Okullar Neden Hack'ler İçin Kolay Hedef? Eğitim Sektöründe Siber Güvenlik Krizi Siber Güvenlik

Okullar Neden Hack'ler İçin Kolay Hedef? Eğitim Sektöründe Siber Güvenlik Krizi

Okullar, zayıf güvenlik, değerli veriler ve sınırlı IT kaynaklarıyla hack'ler için ideal hedef. Son Canvas ve PeopleSoft saldırıları eğitim sektöründe

Siber suçlular hedeflerini seçerken genellikle iki kritere bakar: zayıf güvenlik ve yüksek değerli veri. K-12 okul sistemleri bu iki özelliği de fazlasıyla taşıyor. Son yıllarda eğitim kurumları ve teknoloji sağlayıcıları, siber saldırıların ana hedefi haline geldi. PowerSchool ve Canvas ihlalleri, okulların tedarik zinciri güvenlik açıklarına ne kadar savunmasız olduğunu gösteriyor. Sınırlı IT personeliyle çalışan okullar, tedarikçi yazılımlarındaki açıkları kapatmakta zorlanıyor. Saldırganlar bu yazılımlara sızdığında, okul ağlarında serbestçe dolaşabiliyor ve çalışan bordro kayıtlarından ebeveynlerin finansal bilgilerine, öğrencilerin sağlık verilerine kadar geniş bir veri yelpazesine erişebiliyor. Los Angeles Unified School District'e yapılan saldırıda, öğrencilerin evsizlik durumu ve engellilik bilgileri çalındı.

Siber saldırılardaki bu artış, federal hükümetin eğitim kurumlarını kaderine terk etmesiyle aynı döneme denk geliyor. ABD Eğitim Bakanlığı, eğitim topluluğu için sektör risk yönetim ajansı (SRMA) olarak görev yapıyor, ancak yıllardır en yetersiz kaynaklara sahip SRMA'lardan biri. Trump yönetiminin bakanlığa yaptığı kapsamlı kesintiler sorunu daha da derinleştirdi. Ayrıca, okullara büyük fayda sağlayan eyalet ve yerel bilgi paylaşım grubunun finansmanı kaldırıldı ve eğitim sektörü için yeni oluşturulan koordinasyon kurulunun çalışmaları askıya alındı.

Son dönemde yaşanan en büyük saldırılardan biri, Instructure'ın Canvas öğrenme yönetim sistemine yapıldı. ShinyHunters tehdit grubu, 275 milyon kullanıcının verilerini çaldığını iddia etti. Saldırganlarla anlaşmaya varıldığı açıklandı, ancak fidye ödenip ödenmediği bilinmiyor. Ardından, aynı grup Oracle PeopleSoft yazılımına yönelik saldırılarla yükseköğretim kurumlarını hedef aldı. Google'a göre bazı kurumlar saldırıları engelleyebilirken, diğerleri veri sızıntısı yaşadı. Bu saldırılar, eğitim sektörünün tedarik zinciri güvenliğindeki zafiyetleri bir kez daha ortaya koyuyor.

2023'teki MOVEit dosya transfer yazılımı saldırısı da benzer bir tablo çizdi. Progress Software'in ürününü kullanan okullar, fidye yazılımı saldırısına uğradı. PowerSchool veri ihlalinde ise öğrencilerin isim, adres, doğum tarihi, akademik kayıtlar ve tıbbi bilgileri çalındı. Bu saldırıda fidyenin ödendiği doğrulandı. Eğitim sektöründe fidye ödeme eğilimi yaygın; çünkü çalınan veriler son derece hassas ve öğrencilerin geleceğini etkileyebilecek nitelikte. Canvas saldırısının final haftasına denk gelmesi, okulların işleyişini daha da aksattı.

Dark Reading'den Arielle Waldman, TechTarget SearchSecurity'den Sharon Shea ve Cybersecurity Dive'dan Eric Geller, bir söyleşide bu sorunları ele aldı. Uzmanlara göre okullar, sınırlı bütçeleri ve IT personeli eksikliği nedeniyle siber güvenlik yatırımlarını ihmal ediyor. Tedarik zinciri saldırıları ise okulların kontrolü dışında gelişiyor; bir yazılım sağlayıcısındaki açık, yüzlerce okulu etkileyebiliyor. Ayrıca, federal desteğin azalması, okulların tehdit istihbaratı paylaşımı ve koordinasyonunu zorlaştırıyor.

Önemli Gelişmeler

Eğitim sektörünün siber güvenlik açıklarını kapatmak için acil adımlar atması gerekiyor. Okullar, tedarikçi güvenlik denetimlerini sıkılaştırmalı, çok faktörlü kimlik doğrulama ve düzenli yedekleme gibi temel önlemleri hayata geçirmeli. Ayrıca, federal hükümetin eğitim sektörüne yönelik siber güvenlik fonlarını artırması ve koordinasyon yapılarını güçlendirmesi şart. Aksi takdirde, öğrenci verilerinin çalınması ve eğitimin aksaması gibi olaylar daha da yaygınlaşacak.

Kaynak: cybersecuritydive.com

Paylaş: