В школах США произошла утечка 24,5 миллионов записей из 1327 утечек данных с 2005 г.
С 2005 года школьные округа и колледжи / университеты K – 12 по всей территории США испытали более 1300 утечек данных, затронувших более 24,5 миллионов записей.
Наша команда исследователей проанализировала данные за последние 15 лет, чтобы выяснить, где находятся горячие точки, основные причины этих нарушений и сколько студентов пострадали от каждого нарушения.
Что мы нашли?
- Калифорния — горячая точка для утечки данных как колледжей, так и школьников, при этом пострадали больше всего записей (но также здесь находится большинство этих учреждений)
- Аризона — один из самых пострадавших штатов по количеству затронутых записей.
- Вайоминг — единственный штат, в котором не сообщалось о нарушениях в системе образования *
- Взломы — самые распространенные типы взломов
- В 2008 году было больше всего утечек данных об образовании, но 2013 и 2017 годы были самыми большими по количеству затронутых записей.
- Государственные учреждения чаще подвержены нарушениям, чем частные.
* Большинство законов об уведомлении об утечке данных, в том числе в Вайоминге, были введены в действие только в последние несколько лет. Нарушения могли произойти до того, как эти правила вступили в силу, и / или нарушения могут упасть ниже порога, необходимого для сообщения о нарушении (например, только нарушения, затрагивающие определенное количество людей, требуют публичного раскрытия).
В 2018 году Министерство образования США ужесточило свои требования в отношении утечки данных в колледжах и университетах. Эти учебные заведения теперь должны сообщать о любых нарушениях, независимо от количества утерянных записей, но только в том случае, если они относятся к учреждению по Разделу IV (они принимают федеральное финансирование через федеральную программу помощи студентам, которая охватывает подавляющее большинство школ). Единственные школы, которые не принимают федеральную помощь учащимся, — это небольшое меньшинство, состоящее в основном из религиозных учреждений.
Цвета показывают количество нарушений, а размер кружков показывает количество затронутых записей.
Калифорния страдает от большинства утечек данных об образовании
Если мы посмотрим на количество нарушений в штате США, то увидим, что наибольшее количество нарушений было в Калифорнии, на его долю приходилось 157 из 1328 нарушений (11,8 процента).
В список наиболее пострадавших штатов также входят Нью-Йорк (89), Техас (79), Иллинойс и Огайо (60) и Флорида (58).
Вайоминг — единственный штат, в котором за последние 14 лет не было известных или сообщений об утечках данных из школ K – 12 или колледжей.
Некоторые из этих цифр не слишком удивительны. Калифорния, Техас, Нью-Йорк, Иллинойс и Огайо входят в десятку крупнейших штатов США и имеют большое количество студентов и учебных заведений. Само собой разумеется, что это также приведет к большему количеству утечек данных.
Однако, если мы изменим цифры, чтобы посмотреть на количество записей, затронутых штатом США, картина немного изменится.
Калифорния остается горячей точкой, но Аризона становится одним из наиболее пострадавших штатов: от нарушений страдает лишь немного меньше людей, чем в Калифорнии (2,83 миллиона против 2,88 миллиона). Западная Вирджиния и Джорджия также демонстрируют большое количество затронутых записей по сравнению с количеством нарушений: 1,3 миллиона и 1,6 миллиона затронутых записей соответственно.
Среди других штатов с большим количеством раскрытых или украденных записей — Огайо (1,4 миллиона), Массачусетс (1,7 миллиона) и Флорида (1,6 миллиона).
Как изменятся эти цифры, если разделить их по школам и колледжам?
74% утечек данных об образовании приходится на колледжи
Если мы посмотрим на горячие точки для нарушений в школах K – 12 в сравнении с нарушениями в колледжах и университетах, мы увидим некоторые существенные различия.
Горячие точки взлома данных школами K-12 США
Когда дело доходит до нарушений в школах США K – 12 (как государственных, так и частных), Калифорния и Техас являются самыми горячими точками.
Иллинойс и Нью-Йорк также имеют большое количество нарушений, но они затронули меньше записей, чем другие штаты. Напротив, в Неваде и Флориде пострадало большое количество записей по сравнению с количеством нарушений.
В Неваде было зарегистрировано три нарушения K – 12, затрагивающих 673 487 записей, а во Флориде — 17 нарушений в школе, затронувших 504 135 записей.
Огромные цифры в Неваде связаны с двумя конкретными нарушениями, которые затронули школьные округа округа Уошу (114 000) и округа Кларк (559 487). Оба пострадали от утечки данных Pearson Education, Inc., которая затронула многочисленные школы по всей территории США. Инструмент оценки учащихся, предоставляемый Pearson's AIMSweb, был взломан, в результате чего была обнаружена некоторая личная информация учащихся.
Многие нарушения, затрагивающие школы K – 12, затрагивают весь школьный округ. Однако неясно, сколько школ в округе могло пострадать, поэтому цифра нарушения остается «1». Некоторые системы общественных колледжей также имеют эту проблему неоднозначности.
