Canvas Cyberattack blocca gli esami a livello nazionale

Giovedì si sono verificati disagi diffusi tra le istituzioni educative di tutti gli Stati Uniti, quando un significativo attacco informatico ha preso di mira Canvas, una delle piattaforme di apprendimento online più utilizzate nella nazione, proprio nel momento in cui gli studenti si stavano preparando e sostenendo gli esami finali. La tempistica dell'attacco ha creato sfide sostanziali sia per gli insegnanti che per gli studenti che fanno molto affidamento sulla piattaforma per i materiali dei corsi, l'invio dei compiti e la gestione degli esami durante il periodo critico di fine semestre.

Le istituzioni educative da una costa all'altra hanno immediatamente iniziato a segnalare problemi di accesso e interruzioni del servizio. L'interruzione di Canvas ha costretto gli amministratori a sviluppare rapidamente piani di emergenza, riprogrammare gli esami e comunicare soluzioni alternative agli studenti stressati. Molte scuole hanno dovuto ricorrere ad accordi improvvisati, tra cui test cartacei, date degli esami posticipate o migrazione temporanea a piattaforme concorrenti. I tempi di inattività imprevisti hanno evidenziato la significativa dipendenza che i moderni istituti scolastici hanno dai sistemi di gestione dell'apprendimento basati su cloud e la vulnerabilità insita nell'affidarsi a soluzioni a fornitore unico per funzioni accademiche critiche.

Instructure, la società che possiede e gestisce Canvas, ha risposto rapidamente alla crisi mettendo la piattaforma completamente offline come misura precauzionale giovedì. In una dichiarazione formale rilasciata venerdì mattina, i funzionari dell'azienda hanno confermato che la piattaforma Canvas è stata ripristinata ed è nuovamente operativa. La decisione di interrompere temporaneamente il servizio, sebbene distruttiva, è stata presa dopo che la società ha identificato attività non autorizzate all'interno della propria infrastruttura di rete e ha stabilito che era necessaria un'azione immediata per contenere la minaccia.

Secondo la divulgazione dettagliata di Instructure, l'accesso non autorizzato e la successiva violazione dei dati hanno coinvolto lo stesso autore della minaccia responsabile di un incidente di sicurezza separato che la società aveva rivelato solo una settimana prima. Questa rivelazione ha suggerito una campagna coordinata o in corso rivolta al fornitore di tecnologia educativa. L'indagine dell'azienda ha rivelato che gli aggressori sono riusciti ad accedere alle informazioni personali sensibili degli utenti sulla loro piattaforma, inclusi nomi utente, indirizzi email e numeri di identificazione degli studenti.

Oltre alle informazioni identificative di base, gli autori delle minacce hanno anche avuto accesso a messaggi e comunicazioni privati che gli utenti avevano scambiato tramite la piattaforma Canvas, sollevando notevoli preoccupazioni sulla privacy. Questi messaggi contenevano potenzialmente discussioni accademiche sensibili, comunicazioni tra studenti e insegnanti e altri contenuti didattici riservati. Tuttavia, Instructure ha dichiarato che la loro analisi forense non ha trovato prove che gli aggressori abbiano ottenuto password, date di nascita, numeri di identificazione rilasciati dal governo o informazioni sui conti finanziari durante la violazione.

La portata dell'incidente si è rivelata enorme. Un gruppo ransomware noto come ShinyHunters ha rivendicato la responsabilità della violazione attraverso un post sul dark web, vantandosi del fatto che i dati rubati comprendevano informazioni di circa 275 milioni di persone. Gli aggressori hanno affermato che questo vasto set di dati proveniva da quasi 8.800 diverse scuole e istituti scolastici che utilizzano Canvas per le loro esigenze di gestione dell'apprendimento.

