Una avalancha de correos electrónicos relacionados con la escuela llega a las bandejas de entrada de los padres casi todas las semanas, desde folletos de almuerzos con pizza hasta notificaciones de viajes escolares, pero una temida actualización se está volviendo muy común: el aviso de un ciberataque.
Los estudiantes de una junta directiva de Ontario regresaron de las vacaciones de invierno el lunes pasado a las aulas con Sin Internet y comunicaciones interrumpidas gracias a un incidente cibernético. Días después, varias divisiones escolares en todo Canadá… incluyendo el más grande del país — informó a las familias sobre una importante filtración de datos relacionada con PowerSchool, un proveedor externo ampliamente utilizado que gestiona funciones como la información personal de los estudiantes y la comunicación con los padres.
“Es básicamente una ventanilla única para cualquier cosa que tenga que ver con ese estudiante”, dijo Ron Eberts, superintendente asociado de tecnología y servicios de información en las Escuelas Públicas de Red Deer. una de las divisiones escolares de Alberta afectadas.
“No es sólo un problema de Terranova y Labrador. Es un problema muy extendido”. Krista Lynn Howell, ministra de Educación de la Liga Nacional, dijo el miércoles ya que su provincia también fue afectada. “Esta plataforma se ha proporcionado a numerosas escuelas en toda América del Norte”.
Los ciberataques pueden causar daños graves: se podrían descarrilar las operaciones diarias en cada escuela al desactivar las redes integradas de toda la junta directiva; otro puede poner en peligro la gran cantidad de información que las escuelas recopilan de los estudiantes, las familias y el personal. Según los expertos, se necesita más atención y acción para fortalecer las defensas de los consejos escolares.
Un objetivo atractivo
Los ciberataques están aumentando y han aumentado en alcance, frecuencia y sofisticación, dice la comisionada de privacidad de Ontario, Patricia Kosseim. Al igual que otras instituciones públicas, las escuelas son objetivos atractivos.
“Tienen grandes cantidades de información personal. Proporcionan servicios que deben continuar… No tienen la opción de simplemente cerrar el negocio durante unas semanas”, dijo. Estas son “instituciones vulnerables que [cyberattackers] realmente puede obligarte a pagar un rescate.”
Un ataque a principios de diciembre sobre la División Escolar Pembina Trails de Manitoba subraya cuánto dependen las operaciones escolares diarias de redes y aplicaciones conectadas a Internet.
“Apagó básicamente todo lo que usamos: computadoras, sistemas de megafonía, asistencia [tracked] en línea. No había Internet… Cualquier cosa que usáramos en una escuela normal en la era moderna fue prácticamente eliminada”, dijo Sabastian Kelly, estudiante de grado 10, que vio Los compañeros se vuelven inquietos y frustrados. a medida que la interrupción se extendía hasta las vacaciones de invierno.
Aproximadamente un mes después, la situación ha mejorado, pero aún no es del todo normal, señaló el adolescente: “Honestamente, me gustaría ver más precauciones para este tipo de cosas… Como si un sistema fallado no debería destruirlo todo. en la división.”
Al fin y al cabo, los ciberatacantes buscan dinero, afirma Ivo Wiens, director tecnológico de ciberseguridad de la empresa de servicios de tecnología de Internet CDW Canada, por lo que eso podría significar obligar a una junta escolar (o a una empresa de tecnología educativa) a pagar un rescate para obtener restaurar sus sistemas o eliminar la información escolar comprometida. Alternativamente, podrían simplemente utilizar los datos para cometer fraude.
Wiens describe el nombre, la dirección y el número de teléfono de un estudiante como “una nueva identidad” que, junto con un número de seguro social falso, puede usarse para solicitar cosas como préstamos o tarjetas de crédito. Imagínese abrir un aviso de pago vencido enviado por correo para un préstamo o una tarjeta a nombre de su hijo.
“Es un juego muy calculado por parte de estos atacantes y saben que, en términos relativos, hay dinero que robar”, dijo.
El seguimiento oficial de los incidentes cibernéticos en las escuelas canadienses es confuso. Solo cinco jurisdicciones tienen un requisito obligatorio para que las escuelas públicas K-12 informen incidentes cibernéticos que resulten en violaciones de la privacidad, según las comisiones de privacidad de cada provincia y territorio contactadas por CBC News (todas respondieron excepto New Brunswick).
