YORUM
Verilerin hedef alınması ve sızdırılması risklerini düşünürken sıklıkla finans veya sağlık hizmetleri gibi yüksek riskli sektörleri düşünürüz. Ancak, kişisel tanımlanabilir bilgiler (PII) gerektiren eğitim sektörü ve altyapısı genellikle göz ardı ediliyor.
Çoğu kişi için, mal ve hizmet karşılığında bu kişisel bilgi alışverişi (bu durumda okula kayıt olmak) endişe verici görünmeyebilir. Ancak K-12 öğrencileri için bu, siber suçlara ve zararlarına potansiyel olarak erken bir giriştir.
Bazı okullarla zaten siber tehdit altındaveri koruma stratejilerinin yeniden değerlendirilmesinin aciliyeti giderek daha açık hale geliyor.
Lise Öncesi Kimlik Hırsızlığı
2023 yılında eğitim kurumları şunu gördü: artan veri ihlali faaliyeti. Birçok yetişkin için gerçeklik veri ihlalleri iyi bilinir ve genellikle günlük yaşamın bir parçasıdır; şüpheli bağlantılara tıklamayın, kredi izlemeyi etkinleştirin ve dikkatli olun. dolandırıcılık çağrıları. Bu, K-12 okullarındaki genç öğrenciler için uzak bir kavramdır, ancak onların verileri en savunmasız olanlardan bazılarıdır.
Eğitim sektöründe kullanılan bir uygulamadaki bir güvenlik açığı, bu öğrenciler için çok büyük bir saldırı yüzeyine neden olabilir. Örneğin okullar, öğretim materyallerini desteklemek için uygulamaları ve çevrimiçi kaynakları kullanır. Yine de eğitimciler bu satıcıların isimler ve e-postalar gibi kişisel bilgileri uygun şekilde koruduğundan emin olamıyor. Los Angeles Birleşik Okul Bölgesi ve onun deneyimi gibi örnekler “Ed” adlı sohbet robotu Görünüşte Ed’in bölgedeki öğrencilerin kişisel asistanı olması gerekiyordu ve onların verilerini kullanıyordu. Ancak botun başlangıç şirketi AllHere kapanıp sohbet robotu ortadan kaybolunca, öğrenci verilerinin tam olarak nereye gittiğine dair sorular kaldı.
Amerika Birleşik Devletleri’ndeki okullar eğitim-öğretim yılının sonuna yaklaşıyor; bu da ebeveynlerin çocuklarıyla ilgili aşı kayıtlarını, tıbbi geçmişlerini ve diğer hassas bilgileri zaten sağladıkları anlamına geliyor. Bu bilgiler okul sunucularında, hatta muhtemelen AllHere’ın sohbet robotu gibi üçüncü taraf veritabanlarında depolanıyor.
K-12 öğrencilerinin ebeveynleri farkında olmadan tehdit aktörlerine ihtiyaç duydukları bilgileri veriyor olabilir. çocuklarının kimliğini çalmak üniversiteye girmeden önce.
Tucson Birleşik Okul Bölgesi2023 yılında siber suçlular ve fidye yazılımlarıyla karşılaşmamıştı. fidye yazılımı grubu Royal Pasaportlar, Sosyal Güvenlik numaraları, doğum belgesi bilgileri ve daha fazlası dahil olmak üzere öğrencilerin kişisel bilgileri olduğunu iddia ettikleri tüm bilgileri gasp ettiler.
Araştırma Karşılaştırmalı teknoloji veri ihlallerinin 2005’ten bu yana K-12 okulları ve yüksek öğrenim genelinde 37,6 milyondan fazla kaydı etkilediğini gösteriyor. 2018 ile 2021 arasında, Amerika Birleşik Devletleri eğitim sektöründe hedeflenen kurumların %61’i K-12 okullarıydı. Üniversite ve kolejleri hedef alan fidye yazılım saldırılarında daha fazla kayıt etkilenirken, gençlerimizin verilerine olan bu ilgi onların siber saldırılara karşı savunmasızlığını ortaya koyuyor.