Горячие точки утечки данных колледжей США
Калифорния также остается горячей точкой для утечек в колледжах, на ее долю приходится 12,2 процента из 985 утечек данных колледжей и 10,6 процента из 21,5 миллиона затронутых записей. Нью-Йорк также остается одним из мест с наибольшим количеством нарушений: было 63 нарушения, которые затронули почти полмиллиона записей.
Техас и Иллинойс больше не являются горячими точками, но Флорида остается одним из штатов с наибольшим количеством пострадавших записей (1,07 миллиона — 5 процентов). К нему также присоединились пять других штатов в категории «более 1 миллиона затронутых записей». Это:
- Аризона — 2,8 миллиона записей затронуты 8 нарушениями
- Массачусетс — 1,7 миллиона записей затронуто 36 нарушениями
- Грузия — 1,6 миллиона записей затронуто 24 нарушениями
- Огайо — 1,4 миллиона записей затронуты 48 нарушениями
- Вашингтон — 1,3 миллиона записей затронуты 15 нарушениями
Аризона занимает первое место по количеству затронутых записей по отношению к количеству нарушений. Это связано с серьезным нарушением, затронувшим почти 2,5 миллиона записей из муниципальных колледжей Марикопа. Система колледжей подверглась критике из-за того, что на уведомление участников (семь месяцев) потребовалось много времени. Сообщается, что очистка обошлась в 26 миллионов долларов.
% колледжей, пострадавших от нарушений
Здесь мы видим, что штаты с наибольшим процентом колледжей, затронутых утечками данных, — это Аляска и Вермонт, где от утечек данных пострадали соответственно 55,6 и 50 процентов колледжей.
Таким образом, несмотря на то, что Калифорния является горячей точкой, когда дело доходит до утечки данных об образовании, с 710 колледжами и 120 нарушениями, только 16,9% колледжей в Калифорнии пострадали от утечки данных — примерно.
Зарегистрировано довольно большое количество утечек данных K – 12, затрагивающих весь школьный округ, а не отдельные школы. Поэтому мы не включили общий процент школ, пострадавших от утечки данных, поскольку цифры будут искажены, если включить частные школы наряду с округами.
На государственные учреждения приходится 78 процентов нарушений в обучении
В целом 77,7% нарушений произошли в государственной школе или колледже. Из этих публичных нарушений 67,7% коснулись колледжей. Сильно пострадали и частные колледжи, на долю которых приходится 90,9% всех нарушений в частных учреждениях.
Нарушения общественного образования затронули 20,6 миллиона записей, примерно по 20 000 записей на нарушение, в государственных учреждениях. Нарушения в частных учреждениях затронули 3,9 миллиона записей, или около 14 000 записей на одно нарушение.
Как сравнить эти цифры, если мы разбиваем их по школам и колледжам K-12?
- Государственные школы K-12 — 8 847 записей затронуто каждое нарушение
- Государственные колледжи / университеты — 25312 записей затронуто каждое нарушение
- Частные школы K-12 — 3 657 записей затронуто за нарушение
- Частные колледжи / университеты -14 046 записей затронуто на одно нарушение
Самые известные утечки данных об образовании
По нашим данным, было 9 нарушений, затронувших полмиллиона или более записей. Это:
- 2013 г., нарушение данных округа муниципального колледжа округа Марикопа = 2,49 миллиона затронутых записей: был взломан ряд баз данных, и записи почти 2,5 миллионов студентов, выпускников и сотрудников были доступны в Интернете. Как упоминалось ранее, это нарушение вызвало много споров из-за продолжительности времени, которое потребовалось для уведомления пострадавших.
- 2017, Гарвардское компьютерное общество = 1,4 миллиона затронутых записей: в результате этого нарушения более 1,4 миллиона электронных писем, содержащих личную информацию членов Гарвардского компьютерного общества, были общедоступными в течение определенного периода времени.
- 2019, Технологический институт Джорджии = 1,27 миллиона затронутых записей: центральная база данных была взломана, в результате чего были обнаружены записи почти 1,27 миллиона студентов, преподавателей и сотрудников.
- 2017, Университет штата Вашингтон = 1,12 миллиона затронутых записей: Воры взломали шкафчик для хранения вещей и украли сейф. Сейф содержал резервную копию жесткого диска компьютера с более чем миллионом личных записей, включая номера социального страхования (SSN).
- 2006 г., Калифорнийский университет в Лос-Анджелесе = 800 000 затронутых записей: хакеры получили доступ к базе данных университета, содержащей личные данные многих людей, большинство из которых включают нынешних и бывших студентов и заявки студентов. Личные данные включали SSN, домашний адрес, дату рождения и контактную информацию.
- 2010 г., Университет штата Огайо = 750 000 затронутых записей: неавторизованным лицам удалось войти на сервер университета, получив доступ к SSN, дате рождения, адресам нынешних и бывших студентов, а также сведениям о сотрудниках и преподавателях.
- 2012, Университет Небраски = 654 000 затронутых записей: хакеры могли получить доступ к базе данных, которая содержала сведения о нынешних студентах и выпускниках, начиная с 1985 года.
