Mientras cientos de funcionarios de distritos escolares en todo el país hacen sonar la alarma, la superintendente de las escuelas públicas del condado de Fairfax, Michelle Reed, anunció esta semana que el sistema de información estudiantil administrado por el contratista tecnológico global PowerSchool Holdings “guarda silencio ante la explosiva noticia de que su base de datos fue pirateada por ciberdelincuentes”. . , roban información de los maestros, así como información altamente confidencial de los estudiantes, como nombres, direcciones, calificaciones, asistencia, registro, nombres de los padres, números de seguro social y registros médicos.
El equipo de ciberseguridad del FBI está investigando el incidente de piratería. Según informes de robo cibernético, Power School, con sede en Folsom, California, pagó un “rescate” a los piratas informáticos, quienes prometieron eliminar los datos. Expertos en tecnología de todo el mundo han estado rastreando la web oscura durante la última semana para ver si esta garantía es cierta. Las escuelas desde Maine hasta California están notificando a sus comunidades sobre el impacto de las infracciones en sus distritos.
El silencio de los líderes de las Escuelas Públicas del Condado de Fairfax deja a los padres, profesores, personal y miembros de la comunidad con muchas preguntas sin respuesta, con un enorme presupuesto de $3.8 mil millones y los salarios ejecutivos del equipo de superintendentes que exceden los $200,000. Esto ha reavivado las preocupaciones sobre la transparencia en los distritos escolares con grandes números. de estudiantes. La portavoz de las Escuelas Públicas del Condado de Fairfax, Julie Allen, dijo en un breve comunicado que el sistema de información estudiantil de la escuela, conocido como SIS, no se vio afectado.
“El impacto es cero. Para ser claros, esta infracción no tuvo ningún impacto en FCPS. ” dijo Allen. “La filtración de datos se debió a PowerSchool SIS. FCPS no usa PowerSchool SIS”. Allen no respondió a las preguntas sobre el sistema PowerSchool que usa FCPS. Tampoco respondió por qué Reed no emitió una declaración sobre el hackeo de datos de PowerSchool.
En Maryland, por el contrario, las Escuelas Públicas del Condado de Frederick emitieron un comunicado diciendo que dos “tablas de datos” que contenían “registros de maestros y estudiantes” se vieron “afectados”. En Massachusetts, la superintendente del distrito de escuelas públicas de Randolph, Thea Stovell Herndon, emitió un Memorando de ciberseguridad: Violación de datos de PowerSchool en el que se afirma: Y un globo terráqueo. “Esta situación es preocupante para todos nosotros”, dijo. Las Escuelas Públicas del Condado de Charles en Maryland notificaron a los padres que si bien “no hubo consecuencias”, estaban “siguiendo de cerca este incidente”.
Las Escuelas Públicas del Condado de Fairfax canalizaron aproximadamente $10,7 millones al imperio corporativo Power Schools en tres contratos que datan de varios años, según los registros de contratos del gobierno del Condado de Fairfax. Primero, en marzo de 2018, West Interactive Services Corp., que luego pasó a formar parte de PowerSchool, firmó el Contrato No. 4400012761 para el “Sistema de notificación de transmisión”, que actualmente vence el 30 de junio de 2025 y es una escuela pública del condado de Fairfax. Se estima que los costos iniciales ascenderán a 1,1 millones de dólares. 5 años, aproximadamente $209,000 por año a partir de entonces.
Luego, en junio de 2018, Naviance Inc., que luego fue adquirida por PowerSchool, celebró un contrato de “Sistema de recursos de planificación académica y profesional” (No. 4400011469, con vencimiento el 30 de junio de 2025) por $712,133.40. Finalmente, en 2019, Schoology Inc., que luego fue adquirida por PowerSchool, firmó un contrato con las Escuelas Públicas del Condado de Fairfax por un total de $8,4 millones desde 2020 hasta el 30 de junio de 2026 para un “sistema de gestión de aprendizaje integrable”. Contrato de 6 años (nº 44000010012). ”
Gran tecnología, truco de “EdTech”
El incidente puso de relieve las vulnerabilidades de la creciente industria “EdTech” de las grandes empresas tecnológicas, un sector multimillonario que gestiona datos educativos confidenciales. Los críticos advierten sobre los riesgos de consolidar dichos datos en manos de grandes empresas, a menudo dirigidas por “edTech bros” que priorizan el crecimiento sobre la seguridad.
Multimillonarios como Mark Zuckerberg están invirtiendo fuertemente en tecnología educativa, fortaleciendo aún más la influencia de la industria en las aulas de todo el país. Zan Tanner, yerno del fiscal general de los Estados Unidos, Merrick Garland, cofundó la empresa líder en tecnología educativa Panorama Education.
PowerSchool dice que proporciona su sistema de software basado en la nube a aproximadamente el 75% de los distritos escolares estadounidenses en todo el mundo, abarcando alrededor de 18.000 escuelas en todo el mundo. Se dice que se almacenan los datos de aproximadamente 60 millones de estudiantes. Esto incluye aproximadamente 183.000 estudiantes de escuelas públicas del condado de Fairfax.
PowerSchool vende un conjunto de herramientas a los distritos escolares para optimizar las operaciones escolares, incluida la inscripción, la asistencia, la gestión del aprendizaje, el análisis y los sistemas financieros. La empresa vende un “Sistema de información estudiantil” llamado “SIS” como producto básico para que las escuelas administren los datos de los estudiantes. Aquí, los maestros cargan calificaciones y asistencia para que los estudiantes y los padres puedan acceder.