De los cinco con declaración obligatoria:
- ANTES DE CRISTO: Desde 2020, 101 notificaciones generales de violaciones de privacidad de los distritos. Diecinueve infracciones cibernéticas específicas desde febrero de 2023, cuando se introdujo la notificación por tipo.
- Manitoba: Cuatro informes voluntarios de 2020 a 2022, cuando la presentación de informes pasó a ser obligatoria. Luego, cero en los ejercicios fiscales 2022-2023 y 2023-2024.
- Quebec: Se negó a compartir el número de incidentes.
- Territorios del Noroeste: No mantiene registros de incidentes de ciberseguridad específicamente.
- Terranova y Labrador: Cero reportado por las escuelas K-12 en los últimos cinco años, antes de esta semana.
Algunas oficinas de privacidad están rastreando los ciberataques voluntariamente reportados por las escuelas (24 en Ontario desde 2021; tres en Nueva Escocia desde 2020). Mientras tanto, Alberta contabiliza las violaciones generales de la privacidad (que surgen de incidentes cibernéticos u otras razones), con 184 reportadas por distritos escolares públicos entre 2020 y 2024.
“Me gusta decir que la ciberseguridad es un deporte de equipo”, dijo Rosseim, y la presentación obligatoria de informes permitiría a un regulador provincial de privacidad apoyar mejor a las instituciones afectadas por los ataques.
Protección al ser proactivo
Las escuelas también pueden sufrir por la falta de inversión en TI y ciberseguridad en comparación con otros sectores, como las finanzas o los seguros, afirma Wiens.
Como mínimo, las juntas escolares deberían contar con un plan de respuesta a incidentes para los ciberataques, pero dada su prevalencia, Kosseim también quiere ver otras medidas proactivas para mitigar los riesgos.
Sus sugerencias incluyen limitar la recopilación de datos de los estudiantes solo a lo que es absolutamente necesario, los equipos de TI ejecutan sus planes de respuesta para la práctica y las juntas directivas colaboran con mayor frecuencia para compartir recursos y mejores prácticas entre sí.
Kosseim también aboga por una legislación de privacidad actualizada en los diferentes niveles de gobierno para eliminar las brechas en la protección de los datos escolares de los estudiantes.
Mientras tanto, si bien los ataques cibernéticos no se pueden prevenir por completo, Kosseim cree que hay mucho que las juntas pueden hacer de manera proactiva, “porque es lo correcto, no sólo porque la ley dice que es necesario hacerlo”.
Ella alienta a las juntas directivas a revisar rigurosamente las protecciones de privacidad de las aplicaciones que usan los estudiantes y el personal, y a trabajar en equipo con pares y ministerios de educación para exigir colectivamente estándares más estrictos a proveedores externos.
Esto es precisamente aplicable a la violación de PowerSchool de esta semana, que comprometió incluso a aquellos que han elevado sus defensas, como Red Deer Public. Eberts, superintendente de tecnología de la división, señaló que ya habían realizado mejoras, como organizar sesiones mensuales de capacitación en concientización sobre ciberseguridad con el personal y mantener a los invitados en redes separadas.
Sin embargo, la infracción de esta semana se produjo a través de una cuenta de mantenimiento de PowerSchool utilizada para soporte técnico, explicó después de una sesión informativa para los clientes.
“Hemos aprendido la lección”, dijo Eberts. “Ahora también estamos en el proceso de aumentar nuestros requisitos de seguridad para nuestros proveedores”.
Cuando ocurren ataques, las familias necesitan una comunicación más honesta y actualizada, dice Jack Ammendolia, padre de Toronto. Siguiente un incidente en la junta de su hijo El año pasado, buscó una aclaración, solo para recibir respuestas formales y lo que llamó intercambios frustrantes con un administrador y un superintendente de la escuela.
“Si de una vez no es gran cosa y somos bastante [sure] “No ha salido información seria, entonces ¿por qué estás recorriendo la web oscura?”, señaló esta semana, refiriéndose a los mensajes a veces contradictorios de la junta escolar. Su entrevista con CBC fue interrumpida por un correo electrónico sobre el nuevo incidente de PowerSchool.
“Se producirán ciberataques”, afirmó.
“Simplemente sea muy claro y transparente sobre lo que ha sucedido exactamente para que seamos plenamente conscientes, y tal vez eso nos permita ser más proactivos como padres”.