Dalış Özeti:
- K-12 siber güvenliğini iyileştirmeye yönelik federal çabalar yoğunlaşırken, Siber Güvenlik ve Altyapı Güvenliği Ajansı K-12 eğitim teknolojisi yazılım sağlayıcılarına, ürünleri için daha iyi yerleşik güvenlik oluşturma kararlılığını göstermeleri konusunda gönüllü bir taahhüt oluşturdu.
- Genel olarak, CISA’nın taahhüdü şirketlerden “güvenlik sonuçlarının sorumluluğunu üstlenmelerini”, “radikal şeffaflığı ve hesap verebilirliği benimsemelerini” ve “tepeden liderlik etmelerini” talep ediyor. Ancak ajans, gönüllü taahhüdü uygulatmayacak veya şirketin bu taahhütlere bağlılığını takip etmeyecektir.
- CISA’ya göre aralarında PowerSchool, ClassLink, Clever, Global Grid for Learning, Instructure ve D2L’nin de bulunduğu altı önde gelen eğitim teknolojisi şirketi Cuma günü itibarıyla bu taahhüdü imzaladı.
Dalış Bilgisi:
Gönüllü taahhüt, Biden yönetiminin teknoloji şirketlerini siber güvenlik çabalarını destekleme konusunda daha sorumlu tutma yönündeki daha geniş hedefinin bir parçası. Beyaz Saray’ın ulusal siber güvenlik stratejisi bu senenin başlarında.
Taahhüt ayrıca, CISA’ya göre şifre tabanlı saldırıları azaltacağı için eğitim teknolojisi şirketlerinin bir bölgeye hiçbir ek ücret ödemeden tek oturum açma hizmetleri sağlaması gerektiğini belirtiyor. Taahhüt, siber saldırılarda gezinmek ve bunlara yanıt vermek için kullanılan güvenlik denetim günlükleri için okullardan ücret alınmaması gerektiğini de ekliyor.
İmza atan eğitim teknolojileri şirketleri ayrıca herhangi bir güvenlik açığını ortadan kaldırmak için yapılacak eylemlerin ayrıntılarını içeren bir yol haritası yayınlamalıdır. CISA’ya göre bu, şirketlerin “öğrenciler dahil tüm kullanıcıları çok faktörlü kimlik doğrulamayı kullanmaya” nasıl teşvik etmeyi planladıklarının bir taslağını içeriyor. Taahhüdü imzalayan şirketlerden ayrıca, belirlenmiş bir zaman çizelgesinden sonra herhangi bir duyarlılığı kamuoyuna bildiren bir güvenlik açığı açıklama politikası yayınlama sözü vermeleri isteniyor.
Taahhüt ayrıca, eğitim teknolojisi sağlayıcılarının, müşteriler tarafından çok faktörlü kimlik doğrulamanın benimsenmesine ilişkin toplu verilerin paylaşılmasını veya daha önce güvenli olmayan güvenlik uygulamalarının uygulanmasına ilişkin herhangi bir geçmişi içerebilecek güvenlikle ilgili istatistikler ve trendler yayınlaması gerektiğini söylüyor.
Üstelik CISA, taahhüdü imzalayan şirketlerin güvenlikten sorumlu ancak CISO veya CTO olmayan üst düzey bir iş liderini kamuya açık bir şekilde isimlendirmesi gerektiğini söyledi. Ajansa göre aynı kişi, yol haritasının “geliştirilmesi ve uygulanması da dahil olmak üzere, işin temel bir işlevi olarak güvenlik ve kaliteyi entegre etme sürecini yönetmekten sorumlu olmalıdır”.
CISA’nın son duyurusu özellikle Beyaz Saray’ın siber güvenlik sorumluluklarını bireylerden, küçük işletmelerden ve yerel yönetimlerden teknoloji şirketlerine kaydırma hedefinin okullar için de geçerli olması gerektiğini gösteriyor. ABD Eğitim Bakanlığı ve CISA’nın ağustos ayında bu konuda rehberlik ve en iyi uygulamaları yayınlamasıyla bu hareket, federal liderler arasında artan ivmeye katkıda bulunuyor. okulların siber güvenlik altyapısını oluşturmak.
Yazılım ve Bilgi Endüstrisi Derneği, Beyaz Saray’ın azaltma arayışından “memnun” siber saldırılar K-12 okullarıyla ilgili “ve adımlar atıyor öğrenci verilerinin güvenliğini korumakdedi Sara Korkusuz, BURADA Eğitim ve Çocuk Politikasından Sorumlu Başkan Yardımcısı, e-postayla gönderilen bir bildiride. “Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın okullar için güvenli ve emniyetli teknoloji ürünleri tasarlamayı teşvik etme çabalarının büyük değer taşıdığını görüyoruz.”
Ancak okul bölgelerine yönelik siber saldırıların yakın zamanda duracağına dair bir işaret yok ve sonuçları da aynı şekilde devam ediyor. Hassas veriler tehlikeye girebilir ve okulların zaten sıkılaştırılan bütçeleri daha da zorlanabilir çalıntı fonlar aracılığıylasiber güvenlik sigortasını finanse etmek veya hackerlara fidye ödüyoruz – Yine de Federal yetkililer buna karşı uyarıyor.
Son zamanlarda, Prince George’s County Devlet Okulları Maryland’deki yetkililer, 14 Ağustos’ta 180.000 bölge kullanıcı hesabından 4.500’üne ulaşan fidye yazılımı saldırısının ardından kişisel verilerin “çevrimiçi olarak yayınlanabileceğini” bildirdi. ABD’nin en büyük 20 bölgesinden biri olan bölge, Cuma günkü güncellemesinde “siber saldırının kişisel bilgilerin izinsiz ifşa edilmesi PGCPS kullanıcılarının oranı.