Business is booming.

A Cyberattack Illuminates the Shaky State of Student Privacy

De software die veel schooldistricten gebruiken om de voortgang van leerlingen bij te houden, kan uiterst vertrouwelijke informatie over kinderen vastleggen: “Intellectuele handicap”. “Emotionele stoornis.” “Dakloos.” “Verstorend.” “Trotsering.” “Dader.” “Overmatig praten.” “Moet bijles volgen.”

Nu worden deze systemen strenger onder de loep genomen na een recente cyberaanval op Illuminate Education, een toonaangevende leverancier van software voor het volgen van studenten, waarbij de persoonlijke informatie van meer dan een miljoen huidige en voormalige studenten in tientallen districten werd aangetast, waaronder in New York City en Los Angeles, de grootste openbare schoolsystemen van het land.

Ambtenaren zeiden dat in sommige districten de gegevens de namen, geboortedata, rassen of etniciteiten en testscores van studenten bevatten. Ten minste één district zei dat de gegevens meer intieme informatie bevatten, zoals het te laat komen van studenten, migrantenstatus, gedragsincidenten en beschrijvingen van handicaps.

De blootstelling van dergelijke privé-informatie kan gevolgen hebben op de lange termijn.

“Als je een slechte student bent en disciplinaire problemen had en die informatie is nu beschikbaar, hoe herstel je dan?” zei Joe Green, een cyberbeveiligingsprofessional en ouder van een middelbare scholier in Erie, Colorado, wiens zoons middelbare school werd getroffen door de hack. ‘Het is jouw toekomst. Het is naar de universiteit gaan, een baan krijgen. Het is alles.”

In de afgelopen tien jaar hebben technologiebedrijven en onderwijsvernieuwers scholen ertoe aangezet om softwaresystemen in te voeren die de uitbarstingen, het absenteïsme en leerproblemen van leerlingen kunnen catalogiseren en categoriseren. De bedoeling van dergelijke tools is goed bedoeld: om docenten te helpen bij het identificeren van en ingrijpen bij risicoleerlingen. Naarmate deze leerlingvolgsystemen zich echter hebben verspreid, hebben ook cyberaanvallen op schoolsoftwareleveranciers plaatsgevonden, waaronder een recente hack die Openbare scholen in Chicagohet op twee na grootste district van het land.

Nu zeggen sommige experts op het gebied van cyberbeveiliging en privacy dat de cyberaanval op Illuminate Education neerkomt op een waarschuwing voor de industrie en regelgevers van de overheid. Hoewel het niet de grootste hack op een ed-techbedrijf was, zeggen deze experts dat ze last hebben van de aard en omvang van het datalek, waarbij in sommige gevallen gevoelige persoonlijke gegevens over studenten of studentgegevens uit de meer dan een decennium. Op een moment dat sommige onderwijstechnologiebedrijven gevoelige informatie hebben verzameld over miljoenen schoolkinderen, lijken de beveiligingen voor leerlinggegevens volgens hen volstrekt ontoereikend.

“Er is echt een epische mislukking geweest”, zegt Hector Balderas, de procureur-generaal van New Mexico, wiens kantoor technologiebedrijven heeft aangeklaagd wegens het schenden van de privacy van kinderen en studenten.

In een recent interview zei dhr. Balderas dat het Congres er niet in was geslaagd om moderne, zinvolle gegevensbescherming voor studenten in te voeren, terwijl regelgevers de technische bedrijven niet verantwoordelijk hadden gehouden voor het schenden van de privacy en beveiliging van studentengegevens.

“Er is absoluut een handhavings- en aansprakelijkheidskloof”, zei de heer Balderas.

In een verklaring zei Illuminate dat het “geen bewijs had dat informatie het onderwerp was van daadwerkelijk of poging tot misbruik” en dat het “beveiligingsverbeteringen had geïmplementeerd om verdere cyberaanvallen te voorkomen”.

Bijna tien jaar geleden begonnen privacy- en beveiligingsexperts te waarschuwen dat de verspreiding van geavanceerde tools voor datamining op scholen de bescherming van de persoonlijke informatie van leerlingen snel overtrof. Wetgevers haastten zich om te reageren.

