数字时代教育系统面临的网络安全挑战

众所周知，教育系统正努力适应因疫情而仓促转向数字化所带来的新的数字风险。但立法者们才刚刚开始意识到这一点。

就在上周，网络安全与基础设施安全局局长珍·伊斯特利将K-12教育（幼儿园到高中）列为该机构的三个“目标丰富、资源匮乏”的优先部门之一，该机构的任务是加强国家的网络安全基础设施。

伊斯特利的评论背后隐约出现的是教育“勒索软件团伙”副社会（Vice Society）的攻击，该团伙渗透了洛杉矶联合学区（LA Unified School District）的系统，窃取了一些学生和教职员工的数据，然后在10月初学校系统拒绝支付未指定的赎金后，将500GB的文件倾倒在暗网上。

但容易成为目标的不仅仅是学校本身：黑客也袭击了与学校合作的教育科技供应商，最引人注目的是Illuminate Education，该公司今年早些时候发生的数据泄露事件暴露了全国数百万学生的数据。

此类事件最终导致已经承受压力的学生付出巨大的代价和学习损失，因为学校不得不在调查和加强系统时关闭关键的科技工具。

立法者们已经注意到了这一点，导致自COVID-19大流行开始以来，影响教育的数据相关法案急剧增加。但新的立法措施在解决这些与我们的数字基础设施的内部运作相关的复杂问题方面的有效性尚不清楚。

非营利性倡导组织“数据质量运动”进行了一项新的年度审查，深入研究了新立法，以了解新情况以及是否朝着正确的方向发展。他们发现，今年推出了131项与教育数据相关的法案，其中42项实际上成为了新法律。这些法律涵盖了从幼儿教育到劳动力问题的各个方面。

那么，这些法案有多有效？如果问非营利组织，他们会给它们打“B”。

“我认为总的来说情况相当不错，”数据质量运动的政策和倡导副主任塔林·霍赫莱特纳说。“我认为我们看到的大多数（法案）都有很大的影响，或者没有，这取决于它们是如何实施的。”

数据质量运动表示，今年的大量法案表明，人们希望更多地了解K-12学生的学习环境，包括学术以外的环境。

这意味着很多法案更加强调调查学校氛围、出勤和纪律。例如：新泽西州通过了一项法案，要求学校报告他们拥有的精神健康专业人员的数量，以及他们雇用的安全人员的数量。

但这些法案也反映了教育领域的另一个大趋势：劳动力问题。

由于学生们质疑他们的教育回报，立法者们正在争先恐后地提供更多关于高中毕业后的情况的信息，包括弗吉尼亚州的一项法案，该法案公布了大学毕业生的平均工资和平均入学费用的信息。

最令人鼓舞的趋势是什么？各机构被要求更多地相互沟通，并共享数据。

一个更棘手的问题是让各机构和学区共享信息，一些观察人士表示，这可能有助于阻止倾向于重复相同攻击的黑客团伙。虽然没有通过，但亚拉巴马州引入了一项法律，霍赫莱特纳称赞该法律将公众和学生纳入有关如何收集和使用数据的决策中。

这些法案也反映了对让社区参与决策的新重视。“我们很高兴看到人们对数据有明确的关注，而不是关注政策制定者，”霍赫莱特纳说。

即便如此，仅靠政策是不够的。DQC报告称，超过三分之一的法案为学区、学校或高等教育机构增加了额外的责任。但这些法案为学校提供更多资源来实际实施这些政策的情况却少得多。“所以我们一直希望立法者考虑为这种能力提供支持——因为数据需要人，”霍赫莱特纳说。

但是，所有这些立法是否准备好解决目前教育中的数据问题？

在这个领域中更杰出的声音之一，K-12安全信息交流（一个非营利性威胁情报和最佳实践共享社区）的全国主任道格·莱文表示，政策制定者才刚刚开始意识到学校网络安全漏洞的严重性。

数据质量运动的霍赫莱特纳认为，人们往往过分关注数据隐私问题。这些法案扩大了诸如对数据收集征得父母同意的要求。但这类政策可能会干扰学校提供基本服务的能力。然而，到目前为止，今年推出的这些过于宽泛的“父母同意”法案中，还没有任何一项成为法律。

学区——以及教师——才是真正使用数据的人，技术民主中心公民技术项目的高级顾问科迪·文茨克说。他表示，这意味着任何立法都必须在保护学生隐私和允许学校履行必要服务之间取得平衡。

DQC主张的解决方案之一是各州采取新的数据收集措施。该非营利组织指出，许多最新的立法措施都采用了这种方法，其中120项法案要么明确了新的数据收集，要么更新了现有数据收集。

但像莱文这样的研究人员担心，建立这样的数据宝库首先就是问题的一部分。他认为，各州教育部是肥沃的目标，历史上一直无法保护数据。

“在一个日益政治化的国家，创建这些本质上是关于学校社区成员（学生、教师、家长、家庭、教育工作者）的高度敏感信息的蜜罐，几乎可以保证它将在某个时候被利用，以获取个人利益或政治利益，”莱文说。

官员也可能滥用数据。文茨克的组织 CDT 在8月份发布的一份报告中指出，学区使用数据来惩罚学生，而不是保护他们安全。在罗伊案之后，马萨诸塞州的参议员伊丽莎白·沃伦和爱德华·马基表示，至少四个学生监控平台——Gaggle、Bark Technologies、GoGuardian 和 Securly——收集的数据很可能被用来惩罚搜索有关生殖保健信息的学生。

对莱文来说，这是一个教育机构——尤其是 K-12 学校——需要掌握的问题，尽管他们的资源已经捉襟见肘。“这不是别人会保护他们免受的事情，”他补充道。“没有互联网警察在保护学生数据系统，而与学校正在做的事情分开。”

但他表示，可以从其他领域吸取教训。

披露协议是一个好的开始，他指出。例如：加州刚刚通过了一项法案，要求各州报告影响500多名学生的事件。最终，州和地区层面的数据收集需要采用“网络安全风险管理框架”，这是处理网络安全风险的方法。他补充说，有几个国家承认的框架。