Perangkat lunak yang digunakan banyak distrik sekolah untuk melacak kemajuan siswa dapat merekam informasi yang sangat rahasia tentang anak-anak: “Kecacatan intelektual.” “Gangguan emosi.” “Tunawisma.” “Mengganggu.” “Tantangan.” “Pelaku.” “Obrolan Berlebihan.” “Harus menghadiri les.”
Sekarang sistem ini berada di bawah pengawasan ketat setelah serangan cyber baru-baru ini terhadap Illuminate Schooling, penyedia terkemuka perangkat lunak pelacakan siswa, yang memengaruhi informasi pribadi lebih dari satu juta siswa saat ini dan mantan siswa di puluhan distrik — termasuk di New York Metropolis dan Los Angeles, sistem sekolah umum terbesar di negara itu.
Para pejabat mengatakan di beberapa distrik information termasuk nama, tanggal lahir, ras atau etnis dan nilai ujian siswa. Setidaknya satu distrik mengatakan information tersebut mencakup informasi yang lebih intim seperti tingkat keterlambatan siswa, standing migran, insiden perilaku, dan deskripsi disabilitas.
Pemaparan informasi pribadi semacam itu dapat memiliki konsekuensi jangka panjang.
“Jika Anda seorang siswa yang buruk dan memiliki masalah disiplin dan informasi itu sekarang ada di luar sana, bagaimana Anda pulih dari itu?” kata Joe Inexperienced, seorang profesional keamanan siber dan orang tua dari seorang siswa sekolah menengah di Erie, Colorado, yang sekolah menengah putranya terkena peretasan. “Ini masa depanmu. Ini masuk ke perguruan tinggi, mendapatkan pekerjaan. Itu segalanya.”
Selama dekade terakhir, perusahaan teknologi dan reformis pendidikan telah mendorong sekolah untuk mengadopsi sistem perangkat lunak yang dapat membuat katalog dan mengkategorikan ledakan kelas siswa, ketidakhadiran, dan tantangan belajar. Maksud dari alat-alat tersebut adalah maksud yang baik: untuk membantu pendidik mengidentifikasi dan melakukan intervensi dengan siswa yang berisiko. Namun, karena sistem pelacakan siswa ini telah menyebar, demikian juga serangan siber terhadap vendor perangkat lunak sekolah — termasuk peretasan baru-baru ini yang memengaruhi Chicago Public Faculties, distrik terbesar ketiga di negara itu.
Sekarang beberapa pakar keamanan siber dan privasi mengatakan bahwa serangan siber terhadap Illuminate Schooling merupakan peringatan bagi industri dan regulator pemerintah. Meskipun itu bukan peretasan terbesar di perusahaan teknologi pendidikan, para ahli ini mengatakan bahwa mereka terganggu oleh sifat dan ruang lingkup pelanggaran information — yang, dalam beberapa kasus, melibatkan element pribadi yang rumit tentang siswa atau information siswa sejak lebih dari satu dekade. . Pada saat beberapa perusahaan teknologi pendidikan telah mengumpulkan informasi sensitif tentang jutaan anak sekolah, kata mereka, perlindungan untuk information siswa tampaknya sama sekali tidak memadai.
“Benar-benar telah terjadi kegagalan yang luar biasa,” kata Hector Balderas, jaksa agung New Mexico, yang kantornya telah menggugat perusahaan teknologi karena melanggar privasi anak-anak dan siswa.
Dalam wawancara baru-baru ini, Balderas mengatakan bahwa Kongres telah gagal memberlakukan perlindungan information yang fashionable dan bermakna bagi siswa, sementara regulator gagal meminta pertanggungjawaban perusahaan teknologi pendidikan karena melanggar privasi dan keamanan information siswa.
“Benar-benar ada kesenjangan penegakan dan akuntabilitas,” kata Balderas.
Dalam sebuah pernyataan, Illuminate mengatakan bahwa mereka “tidak memiliki bukti bahwa informasi apa pun menjadi sasaran penyalahgunaan yang sebenarnya atau percobaan” dan bahwa mereka telah “menerapkan peningkatan keamanan untuk mencegah” serangan siber lebih lanjut.
Hampir satu dekade yang lalu, pakar privasi dan keamanan mulai memperingatkan bahwa penyebaran alat penggalian information yang canggih di sekolah dengan cepat melampaui perlindungan terhadap informasi pribadi siswa. Anggota parlemen bergegas untuk menanggapi.