Tucson olayı gibi örnekler pek çok eğitimcinin ve ebeveynin umduğu kadar nadir değildir. Siber olaylardan sonra kredilerini izlemek veya bilinçli kararlar vermek için aynı erişime veya becerilere sahip olmayan gençlerimiz özellikle savunmasızdır. Tucson Birleşik Okul Bölgesi’nde yaşanana benzer başarılı bir fidye yazılımı saldırısının tüm etkileri, son derece savunmasız öğrenci demografisi için yıkıcı olabilir.
Veri Hırsızlarına İlişkin Yanılgılar
ulaştık rekor kıran fidye yazılımı saldırıları 2024 yılındayız ve tüm sektörlerdeki verilerimiz risk altında. Ancak, veri ihlalleri ve veri hırsızlığı seli ile birlikte tüketici verilerine yönelik günlük kurumsal talep ilginç bir olgu yarattı: Tüketiciler, verilerinin hiçbir zaman güvence altına alınacağına güvenmiyor.
Siber suçlular fırsatçıdır ve kendi çıkarlarına hizmet ederler; genellikle sızdırabilecekleri ve para karşılığında gasp edebilecekleri değerli bilgileri çalmanın en kolay yolunu ararlar. Güvenlik açıklarından yararlanıyorlar ve verileri kendi çıkarları doğrultusunda çalmak için kimlik avı kampanyaları yürütüyorlar, ancak bu davranış yalnızca yetişkinleri etkilemiyor.
Tarihsel olarak eğitim sektörü bu gruplar için öncelikli bir hedef olmasa da, 2023’ün patlak vermesi yeni bir gerçeğin altını çiziyor. Tehdit aktörleri yöntemlerinde daha agresif hale geliyor ve ilerleyen süreçte K-12 ve yüksek öğretim kurumlarında veri korumasına öncelik verilmesi gerekiyor.
Eğitim Sektöründe Veri Hırsızlığının Önlenmesi
Yüksek ve düşük eğitim kurumları, “2024 Sophos Eğitim Durumu” rapor.
Aynı rapor, hem alt hem de yüksek öğretim kurumlarına yönelik saldırıların giderek daha tehlikeli hale geldiğini gösteriyor:
Geçtiğimiz yıl alt eğitim kurumlarında gerçekleşen fidye yazılımı saldırılarının yüzde 85’i ve yüksek öğretim kurumlarında ise yüzde 77’si, tehdit aktörlerinin okul verilerini şifrelemesiyle sonuçlandı.
Alt ve yüksek öğretim kurumları genelinde, bu saldırılardan kurtulmanın maliyeti 2024’te 2023’e kıyasla iki ve dört katına çıktı.
En endişe verici olanı, siber saldırılardan kaynaklanan veri hırsızlığını en az rapor eden sektör eğitim sektörüdür; düşük eğitim tesisleri %22 raporlama oranıyla sağlık sektörüyle bağlantılıdır.
Aşılmaz bir savunma oluşturmak imkansız olsa da mevcut stratejiler, güvenlik duvarları, izinsiz giriş tespit sistemleri ve karmaşık tehditlere karşı yetersiz olduğu kanıtlanan düzenli güvenlik denetimleri gibi bariyerler oluşturmaya dayanıyor. Eğitim sektörünün veri güvenliğini yeniden değerlendirmesi gerekiyor.
Eğitim sektörü, saldırgan bir tehdit ortamında PII’yi korumak için kapsamlı veri koruma stratejilerine öncelik vermelidir. Okullar ve üniversiteler bunu yaparak kimlik hırsızlığı ve fidye yazılımı risklerini azaltabilir, öğrenciler ve öğretim üyeleri için veri güvenliğini sağlayabilir. İleriye dönük olarak, eğitim sektörünün kırılganlığının farkına varması ve savunmasını güçlendirmek, çocuklarımızın ve eğitimcilerimizin geleceğini korumak için proaktif adımlar atması çok önemlidir.
