Ahora nunca es el mejor momento para que ocurra una violación de datos y ponga su información personal en las manos equivocadas.
Pero los superintendentes escolares del condado cuyos maestros y administradores utilizan el sistema de información estudiantil PowerSchool para administrar sus datos están satisfechos de que la empresa tardó 11 días en informar que había sufrido una violación de seguridad global. La notificación llegó el lunes por la tarde.
Las tablas de datos afectados incluyen campos para nombre, dirección, dirección particular y de correo electrónico, posibles alertas médicas y, lo más alarmante, número de seguro social.
Sin embargo, los funcionarios de Power School dicen que la mayoría de los distritos dejan en blanco el campo para los números de seguro social de los estudiantes. El superintendente de Lenox y Pittsfield, William Collins, y el superintendente de Pittsfield, Joseph Curtis, dijeron que esa es la práctica en Lenox y Pittsfield.
El superintendente de la escuela local notificó a los maestros y familias sobre la infracción el martes por la mañana. La compañía dijo en una conferencia telefónica que fue notificada por un “actor amenazador” el 28 de diciembre, y agregó que recibió garantías de que los datos estaban seguros y no serían compartidos ni cargados. El director ejecutivo de la compañía, Hardeep Gulati, dijo en una conferencia telefónica que la compañía “comprende lo preocupante que esto es para usted” y dijo que la compañía está comprometida a contener la infracción y trabajar con los clientes en el futuro. Prometí hacer lo mejor que pueda.
El Distrito Escolar Regional Central Berkshire en North Adams, Lenox, Pittsfield y Dalton, y el Distrito Escolar Regional Berkshire Hills en Great Barrington se encuentran entre los usuarios de Power Schools del condado afectados por la infracción.
“Si bien los detalles de la infracción aún son limitados en este momento, nuestro director de tecnología escolar y el departamento (de tecnología de la información) están revisando la situación para evaluar a fondo el impacto tanto en los datos del personal como de los estudiantes dentro del distrito”, dijo Curtis. dijo en un correo electrónico. Comunidad escolar de Pittsfield. También dijo el martes que era la “única prioridad” del departamento de tecnología.
“Esta noticia, junto con el retraso de Power School en informarnos, es extremadamente preocupante”, afirmó el señor Curtis. “Tenga en cuenta que estamos monitoreando activamente la situación y continuaremos brindando actualizaciones a medida que haya nueva información disponible”.
Más tarde ese mismo día, Curtis dijo a las familias que Power School brindará monitoreo de crédito a los adultos afectados y servicios de protección de identidad a los menores afectados.
“Una vez que recibamos esto, proporcionaremos detalles sobre cómo registrarse”, dijo en un aviso a las familias.
En una carta a la comunidad escolar de Central Berkshire, la superintendente Leslie Blake Davis dijo que el distrito cambiará las contraseñas de todos los estudiantes como medida de precaución.
“Tenga la seguridad de que los datos estudiantiles más confidenciales, como los IEP y los registros médicos, se almacenan en sistemas fuera de PowerSchool”, dijo Blake-Davis. “En este momento, creemos que el alcance de esta violación de datos es limitado y consiste principalmente en datos demográficos”.
Los líderes escolares locales estaban molestos porque Power School tardó 11 días en denunciar la infracción. Los ejecutivos de la compañía no respondieron varias preguntas sobre el retraso en la notificación durante una conferencia telefónica de una hora el martes por la tarde.
“Es muy frustrante, especialmente en la respuesta a la infracción y cuando se nos informa de la infracción”, dijo el superintendente de Lenox, Collins.
El “actor amenazador” utilizó por primera vez las credenciales comprometidas el 19 de diciembre para acceder a PowerSource, el portal de atención al cliente dentro de la plataforma, dijo Mishka McCowan, directora de seguridad de la información de la compañía. Los registros de actividad muestran que el individuo lo usó para obtener acceso a los datos de la empresa, incluida información sobre estudiantes y profesores que usaron un guión el 22 de diciembre. Parece que copiaste la tabla.
Después de que los atacantes alertaran a la empresa el 28 de diciembre, la empresa contrató los servicios de dos empresas: CrowdStrike, una empresa de ciberseguridad, y CyberSteward, que tiene experiencia en resolver ransomware y extorsión. McCowan dijo que las fuerzas del orden también estuvieron involucradas, particularmente el FBI.
Como resultado, los atacantes proporcionaron evidencia en video de que los datos habían sido eliminados y prometieron no compartirlos ni cargarlos, dijo McCowan. La compañía no respondió a las preguntas sobre si se intercambiaron fondos para llegar al acuerdo.
PowerSchool proporciona software de gestión de datos de estudiantes a distritos escolares como un producto de “software como servicio” (SaaS) basado en suscripción. Los distritos escolares utilizan este software para ingresar calificaciones, rastrear tendencias de datos y enviar datos que cumplan con los requisitos de informes estatales y federales.
PowerSchool es un actor importante en el negocio y presta servicios a aproximadamente el 75% de los estudiantes K-12 de América del Norte y a 60 millones de estudiantes en los Estados Unidos, según el sitio web de la compañía. Con el tiempo, la empresa desarrolló o compró otros servicios para adaptarlos a su conjunto de herramientas para el aula, más recientemente un asistente impulsado por inteligencia artificial llamado PowerBuddy.
“Históricamente, han brindado un servicio bastante seguro. Sentimos que era bastante seguro y nos hicieron creer”, dijo Collins. “Son gigantes en este campo y brindan un gran servicio”.
McCowan dijo que sólo se accedió a una parte de los datos de la empresa y que se notificó a los clientes afectados.
No todos los municipios utilizan PowerSchool. Jim Brosnan, superintendente del Distrito Escolar del Área Vocacional del Norte de Berkshire, dijo que McCann Technical College ha estado utilizando Follett Aspen desde que pasó a computarizar los datos de los estudiantes.
“Descubrimos que este era el sistema que mejor se adaptaba a nuestras necesidades específicas, especialmente desde una perspectiva de educación vocacional”, dijo.
Las Escuelas Públicas de Lee utilizan Focus, que según el superintendente Michael Richard es adecuado para distritos pequeños y económico. La superintendente de Richmond, Beth Choquette, dijo que la ciudad compartió recursos con Hancock el año pasado y cambió de Power Schools a School Insights.
“PowerSchool probablemente brinda más servicios de los que necesita un distrito de nuestro tamaño”, dijo Richard. “Me cobran mucho dinero por muy poco uso. Focus es un sistema rentable que hace lo que necesito”.
PowerSchool fue adquirida por Bain Capital en octubre por 5.600 millones de dólares, devolviendo la empresa a una empresa privada.
En su último informe anual a los accionistas en marzo de 2024 antes de la venta, Power Schools dijo que planea “vender software adicional en nuestra plataforma y apuntar a nuevas oportunidades dentro de estas escuelas y distritos escolares. Al hacerlo, la compañía pretende aprovechar su trayectoria historial de éxito con los clientes existentes.
Irónicamente, la página web en la que PowerSchool organizó la llamada incluía un enlace a un artículo titulado “Cinco señales de que es hora de cambiar el SIS de su distrito escolar”.
¿Cuál fue la primera razón dada? “No tengo confianza en la seguridad de los datos de mi SIS”.
