2019年 K-12网络安全状况回顾

K-12网络安全资源中心K-12网络安全状态：回顾2019年去年学生数据泄露的数量，勒索软件攻击几乎翻了三倍 K-12网络安全状况：2019年回顾页面PAGE2K-12网络安全状况：2019年回顾第一部分：引言对于在学校中使用技术所带来的所有好处，它还带来了新的挑战。这些挑战包括与资金，教师的准备和培训，确定最佳实践以及学生的健康和福祉有关的挑战。尽管通常已经很好地理解了这些问题（如果常常不能充分解决），则出现了一个新的挑战，似乎使许多学区措手不及：行动者都威胁到其数据系统和技术的机密性，可用性和完整性。该地区已知和未知。正如美联社的迈克尔·梅里亚（Michael Melia）所说：“很少或没有专门从事信息安全的员工的学校经常会惊讶地发现自己是目标。” 1这项挑战是K-12网络安全的挑战。2019年期间，英国对学校进行了全国范围的网络安全调查。它的发现虽然不能描述美国的学校经历，但仍具有启发性。超过80％的英国学校报告至少发生过一次网络安全事件（其中10％的学校报告其学校已被事件“严重破坏”）。同时，不到一半的英国学校（49％）感到为网络攻击或事件做好充分的准备。2没有有关美国学校或地区的此类数据。该报告系列-《 K-12网络安全状况：年度回顾》旨在通过对影响美国全美公共初等和中等教育机构的每一次公开披露的网络安全事件的数据进行分类和分析，来帮助弥补这一差距。并已发展成为有关K-12网络安全事件的权威统计资料。该系列旨在激发人们对保护学校（和学校供应商/合作伙伴）IT系统的挑战的更多关注，并提出政策制定者和学区负责人可以有效应对的方法。为什么需要这份报告和研究？•对学校网络安全事件的公开报告要求因州而异，但通常非常薄弱。这种缺乏强制性披露的做法掩盖了学校面临的威胁的严重性和严重性，使决策者和学校领导者得不到宝贵的信息来指导他们的决策，并使学生，家长和教育工作者对他们可能面临的威胁一无所知（无论是过去，现在还是将来）。尽管就公共机构应对网络安全威胁的应对方式应进行透明性辩论尚可，但目前的信息披露和共享状况在任何方面都是贫乏之举[3]。•学校在教学，学习和学校运营中越来越依赖技术。的确，K-12教育技术市场已经成长为非常重要的业务。4这使各地区面临更大的网络安全事件风险，许多地区 K-12网络安全状况：2019年回顾EdTech Strategies，LLC页面PAGE3头脑专家认为，给定学区是否会发生事件不是问题，而是何时发生。此外，鉴于学区的IT系统与其他地方和州政府机构系统（包括公共安全和选举系统）相互连接，因此该问题对于那些通常将教育政策排除在外的人来说是很重要的。•正如本报告系列所记录的那样，学校网络安全事件的频率和严重性正在增加。学区持有的有关学生，家庭和员工的数据很敏感，而学区并不认为自己是富裕的目标（考虑到大多数人都在为他们所照顾的学生提供服务方面资金不足），这是事实他们每年要管理大量开支，以维护设施，向大量学生提供交通，食品服务，公共卫生服务和教育。如果没有对该问题采取协调一致的，全行业的应对措施，那么很难想象事故发生频率和严重性下降的任何情况。一位父母说：“我只能说，如果他们有数据泄露事件并且没有通知我们，那么请相信并相信，除了电话系统发臭之外，他们还将面临更大的麻烦。” 5结合联邦调查局最近关于针对学校的“网络威胁”增长的警告6，本报告是政策制定者和学校领导者迫切需要的警钟，呼吁人们了解迄今为止尚未考虑到的技术在学校中采用技术的风险。 K-12部门。报告的下一部分（第二部分）提供了有关数据的背景信息以及为这项工作提供信息的分析，而第三部分和第四部分分别介绍了网络事件和受影响学区的分析结果。它在第五部分中通过建议从K-12网络安全风险管理日益严峻的挑战中汲取经验教训以及可能的应对方法作为总结。 