Önemli bir konu; henüz ülkemizdeki okullardan bu tür bilgiler duymadık ama Amerika’daki haberi duyurarak, okulların bu konudaki önlemlerini sıkıştırmalarını istiyoruz. Bu haberi yapma amacımız bu.
Siber güvenlik şirketi Emsisoft’ta fidye yazılımı analisti olan Brett Callow tarafından NBC News’e ulaştırılan bir rapora göre, 2021’de fidye yazılımı çeteleri 1.200’den fazla Amerikan K-12 okulundan verileri derin web’de[1] yayınladı.
Sızıntılarla ilgili temasa geçilen bazı okulların veri sızıntısından habersiz olduğu ortaya çıktı. Üstelik ebeveynlerin de habersiz olduğu, okullara gelen çok az başvuru nedeniyle anlaşılmış. yani tehlike büyük.
Bazı veriler, tıbbi durumlar veya aile mali durumları gibi kişisel veri. Sosyal Güvenlik numaraları veya doğum günleri gibi diğer veriler, gerçek veriler ve çocuğun ömür boyu potansiyel kimlik hırsızlığı riski altında olduğu anlamına geliyor.
Okulların siber tehditlere karşı korunmasına yardımcı olmaya adamış, kar amacı gütmeyen bir kuruluş olan “K12 Security Information Exchange”in direktörü Doug Levin, devlet okulu sistemlerinin, öğrencilerin verilerini korumak konusunda özel sektör okullarına nazaran daha az donanımlı olduğunu söylüyor.
“Bence şu anda verilerin güvenliğinin nasıl sağlanacağına yeterince dikkat etmedikleri oldukça açık ve verilerin sızdığı ortaya çıktığında ne yapılacağı da bilinmiyor. İnsanların bu duruma maruz kalmasının ne kadar tehlikeli olduğu konusunda da fikirleri olduğunu düşünmüyorum.”
Uzmanlar, on yıldan fazla süredir okulların, insanların verilerini toplayıp genellikle kimlik hırsızlarına sattıkları bilgisayar korsanları için düzenli bir hedef olduğunu söylüyor. Ancak okulların, bilgisayar korsanları öğrencilerinin bilgilerini çaldıktan sonra ne yaptıkları konusunda ortaya çıkan bilgi ya da yasal bir işlem bilinmiyor.
Fidye yazılımlarındaki son artış, sorunu tırmandırdı. Bilgisayar korsanları, ödeme yapmazlarsa kurbanların dosyalarını genellikle web sitelerinde yayınlıyor. Ortalama bir kişi bu tür siteleri nerede bulacağını bilemese de, bu tür bilgileri satın alacak olan suçlular onları kolayca bulabiliyor.
Aralık ayında, bilgisayar korsanları Teksas güney sınırına yakın Weslaco Bağımsız Okul Bölgesi’ne girdiğinde, personel 48.000’den fazla ebeveyni ve veliyi ihlal konusunda uyarmak için hızla harekete geçti. FBI’ın bilgisayar korsanlarına ödeme yapmama tavsiyesine uydular ve sistemlerini böyle bir acil durum için tuttukları yedeklerden geri yüklediler.
Ancak Weslaco’nun ödememe kararıyla reddedilen bilgisayar korsanları, çaldıkları dosyaları web sitelerine attı. Bunlardan biri, hala çevrimiçi olarak yayınlanan, yaklaşık 16.000 öğrencinin bir listesini içeren “Temel öğrenci bilgileri” başlıklı bir Excel elektronik tablosuydu. Yani Weslaco’nun geçen yılki 20 okulunun toplam öğrenci sayısıydı. Öğrencileri isimlerine göre listeler ve doğum tarihleri, ırkları, Sosyal Güvenlik numaraları ve cinsiyetlerinin yanı sıra göçmen olup olmadıklarını, evsiz olup olmadıklarını, ekonomik olarak dezavantajlı olarak işaretlenip işaretlenmediklerini ve potansiyel olarak disleksi olarak işaretlenip işaretlenmediklerini gibi bilgiler vardı.
Teknoloji direktörü Carlos Martinez, bölgenin siber sigortasının personel için ücretsiz kredi izleme ücreti ödediğini söyledi. Ancak bilgileri okulları tarafından saklanan ve bilgisayar korsanları tarafından ifşa edilen çocuklara yönelik korumalar biraz daha karanlık kalıyor. Martinez,
“9 ay sonra, Weslaco okul bölgesi, bilgileri ifşa edilen öğrenciler için ne yapılması gerektiğini hala anlamaya çalışıyor, şu anda bunu araştıran avukatlarımız var”
dedi. Sorun, birçok okulun tüm bilgisayarlarında depolanan tüm bilgileri bilmemesi ve bu nedenle bilgisayar korsanlarının ne kadarını çaldığını fark edememeleri gerçeğiyle daha da kötüleşiyor.
Levin, okulların ve okul bölgelerinin çocuklar hakkında çok fazla veri depolama eğiliminde olduğunu ve genellikle özel siber güvenlik uzmanları veya hizmetleri için ödeyecek paraları olmadığını söyledi. “
“Okul bölgeleri öğrenciler hakkında çok sayıda hassas veri topluyor. Bazıları öğrencileriyle, bazıları tıbbi geçmişleriyle ilgili. Okulların çocuklarla ilgili ciddi sorumlulukları var. Bu yüzden bununla çok fazla veri topluyorlar.”
ABD’de ebeveynler gitgide, bu sorunları ele almanın kendilerine düştüğünü farkına varıyorlar. Okullar, saldırıya uğrayıp uğramadıklarını veya bu bilgisayar korsanlarının öğrencilerin bilgilerini karanlık ağda yayınlayıp yayınlamadığını bile bilmiyor olabilir. Levin, öğrenci bilgilerine ilişkin federal ve eyalet yasalarının genellikle bir okulun saldırıya uğraması durumunda ne yapılması gerektiği konusunda net bir rehberlik sağlamadığını söyledi.
Bu, suçluların kişisel bilgilerine erişme ve bu bilgileri kendi adlarına kimlik hırsızlığı veya dolandırıcılık yapmak için kullanma olasılığından kendilerini korumak için ebeveynleri ve çocukları çok az şeyle baş başa bırakır. Veri hırsızlığı mağdurlarına yardım eden kar amacı gütmeyen Kimlik Hırsızlığı Kaynak Merkezi başkanı Eva Velasquez, yapabilecekleri en önemli şeyin, henüz reşit değilken kredilerini dondurmak olduğunu söyledi.
Velasquez, “Tüm niyet ve amaçlarla, çoğunlukla tüm verilerimizin tehlikeye atıldığına inanmalıyız. 2005’ten beri veri ihlalleriyle uğraşıyoruz. Bir bildirim almamış olmanız, bunun olmadığı anlamına gelmez.”