Önde gelen bir K-12 siber güvenlik kar amacı gütmeyen kuruluşu, geçen hafta, sınırlayıcı bir kural önerisini desteklediğini açıkladı. Büyük siber olayların raporlanması 1.000’den fazla öğrencinin kayıtlı olduğu okul bölgelerine.
K12 Güvenlik Bilgi Değişimi, geçen hafta Siber Güvenlik ve Altyapı Güvenliği Ajansı tarafından önerilen kural hakkında yorum yaparak, 2016 ve 2022 yılları arasında 1.327 K-12 kuruluşunun bir veya daha fazla kamuya açıklanmış siber olay yaşadığını söyledi.
K12 SIX, bu olayların %19’unun 1.000’den az öğrencinin bulunduğu bölgelerde meydana geldiğini söyledi. Olayların yaşandığı bölgelerin yaklaşık %18’inde 1.000 ila 2.499 öğrenci kayıtlıdır.
Geriye kalan %63’ü ise 2.499’un üzerinde öğrencisi olan ilçeler veya bölgesel veya eyalet eğitim kurumuydu.
“Bunun gibi, zorunlu siber olay raporlama gerekliliklerine katılım için önerilen eşiğin 1.000 veya daha fazla öğrenci kaydına ayarlanmasıyla, sektörü etkileyen önemli olayların yaklaşık %80’i yakalanabilirken, sektörün yaklaşık %50’si katılım yükünden kurtarılabilir, K12 SIX’ler yazdı. “Bu, LEA’lar için 1.000 öğrenci kayıt eşiğinin uygun olduğunu gösteriyor.”
CISA’nın Nisan ayında Federal Sicil’de yayınlanan önerilen kuralı, 2022 Kritik Altyapı için Siber Olay Raporlama Yasası’nı veya CIRCIA’yı uygulayacak. Bu yasa, raporlama gereklilikleri kapsamındaki kuruluşların, yıkıcı siber olayları, olayın meydana geldiğine makul bir şekilde inandıkları andan itibaren 72 saat içinde açıklamaları gerektiğini şart koşuyor.
Ayrıca siber suçlulara yapılan fidye ödemelerini de 24 saat içinde CISA’ya bildirmeleri gerekiyor.
CISA’ya göre, tüm eyalet eğitim departmanlarının ve okul bölgelerinin yarısının siber olayları ve fidye ödemelerini bildirmesi gerekecek. Bölgesel devlet yetkilisi eğitim merkezlerinin “bazı yüzdeleri” de raporlama gerekliliklerinin dışında tutulacaktır.
Genel olarak K12 SIX, önerilen kuralı destekledi ancak kuruluş, K-12 sektörünün öğrenciler tarafından başlatılan siber olayları nasıl raporlaması gerektiği konusunda açıklama yapılması çağrısında bulundu. K12 SIX ayrıca, K-12 sektöründeki kritik rolleri göz önüne alındığında, CISA kuralının eyalet ve bölgesel eğitim kurumlarının kapsamını netleştirmesi gerektiğini söyledi.
CISA önerisi, okulların fidye yazılımı saldırılarına karşı oldukça savunmasız kalması nedeniyle geliyor. Siber güvenlik hâlâ en önemli endişe kaynağı bölge eğitim teknoloji liderleriOkul Ağı Konsorsiyumu’na göre.
Bu ayın başlarında, ABD Eğitim Bakanlığı ve Berkeley Kaliforniya Üniversitesi Uzun Vadeli Siber Güvenlik Merkezi bir girişim başlattı. K-12’de siber savunmayı geliştirmek eğitim teknolojisi satıcıları ve siber güvenlik uzmanları arasındaki işbirliğini teşvik ederek. Nisan ayında ise CISA ve Milli Eğitim Bakanlığı konsey oluşturdu okulların dijital altyapısının korunmasını iyileştirmeye yönelik federal, eyalet, kabile ve yerel çabaları kolaylaştırmaya yardımcı olmak.
CISA’nın önerdiği kurala ilişkin kamuoyu yorumu dönemi 3 Haziran’a kadar açık.