K-12网络安全状况：2019年回顾页面PAGE4第二部分：K-12网络事件数据K-12网络事件地图是由EdTech Strategies，LLC于2017年发布的，旨在建立有关美国K-12公立学校和地区网络安全状况的经验信息基础.7同时还进行了其他工作以对美国12国学校和地区的网络趋势进行分类。网络安全事件和数据泄露，包括在教育领域，都没有一个角度可以与供应商无关，并且对于美国决策者，学校领导，IT和网络安全从业人员以及公民自由倡导者而言，可以可靠地采取行动。自2016年以来，K-12网络事件地图直观地描绘了涉及美国K-12公立学校机构的每一次公开披露的网络事件。广泛引用的研究，例如Verizon的年度“数据泄露调查报告”和Ponemon研究所的“数据泄露研究成本”，对教育领域进行了广泛的定义：将K-12与高等教育机构，公共和私人机构，美国和全球8专家汇编的其他公共数据泄露事件的公共来源，以不包括报告重大网络安全事件（同时包括完全类似的事件，例如纸张失控的事件）的报告的方式来定义其范围。 9）。尽管为教育利益相关者提供的每项宝贵努力可能都可以从中汲取教训，但K-12网络事件地图的独特重点使其成为有关K状态的权威信息来源。 -12网络安全。K-12网络事件地图和基础数据库捕获有关以下方面的详细信息：•公开披露的网络安全事件，影响到50个州和哥伦比亚特区的公共K-12学校，地区，特许学校和其他公共教育机构（例如区域和州教育机构），尤其是发生在K-12托管网络上的事件和/或设备和/或在学区的指导下，以及 K-12网络安全状况：2019年回顾EdTech Strategies，LLC页面PAGE5•经历过一次或多次公开披露的网络安全事件的公立学区（包括特许学校）的特征。网络事件的定义是那些影响学区IT系统的机密性，可用性和完整性的事件。事件是否影响一个地区内的一所学校或很多学校-还是由于学校供应商或合作伙伴（包括区域或州教育机构）的作为（或不作为）-事件通常分配给学区。这是由于以下事实：学区是负责管理纳税人资金，员工保密性和学生数据隐私的主要实体。这样，当学校供应商或地区/州政府机构发生事件时，它可能会影响一个以上学区，因此在地图上可能会报告为一个以上事件。相关事件在K-12网络事件图基础数据库中进行了编码。通过将事件与学区相关联，K-12网络事件图可以解决有关随着时间的推移影响K-12学校和学区的网络安全事件的性质和趋势以及可能或多或少的学区特征的问题。可能会发生事故。网络事件数据的分类方式与事件记录和事件共享词汇（VERIS）一致，VERIS是一种用于以结构化和可重复的方式描述安全事件的通用语言。10从学区数据中补充选择信息，以补充学区数据。美国教育部的通用数据核心，按照与美国国家教育统计中心的快速反应调查系统所采用的方式一致的方式进行分类。11同样，学区的贫困状况也来自美国人口普查局的小面积收入和贫困估计。 （SAIPE）.12有关K-12网络事件的数据来自各种渠道，包括州和地方政府，执法机构，新闻报道，其他数据泄露报告服务，社交媒体和在线论坛，自我报告以及向K提供的提示-12网络安全资源中心。13尽管某些报告可能含糊不清（通常不完整），但在进行记录之前，会对所有报告进行真实性和相关性筛选。但是，K-12网络安全事件的数据库是不完整的，仅捕获了学校，学区，其合作伙伴和供应商所经历的事件的一小部分。就K-12学区有强制性网络安全事件报告要求的程度而言，各州之间存在差异。要求的披露通常是不公开的，并且/或者仅限于狭窄的网络事件类别（例如，一定程度的数据泄露）。如果学区认为某个事件可能对其IT管理实践造成不良影响，则他们可能会拒绝自我报告。最后，鉴于许多学区对网络安全风险管理的关注不足，学区何时发生事件与何时（或是否）意识到这一事实之间也可能存在相当大的差距。 K-12网络安全状况：2019年回顾页面PAGE6截至2019年12月，有关K-12网络安全事件的摘要数据已通过与OpenStreetMap集成在美国增强型交互式地图上发布。