Sejak 2014, California, Colorado, dan lusinan negara bagian lainnya telah meloloskan undang-undang privasi dan keamanan information siswa. Pada tahun 2014, lusinan penyedia teknologi pendidikan Ok-12 menandatangani Ikrar Privasi Siswa nasional, berjanji untuk mempertahankan “program keamanan yang komprehensif.”
Pendukung janji tersebut mengatakan Komisi Perdagangan Federal, yang mengawasi praktik privasi yang menipu, akan dapat menahan perusahaan pada komitmen mereka. Presiden Obama mendukung janji tersebut, memuji perusahaan yang berpartisipasi dalam pidato privasi utama di FTC pada tahun 2015.
FTC memiliki sejarah panjang dalam mendenda perusahaan karena melanggar privasi anak-anak di layanan konsumen seperti YouTube dan TikTok. Meskipun banyak laporan tentang perusahaan teknologi pendidikan dengan praktik privasi dan keamanan yang bermasalah, bagaimanapun, agensi tersebut belum menegakkan janji privasi siswa industri.
Pada bulan Mei, FTC mengumumkan bahwa regulator bermaksud untuk menindak perusahaan teknologi pendidikan yang melanggar undang-undang federal – Undang-Undang Perlindungan Privasi On-line Anak-anak – yang mengharuskan layanan on-line yang ditujukan untuk anak-anak di bawah 13 tahun untuk melindungi information pribadi mereka. Badan tersebut sedang mengejar sejumlah investigasi nonpublik ke perusahaan teknologi pendidikan, kata Juliana Gruenwald Henderson, juru bicara FTC.
Berbasis di Irvine, California, Illuminate Schooling adalah salah satu vendor perangkat lunak pelacakan siswa terkemuka di negara ini.
Situs perusahaan mengatakan layanannya menjangkau lebih dari 17 juta siswa di 5.200 distrik sekolah. Produk populer termasuk sistem absensi dan buku nilai on-line serta platform sekolah, yang disebut eduCLIMBER, yang memungkinkan pendidik untuk merekam “perilaku sosial-emosional” siswa dan kode warna anak-anak sebagai hijau (“on monitor”) atau merah (“tidak di jalur”).
Illuminate telah mempromosikan keamanan sibernya. Pada tahun 2016, perusahaan mengumumkan bahwa mereka telah menandatangani janji industri untuk menunjukkan “dukungan untuk menjaga” information siswa.
Kekhawatiran tentang serangan siber muncul pada bulan Januari setelah beberapa guru di sekolah-sekolah New York Metropolis menemukan bahwa sistem kehadiran dan buku nilai on-line mereka telah berhenti berfungsi. Illuminate mengatakan untuk sementara membuat sistem itu offline setelah mengetahui “aktivitas mencurigakan” di bagian jaringannya.
Pada 25 Maret, Illuminate memberi tahu distrik tersebut bahwa database perusahaan tertentu telah diakses tanpa izin, kata Nathaniel Styer, sekretaris pers untuk Sekolah Umum Kota New York. Insiden itu, katanya, mempengaruhi sekitar 800.000 siswa dan mantan siswa di sekitar 700 sekolah lokal.
Untuk siswa New York Metropolis yang terkena dampak, information termasuk nama depan dan belakang, nama sekolah dan nomor ID siswa serta setidaknya dua dari yang berikut: tanggal lahir, jenis kelamin, ras atau etnis, bahasa rumah dan informasi kelas seperti nama guru. Dalam beberapa kasus, standing disabilitas siswa — yaitu, apakah mereka menerima layanan pendidikan khusus atau tidak — juga terpengaruh.
Pejabat Kota New York mengatakan mereka marah. Pada tahun 2020, Illuminate menandatangani perjanjian information yang ketat dengan distrik yang mewajibkan perusahaan untuk melindungi information siswa dan segera memberi tahu pejabat distrik jika terjadi pelanggaran information.
Pejabat kota telah meminta kantor jaksa agung New York dan FBI untuk menyelidikinya. Pada bulan Mei, departemen pendidikan Kota New York, yang melakukan penyelidikannya sendiri, menginstruksikan sekolah-sekolah lokal untuk berhenti menggunakan produk Illuminate.
“Siswa kami layak mendapatkan pasangan yang fokus pada keamanan yang memadai, tetapi informasi mereka dibiarkan dalam risiko,” kata Walikota Eric Adams dalam sebuah pernyataan kepada The New York Instances. Mr Adams menambahkan bahwa pemerintahannya bekerja dengan regulator “karena kami mendorong untuk meminta pertanggungjawaban perusahaan sepenuhnya karena tidak memberikan siswa kami keamanan yang dijanjikan.”
