خرق إنستركتشر يكشف عن اعتماد المدارس على البائعين

Khaled AlZahraniمنذ 4 أسابيع

3 دقائق

Instructure Breach Exposes Schools' Vendor Dependence

في عالم التعليم الحديث، تعتمد المؤسسات التعليمية بشكل متزايد على مزودي التكنولوجيا. ومع ذلك، فإن خرق إنستركتشر الأخير يسلط الضوء على المخاطر المحتملة المرتبطة بهذا الاعتماد.

أثارت خرق بيانات مزود تكنولوجيا التعليم الرائد مخاوف وقلقًا بشأن الآثار المحتملة على المدارس وموظفيها وطلابها.

أعلنت شركة إنستركتشر، التي تقدم برنامج إدارة التعلم (LMS) كانفاس للعملاء في التعليم الابتدائي والثانوي والجامعي، عن خرق للبيانات في 1 مايو، حيث قام أحد المهاجمين بسرقة “بعض المعلومات التعريفية للمستخدمين في المؤسسات المتأثرة”، وفقًا لما ذكرته الشركة على صفحتها الخاصة بحالة النظام. تشمل هذه المعلومات التعريفية الأسماء، والبريد الإلكتروني، وأرقام تعريف الطلاب، والرسائل المتبادلة بين المستخدمين. لا توجد أدلة على سرقة كلمات المرور أو تواريخ الميلاد أو المعرفات الحكومية أو المعلومات المالية، وفقًا للإفصاح.

عند الإفصاح عن الحادث في البداية، تم إيقاف كانفاس داتا 2 وكانفاس بيتا لفترة قصيرة للصيانة لتسهيل التحقيق، كما تم إيقاف كانفاس تيست. أصبحت كانفاس داتا 2 متاحة في 3 مايو، وبيتا في 4 مايو؛ بينما لا يزال تيست تحت الصيانة.

تولى شيني هانترز، وهو مهاجم معروف في مجال الابتزاز الإلكتروني، مسؤولية الاختراق، مدعيًا أنه قام بسرقة 3.65 تيرابايت من البيانات تمثل حوالي 275 مليون مستخدم عبر 9000 مؤسسة. على موقع تسريب البيانات الخاص به، حدد شيني هانترز موعدًا نهائيًا اليوم مع تهديد لإنستركتشر بـ “ادفع أو تسرب”.

قال ستيف براود، كبير مسؤولي الأمن المعلوماتي في إنستركتشر، إن الشركة استعانت بخبراء الطب الشرعي الخارجيين واتخذت خطوات متعددة للاستجابة للحادث، بما في ذلك إلغاء صلاحيات الوصول والرموز المرتبطة بالأنظمة المتأثرة، وتطبيق تصحيحات لتعزيز الأمان، وتدوير بعض المفاتيح بدافع الحذر (على الرغم من عدم وجود أدلة على استخدامها بشكل غير صحيح)، وتنفيذ مراقبة متزايدة عبر جميع المنصات.

“شكرًا لصبركم بينما نعمل على حل هذه المسألة”، كتب براود. “نأسف بصدق لأي إزعاج أو قلق قد يسببه هذا”.

تواصلت دارك ريدينغ مع إنستركتشر للتعليق، لكن الشركة لم تستجب في وقت النشر.

خرق كانفاس: تهديدات للمؤسسات الأكاديمية

بينما قد لا تتضمن بعض المعلومات التعريفية كلمات المرور أو معرفات الحكومة أو بيانات الدفع، فإن الرسائل المرسلة بين المستخدمين (مثل الطلاب والمعلمين وأعضاء هيئة التدريس الآخرين) قد تكون أكثر البيانات حساسية التي تم اختراقها من قبل مهاجمي شيني هانترز. إحدى المخاوف هي ما إذا كان المهاجمون يمكنهم استخدام المعلومات المستمدة من هذه الرسائل كرافعة ابتزاز إضافية ضد المؤسسات أو العائلات. ستكون المعلومات التعريفية المحددة مثل هذه مفيدة أيضًا في أنشطة التصيد الاحتيالي اللاحقة.

وبالنسبة للمؤسسات الأكاديمية التي تستخدم كانفاس، ليس من السهل الانتقال من نظام إدارة التعلم إلى آخر، ناهيك عن إذا كان المنتج المخترق هو الأكثر شعبية من نوعه في أمريكا الشمالية.

يقول دينيس كالدرون، كبير مسؤولي التكنولوجيا في شركة سوزو لابز، لدارك ريدينغ إن بموجب قانون حقوق التعليم العائلي وخصوصية الطلاب (FERPA) لعام 1974، لا تزال المدارس مسؤولة عن حماية بيانات الطلاب حتى عندما تكون في منصة لا تتحكم فيها المدرسة.

“هناك بائعون آخرون لنظم إدارة التعلم، ولكن الانتقال من كانفاس ليس بالأمر السهل، وأشك في أن معظم المؤسسات المتأثرة ستذهب إلى أي مكان”، كما يقول. يضيف كالدرون أنه بينما لا يمكن للمؤسسات التي تستخدم كانفاس التحكم في موقف إنستركتشر الأمني، يمكن للمدرسة التحكم في البيانات التي توجد هناك. يجب على المنظمات ذات الصلة مراجعة سياسات الاحتفاظ بالبيانات الخاصة بها الآن.

وبالمثل، يقول إنصار شكر، كبير مسؤولي الأمن المعلوماتي في SOCRadar، إنه عندما تصبح منصات مثل كانفاس متجذرة بعمق في سير العمل اليومي للتعليم، فإن المعلمين والطلاب “يرثون” موقف أمان تلك المنصة سواء كانوا يعرفون ذلك أم لا.

“الواقع هو أن المعلمين لا يمكنهم تجنب استخدام هذه الأنظمة بشكل واقعي، لذا يجب أن يتحول التركيز من الثقة العمياء إلى المرونة وتقليل المخاطر. يجب على المؤسسات أن تفترض أن أي منصة تواصل سحابية قد تتعرض في النهاية للاختراق وتطوير السياسات وفقًا لذلك”، يقول شكر. “هذا يعني تقليل المناقشات الحساسة في أنظمة الرسائل بالمنصة، وتقليل الاحتفاظ غير الضروري للبيانات، وفرض ضوابط هوية قوية مثل التحقق متعدد العوامل (MFA) في كل مكان ممكن، ووجود خطط واضحة للتواصل في حالة حدوث خرق قبل وقوع الحادث”.

يقول بريان بيل، الرئيس التنفيذي لشركة FusionAuth لإدارة هوية العملاء والوصول، إن المؤسسات يجب أيضًا أن تطلب من البائعين إثبات موقفهم الأمني من خلال الشهادات الحالية، والتدقيقات من طرف ثالث، والتزامات واضحة بإخطار الخروقات، وضوابط موثقة لأشياء مثل مفاتيح API والرموز.

“لا يمكن أن تكون الثقة في البائع قرار شراء لمرة واحدة”، كما يقول. “في تكنولوجيا التعليم، يجب أن تكسب باستمرار”.

يجب على المؤسسات التعليمية أن تتبنى استراتيجيات قوية لحماية بيانات الطلاب وتخفيف المخاطر المرتبطة باستخدام المنصات السحابية. إن تعزيز الأمان والوعي هو المفتاح في عصر التكنولوجيا.

الوسوم