Siber suçlular, hedef seçerken genellikle zayıf güvenliğe sahip, değerli veriler barındıran ve kritik hizmet sunan kurumları tercih eder. K-12 okul sistemleri bu tanıma mükemmel uyuyor. Son yıllarda okullar ve teknoloji tedarikçileri, büyük çaplı siber saldırılara maruz kalıyor. PowerSchool ve Canvas ihlalleri, tedarik zinciri güvenlik açıklarının en çarpıcı örnekleri arasında. Sınırlı IT personeline sahip okullar, bu tedarikçi ilişkilerini yönetmekte zorlanıyor ve siber suçlular, bir kez tedarikçi yazılımına sızdıklarında okul ağlarında serbestçe dolaşabiliyor.
Saldırganlar, okul ağlarında çalışan maaş kayıtlarından velilerin mali bilgilerine, öğrencilerin sağlık verilerine kadar zengin bir veri hazinesi buluyor. Los Angeles Unified School District’e yapılan saldırıda, öğrencilerin evsizlik durumu ve engellilik bilgileri çalındı. Bu tür hassas veriler, okulları fidye yazılımı saldırıları için cazip kılıyor. Son olarak, edtech şirketi Instructure’ın Canvas sistemine yapılan saldırıda, 275 milyon kullanıcının verisi çalındı ve okullar final haftasında büyük bir aksaklık yaşadı.
Siber saldırılardaki artış, federal hükümetin K-12 okullarını ve üniversiteleri kaderine terk etmesiyle aynı döneme denk geliyor. ABD Eğitim Bakanlığı, eğitim topluluğu için Sektör Risk Yönetimi Ajansı (SRMA) olarak görev yapmasına rağmen, yıllardır uyarılara rağmen en yetersiz kaynaklara sahip SRMA’lardan biri oldu. Trump yönetiminin bakanlıkta yaptığı kapsamlı kesintiler sorunu daha da derinleştirdi. Ayrıca, okullara büyük fayda sağlayan bir eyalet ve yerel bilgi paylaşım grubunun finansmanı kesildi ve eğitim sektörü için yeni oluşturulan koordinasyon kurulunun çalışmaları durduruldu.
Sonuç ve Değerlendirme
Uzmanlar, okulların siber güvenliklerini güçlendirmek için tedarik zinciri risk yönetimine öncelik vermesi, çalışanları siber farkındalık konusunda eğitmesi ve federal destek için lobi faaliyetlerini artırması gerektiğini vurguluyor. Ancak, kaynak yetersizliği ve artan tehditler karşısında okulların kendi başlarına mücadele etmesi giderek zorlaşıyor. Eğitim sektörü, siber suçluların gözünde hem zengin veri hem de kritik hizmet sunan bir hedef olmaya devam ediyor.