Кібератака Canvas призупиняє іспити по всій країні

У четвер у навчальних закладах Сполучених Штатів сталася масова хвиля, коли на Canvas, одну з найбільш широко використовуваних онлайн-навчальних платформ країни, сталася значна кібератака саме в той момент, коли студенти готувалися до випускних іспитів і складали їх. Час атаки створив значні проблеми як для викладачів, так і для студентів, які значною мірою покладаються на платформу для навчальних матеріалів, подання завдань і адміністрування іспитів у критичний період наприкінці семестру.

Освітні заклади від узбережжя до узбережжя негайно почали повідомляти про проблеми з доступом і збої в роботі. Збій у роботі Canvas змусив адміністраторів швидко розробити плани на випадок непередбачених ситуацій, перенести іспити та повідомити студентам, які перебувають у стані стресу, альтернативні рішення. Багатьом школам довелося перейти до тимчасових механізмів, включаючи паперове тестування, відкладені дати іспитів або тимчасовий перехід на конкуруючі платформи. Несподіваний простой підкреслив значну залежність сучасних навчальних закладів від хмарних систем керування навчанням і вразливість, притаманну покладанню на рішення одного постачальника для критичних академічних функцій.

Instructure, компанія, яка володіє та керує Canvas, швидко відреагувала на кризу, повністю припинивши роботу платформи як запобіжний захід у четвер. У офіційній заяві, опублікованій у п’ятницю вранці, офіційні особи компанії підтвердили, що платформу Canvas було відновлено та вона знову працює. Рішення про тимчасове припинення служби, хоч і викликало зрив, було прийнято після того, як компанія виявила несанкціоновану діяльність у своїй мережевій інфраструктурі та визначила, що для стримування загрози необхідні негайні дії.

Згідно з детальним оприлюдненням Instructure, до несанкціонованого доступу та подальшого витоку даних був залучений той самий загрозливий суб’єкт, відповідальний за окремий інцидент безпеки, про який компанія оприлюднила лише тиждень тому. Це відкриття свідчить про скоординовану або постійну кампанію, націлену на постачальника освітніх технологій. Розслідування компанії показало, що зловмисники успішно отримали доступ до конфіденційної особистої інформації користувачів на їхній платформі, включаючи імена користувачів, адреси електронної пошти та ідентифікаційні номери студентів.

Крім основної ідентифікаційної інформації, зловмисники також отримали доступ до особистих повідомлень і повідомлень, якими користувачі обмінювалися через платформу Canvas, що викликало серйозні проблеми з конфіденційністю. Ці повідомлення потенційно містили делікатні академічні дискусії, спілкування між студентами та викладачами та інший конфіденційний навчальний вміст. Проте в Instructure заявили, що їх криміналістичний аналіз не виявив доказів того, що зловмисники під час злому отримали паролі, дати народження, державні ідентифікаційні номери чи інформацію про фінансові рахунки.

Масштаби інциденту виявилися величезними. Група програм-вимагачів, відома як ShinyHunters, взяла на себе відповідальність за злом через допис у темній мережі, похвалившись, що викрадені дані охоплюють інформацію приблизно від 275 мільйонів осіб. Зловмисники стверджували, що цей величезний набір даних надійшов із майже 8800 різних шкіл і навчальних закладів, які використовують Canvas для потреб управління навчанням.

Масштаб інциденту став одним із найбільших порушень у сфері освіти за останні роки. Потенційно постраждали 8800 шкіл, а злом торкнувся мільйонів учнів, вчителів, адміністраторів та іншого персоналу шкіл у Сполучених Штатах. Сектор освітніх технологій стає все більш привабливою мішенню для кіберзлочинців, оскільки ці платформи містять велику кількість особистої інформації про неповнолітніх і часто недостатньо захищені порівняно з іншими галузями.

Інцидент викликав негайне розслідування як командами внутрішньої безпеки Instructure, так і зовнішніми фірмами з кібербезпеки, залученими для оцінки збитків і визначення того, як зловмисники отримали несанкціонований доступ. Виникали питання про те, чи були заходи безпеки платформи адекватними, як суб’єкти загрози обходили існуючий захист і які конкретні вразливості були використані. Навчальні заклади почали вимагати детальну інформацію про опромінення своїх учнів і про те, які захисні заходи вони можуть застосувати.

Батьки та захисники студентів висловлювали занепокоєння щодо розголошення особистої інформації їхніх дітей, тоді як захисники конфіденційності закликали до суворіших правил, які регулюють те, як компанії освітніх технологій обробляють та захищають конфіденційні дані студентів. Багато закладів опинились перед потенційною юридичною відповідальністю та зіткнулися з важким завданням повідомити постраждалих батьків і учнів про порушення.

Збій у роботі Canvas під час фінального тижня підкреслив критичну важливість надійних заходів кібербезпеки в освітньому секторі, де системи мають важливе значення для навчання, оцінювання та інституційної діяльності. Школи, які інвестували в надлишкові системи або мали резервні системи керування навчанням, змогли мінімізувати збої, тоді як ті, що залежали виключно від Canvas, зіткнулися зі значними операційними проблемами. Інцидент викликав широкі дискусії в навчальних закладах щодо планування аварійного відновлення та потреби в різноманітних технологічних рішеннях.

Відповідь Instructure включала не лише відновлення платформи, але й комплексну комунікацію з постраждалими установами. Компанія надала вказівки щодо того, до якої інформації був доступ, рекомендації користувачам щодо зміни паролів та інформацію про послуги моніторингу, які пропонуються тим, чиї дані були скомпрометовані. Незважаючи на швидку реакцію, інцидент підірвав довіру до практики безпеки компанії та підняв питання про те, чи слід було впроваджувати додаткові захисні заходи раніше.

Час нападу під час фінального тижня зробив інцидент особливо руйнівним як з оперативної точки зору, так і з точки зору зв’язків з громадськістю. Студенти зіткнулися з невизначеністю щодо проведення іспитів, викладачі намагалися підтримувати прогрес курсу, а адміністратори мали справу з подвійним тягарем управління кризою та спілкуванням із зацікавленими сторонами в паніці. Для багатьох студентів зрив стався в найгірший можливий момент, потенційно вплинувши на їхню здатність виконувати курсову роботу та отримувати оцінки до закінчення семестру.

Заглядаючи вперед, інцидент, імовірно, матиме тривалі наслідки для того, як навчальні заклади оцінюють і вибирають системи управління навчанням. Школи можуть дедалі частіше вимагати більш прозорих методів безпеки, обов’язкових перевірок безпеки, страхування відповідальності за кібернетифікацію та угод про рівень обслуговування зі значними штрафами за збої. Інцидент із кібербезпекою є попередженням про ризики концентрації критичної освітньої інфраструктури в одного постачальника та важливість комплексного планування реагування на інциденти в освітньому секторі.