Sinds 2014 hebben Californië, Colorado en tientallen andere staten de privacy- en beveiligingswetten voor studentengegevens aangenomen. In 2014 sloten tientallen K-12 ed-tech providers zich aan bij een nationale Privacybelofte voor studentenmet de belofte een “uitgebreid beveiligingsprogramma” te handhaven.

Aanhangers van de belofte zeiden dat de Federal Trade Commission, die misleidende privacypraktijken toepast, bedrijven zou kunnen houden aan hun verplichtingen. president Obama bekrachtigde de beloftewaarbij deelnemende bedrijven werden geprezen tijdens een grote privacytoespraak op de FTC in 2015.

De FTC heeft een lange geschiedenis in het beboeten van bedrijven voor het schenden van de privacy van kinderen op consumentendiensten zoals YouTube en TikTok. Ondanks talrijke rapporten van ed tech bedrijven met problematische privacy en beveiligingspraktijkenhet bureau moet echter de privacybelofte van de sector voor studenten nog afdwingen.

In mei heeft de FTC aangekondigd dat regelgevers van plan waren hard op te treden tegen ed-techbedrijven die een federale wet overtreden – de Children’s Online Privacy Protection Act – die onlinediensten voor kinderen onder de 13 vereist om hun persoonlijke gegevens te beschermen. Het bureau voert een aantal niet-openbare onderzoeken naar ed-techbedrijven uit, zei Juliana Gruenwald Henderson, een woordvoerster van de FTC.

Illuminate Education, gevestigd in Irvine, Californië, is een van ‘s lands toonaangevende leveranciers van software voor het volgen van studenten.

De website van het bedrijf zegt dat haar diensten meer dan 17 miljoen studenten in 5.200 schooldistricten bereiken. Populaire producten zijn onder meer een aanwezigheidsregistratiesysteem en een online cijferlijst, evenals een schoolplatform, genaamd eduCLIMBER, waarmee opvoeders het “sociaal-emotionele gedrag” van leerlingen kunnen vastleggen en kinderen een kleurcode kunnen geven als groen (“op schema”) of rood (“niet op schema”).

Illuminate heeft zijn cyberbeveiliging gepromoot. In 2016 kondigde het bedrijf aan dat het zich had aangesloten bij de branchebelofte om zijn “steun voor de bescherming” te tonenleerlinggegevens.

Bezorgdheid over een cyberaanval ontstond in januari nadat enkele leraren op scholen in New York City ontdekten dat hun online aanwezigheids- en cijferboeksystemen niet meer werkten. Illuminate zei dat het die systemen tijdelijk offline heeft gehaald nadat het zich bewust werd van “verdachte activiteit” op een deel van zijn netwerk.

Op 25 maart deelde Illuminate het district mee dat bepaalde bedrijfsdatabases onderhevig waren aan ongeautoriseerde toegang, zei Nathaniel Styer, de perschef van New York City Public Schools. Het incident, zei hij, trof ongeveer 800.000 huidige en voormalige studenten op ongeveer 700 lokale scholen.

Voor de getroffen New York City-studenten omvatten de gegevens voor- en achternaam, de naam van de school en het student-ID-nummer, evenals ten minste twee van de volgende: geboortedatum, geslacht, ras of etniciteit, thuistaal en klasinformatie zoals de naam van de leraar. In sommige gevallen werd ook de handicapstatus van studenten beïnvloed, dat wil zeggen of ze al dan niet speciaal onderwijs ontvingen.

Ambtenaren van New York City zei dat ze verontwaardigd waren. In 2020 tekende Illuminate een strikte data-overeenkomst met het district dat het bedrijf verplichtte om studentengegevens te beschermen en districtsfunctionarissen onmiddellijk op de hoogte te stellen in het geval van een datalek.

Ambtenaren van de stad hebben het kantoor van de procureur-generaal van New York en de FBI gevraagd een onderzoek in te stellen. In mei heeft de onderwijsafdeling van New York City, die haar eigen onderzoek uitvoert, lokale scholen opgedragen om te stoppen met het gebruik van Illuminate-producten.

