nazwiska, daty urodzenia, płeć, numery kart zdrowia, dokumentację medyczną, np. alergie, adresy domowe, numery telefonów, informacje o miejscu zamieszkania, a także dane rodziców, dane opiekuna lub opiekuna oraz dane kontaktowe w nagłych przypadkach.
W szczególności TDSB potwierdziła, że naruszenie nie miało wpływu na informacje medyczne dotyczące jej zespołu usług wsparcia, w skład którego wchodzą różni pracownicy służby zdrowia. Kanadyjscy urzędnicy ds. ochrony prywatności badają obecnie incydent.
W odpowiedzi na naruszenie PowerSchool ogłosiło, że to zrobi dostarczać bezpłatne usługi ochrony tożsamości przez dwa lata dla wszystkich uczniów i nauczycieli, których to dotyczy, wraz z dwuletnim monitorowaniem zdolności kredytowej dorosłych uczniów i nauczycieli, niezależnie od tego, czy ich numery ubezpieczenia społecznego zostały naruszone. TDSB zapewniła, że nie przechowuje numerów ubezpieczenia społecznego ani danych finansowych w systemie PowerSchool, wskazując, że takie informacje pozostają bezpieczne.
„PowerSchool będzie oferować przez dwa lata bezpłatne usługi ochrony tożsamości wszystkim uczniom i nauczycielom, których dane dotyczyły, a także będzie oferować dwa lata bezpłatnych usług monitorowania kredytów wszystkim dorosłym uczniom i nauczycielom, których dane dotyczyły. Robimy to niezależnie od tego, czy numer ubezpieczenia społecznego danej osoby został wydobyty.”
-Szkoła Mocy
Rzecznik TDSB Ryan Bird stwierdził, że PowerSchool zapewnił wszystkie rady szkolne, że zainfekowane dane zostały usunięte i nie są przechowywane gdzie indziej. Bird wyraził ciągłe obawy dotyczące naruszenia i podkreślił wspólne wysiłki z PowerSchool w celu zwiększenia bezpieczeństwa systemu.
Według TechCrunchRomy Backus, administrator z American School of Dubai, otrzymał powiadomienie od PowerSchool o naruszeniu i podjął natychmiastowe kroki, aby zrozumieć jego skutki, ponieważ w pierwotnym komunikacie nie określono, które dane zostały naruszone. Backus zauważył brak przydatnych informacji, co doprowadziło do zamieszania wśród administratorów szkół, którzy próbowali ustalić zakres naruszenia. Administratorzy różnych szkół, których dotyczy problem, zwrócili się do siebie o wskazówki, co spowodowało zauważalny wzrost komunikacji między użytkownikami listy e-mailowe.
Backus wykorzystała swoją wiedzę techniczną do zidentyfikowania zagrożonych danych w swojej szkole, a następnie stworzyła obszerny przewodnik dla innych administratorów, szczegółowo opisujący wzorce naruszeń i kroki dochodzenia. Przewodnik ten był szeroko udostępniany na forach użytkowników PowerSchool, gromadząc tysiące wyświetleń i stając się kluczowym źródłem informacji dla szkół radzących sobie po włamaniu.
Doug Levin, współzałożyciel K12 Security Information eXchange, zauważył znaczenie takiej współpracy w społeczności edukacyjnej, szczególnie podczas incydentów na dużą skalę, takich jak naruszenie PowerSchool, ponieważ szkołom często brakuje solidnych zasobów w zakresie cyberbezpieczeństwa.
Rzeczniczka PowerSchool, Beth Keebler, wyraziła uznanie dla przyjaznego środowiska, jakie panuje wśród klientów, podkreślając wspólne wysiłki podczas kryzysu bezpieczeństwa.
Według najnowszej aktualizacji TDSB zapewniła obecnych i byłych studentów, że nie ma ciągłego nieuprawnionego dostępu do danych.
Autor wyróżnionego obrazu: Szkoła Mocy
