Illuminate Education’ın Veri Güvenliği İhlali
Federal Ticaret Komisyonu (FTC), eğitim teknolojisi sağlayıcısı Illuminate Education’ın savunmasız öğrenci verilerini silmesini ve güvenliğini geliştirmesini talep ediyor. Bu karar, 2021 yılında 10 milyon öğrencinin bilgilerini ifşa eden bir olay ile ilgili gerçekleştirilmiş bir anlaşmanın parçasıdır.
Olayın Arka Planı
Illuminate Education, K-12 okulları ve okul bölgeleri için bulut tabanlı teknoloji ürünleri sunan bir firmadır. Şirket, akademik performans, sınavlar, devamsızlık, programlama ve demografik veriler gibi çeşitli alanlarda öğrenci verilerini toplama, düzenleme, analiz etme ve raporlama araçları sunmaktadır.
Ancak, FTC’nin raporuna göre, şirketin veri güvenliği programı birden fazla düzeyde başarısız olmuştur. Bu başarısızlıklar arasında yetersiz erişim kontrolleri, zayıf tespit ve yanıt sistemleri, zayıf güvenlik açığı izleme ve düzeltme uygulamaları bulunmaktadır. Ayrıca, verilerin düz metin olarak depolanması büyük bir güvenlik riski yaratmaktadır.
Hacker Saldırısı ve Sonuçları
2021 yılının Aralık ayında, bir hacker, şirketin sistemlerine erişim sağlayarak yaklaşık 10,1 milyon öğrencinin kişisel bilgilerini sızdırmıştır. Elde edilen bilgiler arasında e-posta adresleri, fiziksel adresler, doğum tarihleri, öğrenci kayıtları ve sağlıkla ilgili bilgiler yer almaktadır.
FTC, Illuminate’ın ağlarında birçok güvenlik açığı bulunduğunu bildiren uyarılar aldığını belirtmiştir. Buna rağmen, şirket gerekli önlemleri almayı reddetmiş ve verilerin düz metin olarak depolanmasına devam etmiştir.
Şirketin Yanlış Bildirimi ve Sonuçları
Illuminate, güvenlik önlemleri konusunda yanıltıcı bilgiler vermiştir. Okullara sunduğu sözleşmelerde, “uygulama ve prosedürlerinin özel sektörün en iyi uygulamalarını karşılayacak şekilde tasarlandığını” belirtmiştir. Ancak, bu iddiaların gerçekliği sorgulanmaktadır.
FTC, şirketin olaydan iki yıl sonra etkilenen okul bölgelerine bildirimde bulunduğunu ve bu durumun kullanıcıların phishing ve diğer saldırılara maruz kalma riskini artırdığını ifade etmiştir.
Anlaşmanın Şartları
FTC, Illuminate’a güvenlik önlemlerini artırma ve veri güvenliği programı oluşturma zorunluluğu getirmiştir. Anlaşma gereği, illuminate tüm gereksiz verileri silmeli, kamuya açık bir veri tutma programını takip etmeli, güvenlik uygulamalarını yanlış beyan etmemeli ve veri ihlali raporlarını FTC’ye bildirmelidir.
Bu anlaşmanın uygulama süreci, kamuya açık yorumlar için 30 gün boyunca açık kalacaktır. Nihai düzenlemenin ihlal edilmesi durumunda, her ihlal için 51.744 dolara kadar sivil ceza uygulanabilecektir.
Bu gelişmeler, eğitim teknolojisi alanında veri güvenliği konusunda önemli bir dönüşüm oluşturmaktadır. Okul sistemlerinin ve eğitim teknolojisi sağlayıcılarının, öğrenci verilerini koruma sorumluluğunu daha ciddi bir şekilde ele alması gerektiği aşikârdır.