14地图上的事件以“主要”事件类型进行颜色编码：•网络钓鱼攻击导致个人数据泄露（蓝色图钉）；•其他导致个人数据泄露的未经授权的披露，破坏或黑客攻击（紫色图钉）；•勒索软件攻击（黄色引脚）；•拒绝服务攻击（绿色引脚）；和•其他导致学校中断和未经授权披露的网络事件（红色图钉）。假设可以同时发生事件类型（例如，通过网络钓鱼电子邮件进行恶意软件传递，导致数据泄露），则应谨慎解释按主要事件类型进行的报告。 K-12网络安全状况：2019年回顾EdTech Strategies，LLC页面PAGE7第三部分：网络安全事件：2019年在2019日历年中，K-12网络事件地图对348个公开披露的学校事件进行了分类，包括学生和教职员工的数据泄露，勒索软件和其他恶意软件的爆发，网络钓鱼攻击和其他社会工程骗局，拒绝服务攻击以及各种各样的其他事件。这是2018年公开披露的事件数量的近3倍（这是自K-12网络事件地图在2016年首次开始跟踪这些事件以来的最高记录）。这相当于在2019年期间每个学校每天发生近两起事件。事件数量的同比增长可能是由于多种因素造成的，包括学校对技术的依赖程度增加，2019年网络犯罪分子对包括学区在内的地方政府机构的针对性不成比例，重大的学校供应商事件（涉及大量学区），以及公众对网络安全事件的了解和报告（是否影响学校或其他组织）。尽管公开披露的事件有所增加，但在K-12网络事件地图上分类的学校数据却大大减少了所有此类事件的数量。鉴于K-12学校的技术限制和需求与其他类型的组织相比有多么不同–更不用说他们收集和处理的独特敏感数据了–我们对他们可能面临的实际风险和威胁有什么了解？凭借有限的专业知识和资源，网络安全专业人员应如何建议学校做出响应？针对K-12网络事件地图收集的数据具有指导意义。数据泄露和其他未经授权的披露2019年期间报告的与学校相关的网络事件最常发生的类型-占K-12网络事件地图上所有事件的60％-数据泄露，主要涉及未经授权泄露学生数据。这反映了2018年的发现，该发现还发现数据泄露是最常见的学校网络事件类型。这应该引起关注。第一的， K-12网络安全状况：2019年回顾页面PAGE8联邦和州的学生数据隐私立法旨在减少学生数据泄露的频率和严重性，15尽管本报告系列中的证据表明这些政策制度可能无法按预期发挥作用。其次，安全研究人员记录了黑暗的网络市场，该市场上刊登着被盗窃的儿童个人信息，供身份盗用者使用。16的确，学生数据泄露可能会造成严重而持久的后果。值得注意的是，2019年期间大部分（尽管不是全部）学校数据泄露事件还包括有关学校员工的数据，导致身份盗窃和欺诈。因此，采用常识性步骤来保护未经授权的对学校IT系统的访问应该符合管理员和教育工作者的最大利益。虽然学校工作人员可能有义务采取此类措施以符合联邦和州学生数据隐私立法（出于保护学生自理的道德义务），但在全国学区实施网络安全控制仍然相当有所不同（至少由公开提供的学区IT审核报告证明）。172019年期间，超过一半（51％）的学生和教师数据泄露事件是由于学校供应商的作为（或不作为）或（在某些情况下）合作伙伴，包括区域服务机构，非营利组织，协会和州教育部门。另外9％的事件是由于学校工作人员或中学生或高中生自己的行为所致。这意味着大多数公开披露的数据泄露是由学校社区已知的并且已经是学校社区一部分的各方造成的。虽然学区必须警惕远离远方掠夺学校社区的犯罪分子，但他们最好还是集中精力加强内部政策和做法，包括在直接控制下收集，存储和共享学生和员工数据。2019年7月31日，《华尔街日报》的Parmy Olson打破了涉及Pearson及其AimsWeb 1.0学生评估和进度监控平台的大规模数据泄露事件的故事.18据新闻报道，正是联邦调查局发现了该漏洞。事件，并向公司发出警报。培生（Pearson）从未公开披露过此次泄密事件中学生和教育者记录的总数-指出该泄密事件涉及13,000个企业帐户-估计表明这可能是有史以来影响K-12部门的最大的一次数据泄密事件，并跻身于任何实体（可能涉及数以万计的人，如果不是亿万个人的话）在一年中发生的最大数