El 1 de octubre, Bain Capital, la firma de capital privado de 185 mil millones de dólares fundada por el senador de Utah Mitt Romney, gastó 5,6 mil millones de dólares para adquirir Power Schools. Otras dos grandes empresas públicas, Vista Equity Partners y Onex Partners, son inversores minoritarios en PowerSchool.
¿Por qué necesitas mucho dinero? Big data significa más dinero, especialmente en el mercado infantil altamente protegido. Y los ciberdelincuentes también lo saben.
El hacking y su impacto global
Los piratas informáticos irrumpieron en los sistemas de PowerSchool entre el 19 y el 28 de diciembre, sólo dos meses y medio después de la enorme adquisición. Según las comunicaciones con los clientes de Power School, los nombres, direcciones, números de seguro social, registros médicos, calificaciones y otra información personal de sus hijos fueron robados. PowerSchool “se ha dado cuenta de un posible incidente de ciberseguridad que involucra acceso no autorizado a cierta información del SIS de PowerSchool”, dijo Evan Roberts, director gerente senior de crisis y litigios de FTI Consulting Inc., una compañía global, dijo la compañía en un comunicado que envió a. el Tiempos del condado de Fairfax. Firma de asesoría con sede en Washington DC
El martes 7 de enero, PowerSchool envió una “Notificación de Incidente de Ciberseguridad” a nuestros clientes. Inmediatamente, la plataforma de mensajería Reddit recurrió a Twitter, y los administradores de tecnología de distritos escolares de todo el mundo expresaron su sorpresa por la noticia, intercambiaron consejos para evaluar los daños y criticaron los mensajes confusos y contradictorios de PowerSchool a los sistemas escolares, explotó cuando descubrimos lo que sucedió. La publicación de tecnología Bleeping Computer informó la noticia esa misma noche.
La semana pasada, las quejas de los administradores de TI estallaron en Reddit. Se ha iniciado uno de los hilos de la comunidad “r/k12sysadmin”. “¿Alguien se ha visto afectado por la violación del SIS de PowerSchool?”
Un comentarista criticó a PowerSchool por tener acceso “de puerta trasera” para atención al cliente, permitiendo la infracción incluso en distritos escolares donde el acceso remoto estaba deshabilitado. Otro comentarista señaló que las comunicaciones opacas y contradictorias de PowerSchool dejaron al distrito inseguro sobre el alcance de la violación de datos.
Al día siguiente, miércoles 8 de enero, los distritos escolares de todo el país comenzaron a emitir declaraciones a los padres y al personal sobre el impacto de esta violación. Los distritos escolares de Michigan, incluidas las escuelas públicas de Kalamazoo y las escuelas públicas de Paw Paw, emitieron avisos tempranos el jueves 9 de enero, revelando los datos a los que se había accedido.
Aunque la Junta de Educación del Condado de Fairfax celebró una reunión pública el jueves, el Sr. Reed, el superintendente del distrito, no tuvo conocimiento de la violación hasta la noche.
El viernes 10 de enero, los superintendentes de los distritos escolares de Nebraska, Ohio central, y el distrito escolar de Massapequa en Long Island habían notificado a los padres y maestros sobre el impacto de la infracción.
La violación afectó a una variedad de distritos escolares, desde las Escuelas Públicas de Cromwell en Connecticut hasta las Escuelas Públicas de Elkhorn en Nebraska, y se reportaron diversos grados de violaciones de datos. Algunos distritos escolares citaron información demográfica y de contacto comprometida, mientras que otros dijeron que sus sistemas PowerSchool no almacenaban números de seguro social.
Abuso de confianza y preocupaciones crecientes
La falta de declaraciones públicas de uno de los sistemas escolares más grandes del país pone en duda la transparencia y la preparación del distrito para enfrentar tal crisis.
A medida que continúa la investigación, los expertos en ciberseguridad advierten que los datos robados pueden resurgir a pesar de las garantías de eliminación de PowerSchool. Para las familias y los educadores, la brecha es un claro recordatorio de la fragilidad de nuestro sistema educativo cada vez más digital.
En una declaración proporcionada por PowerSource Crisis Management Company, la compañía dijo: “Tan pronto como nos enteramos del incidente, implementamos nuestros protocolos de respuesta de ciberseguridad y movilizamos un equipo de respuesta multifuncional que incluía altos directivos y expertos externos en ciberseguridad”.
Además, “PowerSchool no ha experimentado ni anticipa ninguna interrupción operativa y continúa atendiendo a los clientes como de costumbre. Ningún otro producto de PowerSchool se ve afectado como resultado de este incidente. No hay evidencia de que así fuera”.
“Nos tomamos muy en serio nuestra responsabilidad de proteger la privacidad de los datos de nuestros estudiantes, familias y educadores, y brindaremos recursos y apoyo a los clientes, familias y educadores afectados y trabajaremos juntos para resolver este problema”. esto”, concluye.
Mientras los distritos escolares afectados en todo el país afrontan las consecuencias ofreciendo servicios de “monitoreo de crédito” y “protección de identidad” a los afectados, en el condado de Fairfax, el distrito escolar se puso en contacto con los padres que se enteraron de la violación de seguridad en espera de la declaración.
Los administradores del sistema del distrito escolar expresaron escepticismo en Reddit de que conocen la historia completa a través de comunicaciones por correo electrónico enviadas por funcionarios de Power School. Como reflejo del creciente descontento de los expertos en tecnología con el hack, uno expresó su descontento con la garantía general de la compañía, añadiendo una advertencia entre paréntesis con un acrónimo y un insulto. Están “…manejando la situación de manera organizada y exhaustiva”.
