Okulların öğrenci bilgilerini yönetmek için kullandığı bulut tabanlı yazılımların lider sağlayıcısı PowerSchool, bir siber güvenlik olayı yaşadı. 22 Aralık ile 28 Aralık 2024 tarihleri arasında gerçekleşen PowerSchool siber saldırısı, Kuzey Amerika’daki birçok okul bölgesini etkiledi.
Okul sistemlerine yönelik bu siber saldırı, kişisel verilerin topluluk odaklı müşteri destek portalı PowerSource aracılığıyla PowerSchool’un Öğrenci Bilgi Sisteminden (SIS) izinsiz olarak dışarı aktarılmasını içeriyordu.
PowerSchool siber saldırısına yanıt olarak okul, etkilenen okullara, öğrencilere ve eğitimcilere destek sağlama konusunda proaktif davrandı; güvenlik altyapısını güçlendirmek için attığı adımları da ana hatlarıyla anlatıyor.
PowerSchool Siber Saldırısı Sırasında Ne Oldu?
PowerSchool siber saldırısı ilk olarak 28 Aralık 2024’te PowerSchool’un SIS’sinde depolanan kişisel bilgilere yetkisiz erişimden haberdar olmasıyla tespit edildi. Verilerin okullar ve bölgeler tarafından topluluk katılımı için kullanılan bir müşteri destek portalı olan PowerSource aracılığıyla ihraç edildiği iddia ediliyor. PowerSchool ihlali doğrulamasına rağmen, sistemlerinde kötü amaçlı yazılım veya devam eden izinsiz faaliyete dair hiçbir kanıt bulunmadığını vurguladı.
Daha da önemlisi PowerSchool, ihlalin hiçbir hizmetini aksatmadığını ve başka PowerSchool ürünlerinin etkilendiğine dair herhangi bir rapor bulunmadığını da açıkladı. Şirket, soruşturma boyunca hizmetlerinin normal şekilde devam ettiğini ve müşterileri için herhangi bir operasyonel kesinti yaşanmadığını belirtti.
Bu PowerSchool siber saldırısında Hangi Bilgiler İhlal Edildi?
PowerSchool siber saldırısı sırasında çalınan bilgiler arasında, özellikle öğrencileri ve eğitimcileri etkileyen bir dizi kişisel veri yer alıyordu. PowerSchool siber saldırısı sırasında ele geçirilen bilgiler arasında isimler, iletişim bilgileri, doğum tarihleri, Sosyal Güvenlik numaraları (SSN’ler), tıbbi uyarıların yanı sıra diğer ilgili veriler bulunabilir. Her vakada yer alan kesin veriler, PowerSchool’u kullanan okul bölgelerinin özel gereksinimlerine bağlı olarak değişiklik gösterdi.
Öğrenciler için bu ihlal potansiyel olarak aşağıdaki verileri etkiledi:
- Tam isimler
- İletişim bilgileri
- Doğum tarihi
- Sağlıkla ilgili bilgiler (alerjiler, rahatsızlıklar ve yaralanmalar gibi)
- Sosyal Güvenlik numaraları (SSN’ler)
- Konut bilgileri
Ayrıca eğitimcilerin isimleri, doğum tarihleri ve SSN’leri de dahil olmak üzere kişisel bilgileri de ihlalden etkilendi. Ancak PowerSchool, olaya kredi kartı bilgileri de dahil olmak üzere hiçbir finansal veya bankacılık verisinin dahil olmadığını doğruladı.
PowerSchool Siber Saldırısına Karşı Atılan Adımlar
İhlal tespit edilir edilmez PowerSchool, siber güvenlik müdahale protokollerini uygulamaya koydu ve olayın kapsamını araştırmak üzere üçüncü taraf siber güvenlik uzmanlarını görevlendirdi. İhlalin değerlendirilmesi ve etkilenen okul bölgeleriyle birlikte çalışılması için üst düzey yöneticilerin de dahil olduğu işlevler arası bir müdahale ekibi harekete geçirildi.
PowerSchool, siber saldırının etkisini azaltmak ve etkilenen bireylerin kişisel bilgilerini korumak için attığı adımlar konusunda şeffaf davrandı. Şirketin uygulamaya koyduğu temel önlemlerden biri, etkilenen tüm öğrenciler ve eğitimciler için ücretsiz kimlik koruma hizmetleri ve kredi izleme hizmetleri sunmaktır.
- Kimlik Koruması: PowerSchool, bilgileri ihlale karışan tüm öğrenci ve eğitimcilere iki yıllık ücretsiz kimlik koruma hizmetleri sunuyor. Bu hizmet olası kimlik hırsızlığının izlenmesine ve önlenmesine yardımcı olacaktır.
- Kredi İzleme: Yetişkin öğrenciler ve eğitimciler için PowerSchool iki yıllık ücretsiz kredi izleme hizmetleri sunmaktadır. Bu hizmet, SSN’leri potansiyel olarak açığa çıkan kişileri korumayı amaçlamaktadır.
Ayrıca PowerSchool, kimlik koruma ve kredi izleme hizmetlerini yönetmek için saygın bir kredi raporlama ajansı olan Experian ile birlikte çalıştı. Etkilenen öğrencilere ve eğitimcilere bildirimler gönderilecek ve PowerSchool, doğrudan e-postalar ve kamuya açık bildirimler aracılığıyla sosyal yardımları koordine edecek.
Okullar ve Bölgeler İhlallere Nasıl Yanıt Veriyor?
Toronto Bölge Okul Kurulu (TDSB) dahil olmak üzere Kuzey Amerika’daki çeşitli okul bölgeleri, topluluklarına güncellemeler sağladı. PowerSchool’un SIS’sini kullanan TDSB, ihlalin 1 Eylül 1985 ile 28 Aralık 2024 tarihleri arasında ilçeye giden öğrencilerin verilerini içerdiğini doğruladı.
PowerSchool siber saldırısında ele geçirilen veriler arasında sağlık kartı numaraları, öğrenci kimlikleri, tıbbi bilgiler ve adresler gibi kişisel ayrıntılar yer alıyordu. İhlal, konuyla ilgili bir soruşturma başlatan Ontario Bilgi ve Gizlilik Komiserliği Ofisi (IPC) dahil olmak üzere düzenleyici makamlara bildirildi.
TDSB, ebeveynlere ve velilere sistemlerine yönelik devam eden bir tehdit bulunmadığına ve olayın kontrol altına alındığına dair güvence verdi.
Çözüm
PowerSchool siber saldırısı, dijital platformlara giderek daha fazla bağımlı hale gelen okullarda daha güçlü siber güvenliğe olan kritik ihtiyacın altını çiziyor. PowerSchool ihlali gidermek için adımlar atsa da olay, hassas öğrenci ve eğitimci verilerinin korunmasının önemini vurguluyor. Okullar daha iyi güvenlik önlemlerine öncelik vermeli ve kişisel bilgilerin güvenliğini sağlayarak gelecekteki ihlalleri önlemek için tetikte kalmalıdır.
İlgili