Молчание – золото: школы США превратились в идеальную цель для вымогателей

Страх репутационных потерь превращает школы в соучастников киберпреступлений.


e460qufysft5ild7s124vl4gimyp8eme.jpg


Школы США продолжают страдать от кибератак, но руководство учебных округов систематически скрывает масштабы утечек данных, оставляя жертв без защиты. По данным расследования The 74, за последние пять лет было зафиксировано более 300 атак на образовательные учреждения. В большинстве случаев администрация либо недоговаривает о последствиях, либо прямо вводит в заблуждение родителей, учеников и сотрудников.

Школьные власти часто уверяют, что персональные данные остались в безопасности, но спустя месяцы, а иногда и годы, вынуждены признавать утечку конфиденциальной информации. В обнародованных хакерами данных встречаются записи о специальных образовательных программах, психическом здоровье учащихся и даже документы о случаях сексуального насилия. Однако из-за правовых лазеек такие факты редко становятся достоянием общественности.

Причина в том, что первым делом после атаки учебные заведения обращаются не в полицию, а к страховым компаниям и их юристам, которые стараются минимизировать ответственность школ перед пострадавшими. Именно они нанимают специалистов по кибербезопасности, кризисных менеджеров и переговорщиков с вымогателями, но все эти действия попадают под защиту адвокатской тайны. В результате родители и сотрудники узнают о масштабах утечек лишь из сообщений хакеров, а не от администрации.

В 2023 году было зафиксировано 121 атака программ-вымогателей на школы и колледжи США, но эксперты считают, что это лишь вершина айсберга. Исследования показывают, что школы с киберстраховкой чаще идут на выплату выкупа, поскольку страховые компании предпочитают заплатить хакерам, а не судиться с пострадавшими. По словам специалистов, это лишь подогревает преступный рынок.

Школы также скрывают решения о выплате выкупа. По информации The 74, в ряде округов администрации втайне одобрили переводы значительных сумм преступникам, но ни сотрудники, ни родители не были уведомлены. В некоторых случаях файлы все равно утекли в сеть, несмотря на платежи. Например, в округе Суитуотер, Калифорния, школа заплатила $175 000, но данные 22 000 человек все равно оказались в открытом доступе.

В ряде штатов, включая Калифорнию и Мэн, школы обязаны уведомлять жителей о компрометации их данных. Однако нередко между атакой и официальным признанием утечки проходят месяцы. В Миннеаполисе, например, после атаки группы Medusa администрация публично отрицала кибер инцидент в течение семи месяцев, пока журналисты не доказали обратное. Документы, украденные хакерами, содержали сведения о расследованиях случаев насилия, психологических кризисах учеников и дисциплинарных нарушениях.

Даже в тех случаях, когда школы все же информируют пострадавших, их уведомления написаны так, чтобы ничего не прояснить. Вместо конкретных сведений используются расплывчатые формулировки вроде «ваша информация могла быть скомпрометирована». Юристы советуют избегать слова «кибератака» и заменять его на «аномальную активность», чтобы уменьшить вероятность исков.

Система киберстрахования лишь усугубляет ситуацию: в 2024 году учебные заведения сообщали о резком росте страховых взносов, но это не привело к улучшению защиты. Некоторые школы, как выяснили журналисты, даже не знали, насколько серьезна утечка, пока родители и журналисты не начали находить украденные файлы в открытом доступе.

Из-за слабого регулирования большинство школ не несут никакой ответственности за сокрытие утечек. Федеральное законодательство о защите персональных данных студентов не требует уведомлять жертв, если информация утекла не по вине школы. Государственные законы различаются: в некоторых штатах уведомление обязательно, в других – нет. Это позволяет администрациям скрывать инциденты, опасаясь репутационных потерь и судебных исков.

Специалисты отмечают, что единственным способом изменить ситуацию может стать жесткое регулирование и обязательная прозрачность при утечках данных. Пока же жертвы атак узнают о своей уязвимости слишком поздно, а школы продолжают делать вид, что ничего не произошло.