Protecția datelor elevilor din SUA a reintrat în prim-plan după decizia Federal Trade Commission legată de Illuminate Education, o firmă care furnizează servicii cloud pentru școli K-12. Cazul se referă la un incident din 2021 care a scos la iveală date personale ale milioane de elevi și readuce în discuție probleme vechi ale tehnologiei educaționale: responsabilitatea furnizorilor, pericolele soluțiilor cloud și necesitatea unor reguli clare atunci când informații sensibile sunt centralizate la terți.
Illuminate Education pune la dispoziție un set de instrumente folosite de districturi pentru colectarea, organizarea, analiza și raportarea datelor despre elevi: performanțe, evaluări, prezență, orare, precum și date demografice și comportamentale. În decembrie 2021, un atacator a folosit credențiale ale unui fost angajat, plecat din companie cu peste trei ani înainte, pentru a accesa bazele de date găzduite la un provider cloud terț și a exfiltra informații despre circa 10, 1 milioane de elevi. Datele accesate includ adrese de email, adrese fizice, date de naștere, fișe școlare și informații medicale.
Ancheta FTC a identificat deficiențe grave în programul de securitate al companiei: controale de acces inadecvate, capacități slabe de detectare și reacție la incidente, practici deficitare de monitorizare a vulnerabilităților și aplicare a patch-urilor, precum și stocarea datelor în text clar. Problema nu a fost doar atacul în sine, ci și faptul că Illuminate primise avertismente de la un furnizor terț privind vulnerabilități pe rețelele sale, nu le-a remediat și a continuat să păstreze datele în clar până în ianuarie 2022. În plus, în contracte compania susținea că practicile sale corespund sau depășesc bunele practici din industrie și făcea referire la criptare ca măsură de protecție, afirmații pe care FTC le consideră înșelătoare.
Statele California, Connecticut și New York au încheiat recent o înțelegere cu Illuminate evaluată la 5, 1 milioane de dolari, iar propunerea FTC impune companiei să șteargă datele studenților care nu sunt necesare, să adopte un program public de retenție a datelor, să-și consolideze apărarea cibernetică și să înceteze prezentarea eronată a măsurilor de protecție a datelor. De asemenea, companiilor li se va cere să informeze agenția atunci când raportează incidente de securitate altor autorități. Ordinul urmează a fi finalizat și va fi supus consultării publice timp de 30 de zile; nerespectarea lui poate atrage amenzi civile de până la 51.744 de dolari pentru fiecare caz.
Analiza acestui dosar ridică două întrebări practice: cine răspunde efectiv când un furnizor terț greșește și cum pot școlile aplica principiul minimizării datelor fără a pierde funcționalitățile esențiale pentru educație. Cazuri precum cel al Illuminate scot în evidență importanța notificării prompte a celor afectați și a verificărilor independente periodice, idei regăsite în reglementări precum FERPA în SUA și în bune practici internaționale privind protecția datelor.
Cifra de 10, 1 milioane de elevi arată clar amploarea problemei. Măsurile cerute de FTC, suma de 5, 1 milioane stabilită cu statele și posibilitatea unor amenzi de 51.744 de dolari pentru fiecare încălcare indică faptul că autoritățile vor mai multă transparență și responsabilitate din partea furnizorilor de tehnologii educaționale. Politici clare de retenție a datelor, criptare efectivă, control riguros al accesului și notificări rapide pot diminua riscurile; exemple concrete din acest caz includ păstrarea datelor în text clar până în ianuarie 2022 și utilizarea credențialelor unui fost angajat pentru acces. Ce măsuri crezi că ar trebui să ia școlile sau autoritățile pentru a preveni astfel de situații pe viitor?
Fii primul care comentează