Peretasan Illuminate memengaruhi 174.000 siswa tambahan di 22 distrik sekolah di seluruh negara bagian, menurut Departemen Pendidikan Negara Bagian New York, yang sedang melakukan penyelidikannya sendiri.
Selama empat bulan terakhir, Illuminate juga telah memberi tahu lebih dari selusin distrik lain — di Connecticut, California, Colorado, Oklahoma, dan Negara Bagian Washington — tentang serangan siber.
Illuminate menolak untuk mengatakan berapa banyak distrik sekolah dan siswa yang terpengaruh. Dalam sebuah pernyataan, perusahaan mengatakan telah bekerja dengan pakar luar untuk menyelidiki insiden keamanan dan telah menyimpulkan bahwa informasi siswa “berpotensi tunduk pada akses yang tidak sah” antara 28 Desember 2021, dan 8 Januari 2022. Pada saat itu, pernyataan itu mengatakan, Illuminate memiliki lima karyawan penuh waktu yang didedikasikan untuk operasi keamanan.
Illuminate menyimpan information siswa di sistem penyimpanan on-line Amazon Net Companies. Pakar keamanan siber mengatakan banyak perusahaan secara tidak sengaja membuat keranjang penyimpanan AWS mereka mudah ditemukan oleh peretas — dengan menamai foundation information dengan platform atau produk perusahaan.
Setelah peretasan, Illuminate mengatakan telah mempekerjakan enam karyawan keamanan dan kepatuhan penuh waktu tambahan, termasuk seorang kepala petugas keamanan informasi.
Setelah serangan siber, perusahaan juga melakukan banyak peningkatan keamanan, menurut surat yang dikirim Illuminate ke distrik sekolah di Colorado. Di antara perubahan lain, kata surat itu, Illuminate melembagakan pemantauan pihak ketiga yang berkelanjutan pada semua AW.S. akun dan sekarang menerapkan keamanan login yang ditingkatkan untuk file AWS-nya.
Namun selama wawancara dengan seorang reporter, Greg Pollock, wakil presiden untuk penelitian siber di UpGuard, sebuah perusahaan manajemen risiko keamanan siber, menemukan salah satu ember AWS Illuminate dengan nama yang mudah ditebak. Reporter kemudian menemukan ember AWS kedua yang dinamai berdasarkan platform Illuminate yang populer untuk sekolah.
Illuminate mengatakan tidak dapat memberikan rincian tentang praktik keamanannya “untuk alasan keamanan.”
Setelah serentetan serangan siber di perusahaan teknologi pendidikan dan sekolah umum, pejabat pendidikan mengatakan sudah waktunya bagi Washington untuk campur tangan untuk melindungi siswa.
“Perubahan di tingkat federal terlambat dan dapat berdampak langsung dan nasional,” kata Styer, juru bicara sekolah Kota New York. Kongres, misalnya, dapat mengubah aturan privasi pendidikan federal untuk memberlakukan persyaratan keamanan information pada vendor sekolah, katanya. Itu akan memungkinkan agen federal untuk memungut denda pada perusahaan yang gagal mematuhinya.
Satu lembaga telah menindak – tetapi tidak atas nama siswa.
Tahun lalu, Securities and Trade Fee menuduh Pearson, penyedia utama perangkat lunak penilaian untuk sekolah, dengan menyesatkan investor tentang serangan cyber di mana tanggal lahir dan alamat e mail jutaan siswa dicuri. Pearson setuju untuk membayar $ 1 juta untuk menyelesaikan biaya.
Mr Balderas, jaksa agung, mengatakan dia marah bahwa regulator keuangan telah bertindak untuk melindungi investor dalam kasus Pearson – bahkan ketika regulator privasi gagal untuk melangkah untuk anak sekolah yang menjadi korban kejahatan dunia maya.
“Kekhawatiran saya adalah akan ada aktor jahat yang akan mengeksploitasi lingkungan sekolah umum, terutama ketika mereka berpikir bahwa protokol teknologi tidak terlalu kuat,” kata Balderas. “Dan saya tidak tahu mengapa Kongres belum ketakutan.”
Untuk semua Berita Teknologi terbaru Klik Disini
Untuk berita dan pembaruan terbaru, ikuti kami di Google Berita.
Baca artikel aslinya disini