“Onze studenten verdienden een partner die zich richtte op adequate beveiliging, maar in plaats daarvan werd hun informatie in gevaar gebracht”, zei burgemeester Eric Adams in een verklaring aan The New York Times. De heer Adams voegde eraan toe dat zijn administratie samenwerkte met regelgevers “terwijl we er alles aan doen om het bedrijf volledig verantwoordelijk te houden voor het niet bieden van de beloofde zekerheid aan onze studenten.”

De Illuminate-hack trof nog eens 174.000 studenten in 22 schooldistricten in de staat, volgens de New York State Education Department, die zijn eigen onderzoek uitvoert.

In de afgelopen vier maanden heeft Illuminate ook meer dan een dozijn andere districten – in Connecticut, Californië, Colorado, Oklahoma en de staat Washington – op de hoogte gebracht van de cyberaanval.

Illuminate weigerde te zeggen hoeveel schooldistricten en studenten werden getroffen. In een verklaring zei het bedrijf dat het met externe experts had samengewerkt om het beveiligingsincident te onderzoeken en tot de conclusie was gekomen dat studenteninformatie tussen 28 december 2021 en 8 januari 2022 “mogelijk onderhevig was aan ongeautoriseerde toegang”. de verklaring zei, Illuminate had vijf fulltime medewerkers gewijd aan beveiligingsoperaties.

Verlichten leerlinggegevens bewaard op het online opslagsysteem van Amazon Web Services. Cybersecurity-experts zeiden dat veel bedrijven hun AWS-opslagbuckets onbedoeld gemakkelijk hadden gemaakt voor hackers om te vinden – door databases te vernoemen naar bedrijfsplatforms of -producten.

In de nasleep van de hack zei Illuminate dat het zes extra fulltime beveiligings- en nalevingsmedewerkers had aangenomen, waaronder een chief information security officer.

Na de cyberaanval voerde het bedrijf ook tal van beveiligingsupgrades uit, volgens een brief die Illuminate naar een schooldistrict in Colorado stuurde. In de brief stond onder andere dat Illuminate continue monitoring door derden heeft ingesteld op al zijn AW.S. accounts en dwingt nu verbeterde inlogbeveiliging af voor zijn AWS-bestanden.

Maar tijdens een interview met een verslaggever vond Greg Pollock, de vice-president voor cyberonderzoek bij UpGuard, een risicobeheerbedrijf voor cyberbeveiliging, een van Illuminate’s AWS-buckets met een gemakkelijk te raden naam. De verslaggever vond toen een tweede AWS-emmer, vernoemd naar een populair Illuminate-platform voor scholen.

Illuminate zei dat het om veiligheidsredenen geen details kon geven over zijn beveiligingspraktijken.

Na een vloedgolfBij cyberaanvallen op zowel ed-techbedrijven als openbare scholen zeiden onderwijsfunctionarissen dat het tijd was voor Washington om in te grijpen om studenten te beschermen.

“Veranderingen op federaal niveau zijn achterstallig en kunnen een onmiddellijke en landelijke impact hebben”, zei de heer Styer, de woordvoerder van de scholen in New York City. Het congres zou bijvoorbeeld de federale privacyregels voor het onderwijs kunnen wijzigen om gegevensbeveiligingsvereisten op te leggen aan schoolverkopers, zei hij. Dat zou federale agentschappen in staat stellen boetes op te leggen aan bedrijven die zich niet aan de regels houden.

Eén bureau heeft al opgetreden, maar niet namens studenten.

Vorig jaar heeft de Securities and Exchange Commission Pearson, een grote leverancier van beoordelingssoftware voor scholen, beschuldigd van: misleidende investeerders over een cyberaanval waarbij de geboortedata en e-mailadressen van miljoenen studenten werden gestolen. Pearson stemde ermee in om $ 1 miljoen te betalen om de kosten te schikken.

De procureur-generaal, de heer Balderas, zei dat hij woedend was dat de financiële regelgevers hadden gehandeld om investeerders in de Pearson-zaak te beschermen, zelfs toen de privacytoezichthouders er niet in slaagden op te treden voor schoolkinderen die het slachtoffer waren van cybercriminaliteit.

“Mijn zorg is dat er slechte acteurs zullen zijn die een openbare schoolomgeving zullen uitbuiten, vooral als ze denken dat de technologieprotocollen niet erg robuust zijn”, zei de heer Balderas. “En ik weet niet waarom het Congres nog niet doodsbang is.”