- 2019, Школьный округ округа Кларк = затронуты 559 487 записей: как уже упоминалось ранее, это нарушение было частью утечки данных Pearson's Education, Inc., которая затронула многие школьные округа.
- 2018, Объединенный школьный округ Сан-Диего = 500 000 затронутых записей: фишинговая атака позволила хакерам получить доступ к центральной базе данных школьников округа.
Виды нарушений в обучении
Как мы видели выше, в образовательных учреждениях происходит ряд различных типов нарушений, от физических краж до онлайн-взломов. Однако в целом наиболее распространенным типом утечки данных является взлом (из внешнего источника).
Вот разбивка всех нарушений по типам нарушений:
- Случаи взлома = 581 (43,8%)
- Непреднамеренное раскрытие информации учебными заведениями (т.е. случайное прикрепление идентифицирующих личность данных учащихся к электронному письму) = 341 (25,7 процента)
- Кража или потеря портативных устройств (например, USB-накопителей или ноутбуков) = 183 (13,8 процента)
- Сообщения о физических данных, доступных неуполномоченному персоналу (например, бумажные данные уничтожаются без измельчения) = 77 (5,8%)
- Кража или взлом, совершенные инсайдерами (т.е. учащиеся или сотрудники школы, собирающие данные в мошеннических целях) = 70 (5,3 процента)
- Кража или потеря стационарных устройств (например, настольных компьютеров) = 52 (3,9 процента)
Остальные были неизвестны, а 2 были нарушены карты.
Наиболее частые нарушения в колледжах
- Взлом = 424 (43 процента)
- Непреднамеренное раскрытие информации = 269 (27,3 процента)
- Кража или потеря портативных устройств = 145 (14,7 процента)
- Доступность физических данных = 46 (4,7 процента)
- Инсайдерский взлом / кража = 42 (4,3%)
- Кража или потеря стационарных устройств = 38 (3,9 процента)
- Неизвестно = 19 (1,9 процента)
- Карточка = 2 (0,2 процента)
Наиболее частые нарушения в школах
- Взлом = 157 (45,9%)
- Непреднамеренное раскрытие информации = 72 (21 процент)
- Кража или потеря портативных устройств = 38 (11,1 процента)
- Доступность физических данных = 31 (9,1%)
- Инсайдерский взлом / кража = 28 (8,2%)
- Кража или потеря стационарных устройств = 14 (4,1 процента)
- Неизвестно = 2 (0,58 процента)
Самые большие годы утечки данных в школах и колледжах до 12 лет
Если мы посмотрим на приведенную ниже диаграмму, то увидим, что самым большим годом нарушений в целом был 2008 год. В 2008 году было всего 135 нарушений, что составляет 10,2 процента от всех нарушений. Кроме того, это был самый большой год для утечки данных колледжей, когда произошло 101 утечка (10,2%).
Однако это был не самый большой год для утечки данных в школах K – 12. 2019 год стал годом наибольшего количества утечек данных в школах — всего 60.
Напротив, 2008 год был не лучшим годом по количеству затронутых записей, а, скорее, одним из самых низких. 2013 и 2017 годы были самыми крупными годами, затронувшими соответственно 3,08 миллиона и 2,95 миллиона записей. Большинство этих записей было получено из-за нарушений в колледже — 3,07 миллиона и 2,9 миллиона записей, затронутых в 2013 и 2017 годах, соответственно.
Самыми большими годами для школ K – 12 были 2018 и 2019 годы, когда было затронуто 991 340 и 804 734 записей соответственно.
Похоже, что нет какой-либо тенденции в количестве нарушений в школах или колледжах K-12, равно как и не похоже, что нет модели с затронутыми записями колледжей. Однако за последние несколько лет значительно увеличилось количество затронутых школьных документов.
Методология
Некоторые из включенных записей могут относиться к сотрудникам предприятия. Это связано с отсутствием разделения между учащимися и затронутыми сотрудниками.
Огромное количество нарушений, связанных со школой, коснулось всего школьного округа, а не одной школы.
Что касается коэффициентов, это самые свежие цифры, означающие, что школы или колледжи могли открыться или закрыться в период утечки данных.
Частные колледжи включают как коммерческие, так и некоммерческие.
Хотя все 50 штатов (и округ Колумбия) теперь имеют законы об уведомлении об утечке данных, они могли не действовать в течение каждого года нашего исследования. Таким образом, могут быть некоторые нарушения, о которых не сообщалось.
При обсуждении процента затронутых школ / колледжей нам действительно нужно оставить здесь некоторую возможность для ошибки, поскольку в одном школьном округе / колледже могло быть более одного нарушения, но это дает нам представление о том, какие штаты получили наибольшую долю нарушение количества имеющихся у него заведений.
Примечание исследователя — 29.07.2020: Из-за ошибки в отчетах о количестве частных колледжей в нескольких штатах раздел «% колледжей, затронутых нарушениями» содержал некоторые ошибки. Это как сейчас исправлено.
Источники
https://nces.ed.gov/collegenavigator