美国学校网络攻击事件频发：挑战与应对

最近针对美国最大学区的一次网络攻击，再次提醒人们注意全美学校的网络安全事件正在增加。专家表示，由于此类攻击变得越来越常见，学校可能需要采取更多措施来建立预防攻击的能力，并对私营供应商提出高标准要求。

本月发生的一起“未遂安全事件”导致许多Illuminate Education的数字服务中断，包括在线成绩册Skedula，以及一个相关的面向家长的平台PupilPath，这些平台被纽约的公立学校系统使用。服务中断持续了数周，打乱了学校假期后的学习。根据该公司发布的信息，即使到现在，该公司的一些其他服务似乎仍然停用。

根据K-12安全信息交流组织的最新报告，针对学校的网络攻击正在增加。该组织是一个专注于网络安全和K-12学校的国家非营利组织。自2016年以来，此类事件增加了五倍，在此期间，与美国公立学校相关的事件已报告1180起。至少有128个学区遭遇了重复攻击。

这种增长正发生在对美国教育技术的创纪录支出时期：根据非营利组织EdTech Evidence Exchange的数据，疫情爆发前，美国K-12公立学校每年的支出在260亿美元到410亿美元之间。

专家指出，这个问题不仅仅是不便，而且是对学生隐私的潜在威胁，尤其是在数字成绩册和其他学生信息系统的情况下。

“网络攻击是学校日益严重的问题，对学生及其家人的危害并非理论上的，”民主与技术中心的技术公平性主任伊丽莎白·莱尔德说。

唾手可得的目标

尽管学区对现有资源的处理已经做得不错，但他们没有像私营公司那样投入大量资源用于网络安全，这可能会使他们看起来像是潜在攻击者的唾手可得的目标，佛罗里达州桑福德市塞米诺尔公立学校的前首席技术官、现任K-12数字平台Clever的驻校管理员蒂姆·哈珀说。

未来隐私论坛的高级技术专家吉姆·西格尔认为，对于全国许多需要教育技术才能运作的学校来说，第三方供应商应该更好地处理网络安全问题。许多学区规模较小，可能只有少数员工负责他们所有的技术运营。

到目前为止，学校的应对措施是增加对教师的培训，尽管这种培训更多地侧重于学生安全，而不是教师本身如何预防在线入侵。根据民主与技术中心的一份报告，许多教师接受了关于学生隐私的培训，但很少有人接受关于如何避免旨在欺骗他们交出个人信息的网络钓鱼或勒索软件诈骗的培训。

K-12安全信息交流组织的全国主任道格·莱文指出，如今，任何在线系统都伴随着权衡和风险。

“当学区采用技术解决方案来运营时，他们就接受了网络安全风险——这是每个依赖技术的组织都会面临的问题，”他说。

并非所有风险都来自学校内部的计算机。学校与之签订合同的许多外部系统也无法幸免于攻击，而且不受学校的控制。

莱文补充说，即使学校将其网络安全外包给外部公司，“也只是将风险转移给第三方。”

例如，本月早些时候，针对Finalsite（一家被全国学校使用的软件公司）的攻击影响了大约5000个学校网站。莱文指出，虽然Finalsite似乎对此次攻击及其应对措施坦诚相告，但仍存在一些问题，即该公司是否可以采取更多措施来预防攻击。

而且，当公司遭遇重大攻击时，他们也并非总是坦诚相告。例如，美国证券交易委员会去年宣布，它对总部位于伦敦的出版公司Pearson处以100万美元的罚款，以解决该公司“误导投资者有关2018年网络入侵的指控，该入侵涉及数百万学生记录被盗，包括出生日期和电子邮件地址，并且未进行充分的披露控制和程序。”

专家表示，学校可以做的是认真审查他们使用的教育技术。莱文说，具体来说，学校应该坚持要求合同承诺进行安全审计并及时披露可能出现的安全问题。

缺乏全国共识

莱文和哈珀等专家表示，美国在家长、教师和学生应该从学区的数据隐私方面期望获得什么样的保护方面，缺乏全国共识。相比之下，欧盟于2018年实施了《通用数据保护条例》（GDPR），该条例详细阐述了关于数据保护和个人信息的期望。

然而，美国各州已经开始解决这个问题，自2013年以来，已经通过了100多项学生隐私法，其中许多禁止定向广告或数据销售——尽管这些法律中很少有涉及培训或有意义的安全要求的。专家指出，这些措施很少为学校提供额外的安全或隐私资源资金。

不过，还有更多的联邦信息即将出台。

2021年10月，《K12网络安全改进法案》成为法律。该法案指示联邦网络安全机构CISA对学校学区面临的网络安全威胁进行研究，并在今年提出建议。

网络安全专家表示，这是朝着正确方向迈出的一步。