La portata dell'incidente ha rappresentato una delle violazioni più gravi che hanno colpito il settore dell'istruzione negli ultimi anni. Con 8.800 scuole potenzialmente colpite, la violazione ha colpito milioni di studenti, insegnanti, amministratori e altro personale scolastico negli Stati Uniti. Il settore della tecnologia educativa è diventato un obiettivo sempre più attraente per i criminali informatici, poiché queste piattaforme contengono una grande quantità di informazioni personali sui minori e sono spesso inadeguatamente protette rispetto ad altri settori.

L'incidente ha innescato indagini immediate sia da parte dei team di sicurezza interni di Instructure che delle società esterne di sicurezza informatica coinvolte per valutare il danno e determinare in che modo gli aggressori hanno ottenuto l'accesso non autorizzato. Sono emerse domande sull'adeguatezza delle misure di sicurezza della piattaforma, su come gli autori delle minacce hanno aggirato le difese esistenti e quali vulnerabilità specifiche sono state sfruttate. Gli istituti scolastici hanno iniziato a richiedere informazioni dettagliate sull'esposizione dei propri studenti e sulle misure protettive che potevano attuare.

Genitori e difensori degli studenti hanno espresso preoccupazione per l'esposizione delle informazioni personali dei loro figli, mentre i difensori della privacy hanno chiesto norme più severe che disciplinino il modo in cui le società di tecnologia educativa gestiscono e proteggono i dati sensibili degli studenti. Molte istituzioni si sono trovate ad affrontare una potenziale responsabilità legale e hanno dovuto affrontare il difficile compito di informare i genitori e gli studenti interessati della violazione.

L'interruzione di Canvas durante la settimana delle finali ha sottolineato l'importanza fondamentale di solide misure di sicurezza informatica nel settore dell'istruzione, dove i sistemi sono essenziali per l'insegnamento, la valutazione e le operazioni istituzionali. Le scuole che avevano investito in sistemi ridondanti o disponevano di sistemi di gestione dell'apprendimento di backup sono state in grado di ridurre al minimo le interruzioni, mentre quelle che dipendevano esclusivamente da Canvas hanno dovuto affrontare sfide operative significative. L'incidente ha scatenato discussioni più ampie all'interno degli istituti scolastici sulla pianificazione del ripristino di emergenza e sulla necessità di diverse soluzioni tecnologiche.

La risposta di Instructure ha compreso non solo il ripristino della piattaforma, ma anche comunicazioni esaustive con le istituzioni interessate. L'azienda ha fornito indicazioni sulle informazioni a cui è stato effettuato l'accesso, consigli agli utenti su come modificare le password e informazioni sui servizi di monitoraggio offerti a coloro i cui dati sono stati compromessi. Nonostante la rapida risposta, l'incidente ha compromesso la fiducia nelle pratiche di sicurezza dell'azienda e ha sollevato dubbi sull'opportunità di implementare prima misure di protezione aggiuntive.

La tempistica dell'attacco durante la settimana delle finali ha reso l'incidente particolarmente dannoso sia dal punto di vista operativo che delle pubbliche relazioni. Gli studenti hanno dovuto far fronte all’incertezza riguardo alla gestione degli esami, gli insegnanti hanno fatto di tutto per mantenere i progressi del corso e gli amministratori hanno dovuto affrontare il duplice onere della gestione della crisi e della comunicazione con le parti interessate in preda al panico. Per molti studenti, l'interruzione è arrivata nel momento peggiore possibile, compromettendo potenzialmente la loro capacità di completare i corsi e ricevere i voti prima della fine del semestre.

Guardando al futuro, è probabile che l'incidente abbia implicazioni durature sul modo in cui gli istituti scolastici valutano e selezionano i sistemi di gestione dell'apprendimento. Le scuole potrebbero richiedere sempre più pratiche di sicurezza più trasparenti, controlli di sicurezza obbligatori, assicurazioni sulla responsabilità informatica e accordi sul livello di servizio con sanzioni significative per le interruzioni. L'incidente di sicurezza informatica serve da monito sui rischi derivanti dalla concentrazione di infrastrutture educative critiche presso un unico fornitore e sull'importanza di una pianificazione completa della risposta agli incidenti nel settore dell'istruzione.