به گزارش کارگروه بینالملل سایبربان؛ دو دولت استانی کانادا یافتههای تحقیقاتی خود را منتشر کردند که در آن، سیستمهای مدارسی که اطلاعات دانشآموزان و معلمانشان فاش شده بود، به طور قابل توجهی مقصر نشت گسترده دادههای پاوِراسکول (PowerSchool) شناخته شدند.
گزارشهای کمیسیونرهای اطلاعات و حریم خصوصی انتاریو و آلبرتا، سیستمهای مدارس را به دلیل چندین اقدام اشتباه، از جمله عدم قرار دادن مفاد مربوط به حریم خصوصی و امنیت در قراردادهایشان با شرکت نرمافزار آموزشی و عدم نظارت و سرپرستی مؤثر بر حفاظهای امنیتی پاوراسکول، به ویژه در رابطه با احراز هویت چند عاملی، مقصر میداند.
پاوِراسکول با سوءاستفاده از فقدان الزامات احراز هویت چند عاملی، که پروتکل امنیتی استاندارد محسوب میشوند، به سیستمهای دادههای این شرکت نفوذ کرد.
یک دانشجوی دانشگاه ماساچوست در ماه دسامبر گذشته به سیستمهای پاوِراسکول نفوذ کرد و دادههای متعلق به بیش از ۶۲ میلیون دانشآموز و ۹ میلیون معلم را به دست آورد. تنها در تورنتو، دادههای متعلق به دانشآموزانی که به سال ۱۹۸۵ برمیگشتند، از جمله سوابق آموزش ویژه و انضباطی، فاش شد. گزارشهای تحقیقاتی، نقصهای دیگری را در نحوه برخورد مدارس با پاوِراسکول نشان داد، از جمله اینکه آنها دسترسی از راه دور به سیستمهای اطلاعات دانشآموزان خود توسط پرسنل پشتیبانی پاوِراسکول را فقط تا زمانی که برای رسیدگی به مسائل فنی خاص لازم باشد، محدود نکرده بودند.
در این بیانیه مطبوعاتی آمده است که مدارس همچنین برنامههای واکنش به نقض امنیتی مناسبی را آماده نکرده بودند.
تنظیمکنندگان چندین توصیه ارائه دادند، از جمله اینکه مدارس موارد زیر را انجام دهند:
• بررسی و در صورت لزوم مذاکره مجدد در مورد توافقنامهها با پاوراسکول برای ارائه مفاد قویتر در مورد حریم خصوصی و امنیت
• ایجاد سیستمهایی برای نظارت مؤثرتر بر برنامه امنیتی پاوِراسکول
• محدود کردن دسترسی از راه دور به سیستمهای اطلاعات دانشآموزان
• اجرای برنامههایی برای واکنشهای بهتر به نقض امنیتی در آینده
