Minneapolis Kamu Okulları’nın 1 milyon dolar fidye ödemeyi reddetmesinin ardından Mart ayında 300 binden fazla öğrenci dosyası internette yayınlandı.
ABD’de fidye peşindeki bilgisayar korsanları, okullardan gizli belgeleri çalıyor ve internette yayıyor. Sansürsüz, mahrem ve müstehcen ayrıntıların olduğu belgelerde öğrencilerin cinsel saldırıları, psikiyatrik tedavi için hastaneye yatışları, istismarcı ebeveynler, okuldan kaçışlar ve hatta intihar girişimleri anlatılıyor.
Minnesota eyaletindeki Minneapolis’te bir okuldan sızdırılan dosyalardan birinde bir öğrenci, eski tacizcisiyle derslerde sürekli karşılaşmanın yarattığı travmayı hatırlayarak “Lütfen bir şeyler yapın” diye yalvarıyor. Diğer mağdurlar ise yataklarını ıslattıklarından ya da ağlayarak uyuduklarından bahsediyor.
Bu ayrıntıları içeren cinsel saldırı dosyalarının tamamı, 36 bin öğrencili Minneapolis Kamu Okulları’nın 1 milyon dolar fidye ödemeyi reddetmesinin ardından Mart ayında internete düşen 300 binden fazla dosya arasında yer alıyordu. İfşa edilen diğer veriler arasında tıbbi kayıtlar ve ayrımcılık şikayetleri de vardı.
Dijitalleştirilmiş veriler açısından zengin olan ABD okulları, hassas dosyaları titizlikle bulup toplayan bilgisayar korsanlarının başlıca hedefi konumunda.
Genellikle nakit sıkıntısı çeken okul bölgeleri, sadece kendilerini savunmak için değil, saldırıya uğradıklarında özenli ve şeffaf bir şekilde yanıt vermek için de son derece yetersiz donanıma sahipler. Özellikle çocukların Corona virüsü pandemisi sonrası toparlanmalarına yardımcı olurken ve daralan bütçelerle mücadele ederken, bu konuda daha da yetersiz kalıyorlar.
Minneapolis saldırısından aylar sonra yöneticiler, mağdurları bilgilendirme sözlerini yerine getirmediler. Hastanelerin aksine, okullardan bu bildirimi talep eden herhangi bir federal yasa mevcut değil.
Associated Press haber ajansı, cinsel saldırı dava dosyaları ifşa edilen altı öğrencinin ailesine ulaştı. AP muhabirinden aldıkları mesajla ilk defa durumdan haberdar olan aileler vardı. Oğlunun dava dosyasında 80 belge bulunan bir anne, “Gerçek şu ki, bizi hiçbir konuda bilgilendirmediler” dedi.
Okullar bir fidye yazılımı saldırısının farkına vardıklarında ise, veriler genellikle çoktan çalınmış oluyor. Mesela Los Angeles Birleşik Okul Bölgesi geçen Eylül ayında saldırıyı yakaladı; ancak 2 bine yakın eski öğrencinin psikolojik değerlendirmeleri ve tıbbi kayıtları dahil özel evrakları internete sızdı. Bölge yetkilileri saldırının tüm boyutlarını, Şubat ayına kadar açıklamadı.
Yakın zamanda veri hırsızlığına maruz kalan diğer büyük kentler arasında San Diego, Des Moines ve Tucson yer alıyor. Bu saldırıların ciddiyeti belirsizliğini korurken, hepsi ya bilgisayar korsanlarınca vurulduklarını kabul etmekte yavaş davranmakla ya da mağdurları bilgilendirmekte ayak sürümekle ya da her ikisiyle de eleştirildi.
Okullara yönelik fidye saldırılarının yarattığı esas sorunsa okulların kapanması, kurtarma maliyetleri ve hatta artan siber sigorta primleri değil. Açık internette ve karanlık ağda (dark web) bulunan özel kayıtların çevrimiçi olarak ifşa edilmesinin, personel, öğrenciler ve veliler için yarattığı travma çok daha kalıcı bir sıkıntı.
Siber güvenlik konusunda okullar geri kaldı
Fidye saldırılarına hedef olan başka kurumlar ağlarını güçlendirip bölümlere ayırırken, verileri şifrelerken ve çok faktörlü kimlik doğrulamayı zorunlu kılarken, okul sistemleri tepki vermekte daha yavaş davrandı.
Siber güvenlik firması Recorded Future’dan analist Allan Liska, fidye yazılımlarının şimdiye kadar 5 milyondan fazla ABD’li öğrenciyi etkilemiş olabileceğini ve okul bölgesi saldırılarının bu yıl artma eğiliminde olduğunu söyledi.
Federal olarak finanse edilen ve kar amacı gütmeyen bir kuruluş olan Center for Internet Security tarafından yapılan bir ankete göre, 2021 yılı sonuna kadar ABD’deki yaklaşık her üç okul bölgesinden biri ihlal edildi.
Kuruluşun siber tehdit istihbarat müdürü olan TJ Sayers, sadece üç yıl önce suçluların fidye yazılımı saldırılarında rutin olarak veri ele geçirmediğini söyledi. Şimdi ise bunun yaygın olduğunu ve çoğunun dark web’de satıldığını söyledi.
Minneapolis hırsızlığındaki suçlular özellikle agresifti. Çalınan verilerin bağlantılarını Facebook, Twitter, Telegram ve standart tarayıcıların erişemediği dark web’de paylaştılar.
AP’nin sızdırılan cinsel saldırı şikayetlerinden haberdar ettiği Minneapolisli ebeveynler kendilerini iki kat mağdur hissediyor. Çocukları zaten travma sonrası stres bozukluğu ile mücadele etti ve hatta bazıları okulu bıraktı. Şimdi de bu siber saldırının mağduru oldular.
Ailelerden birinin avukatı olan Jeff Storms, “Aile, bu son derece hassas bilgilerin çocuğun gelecekteki arkadaşları, romantik ilgi alanları, işverenleri ve diğerlerinin keşfetmesi için internette sonsuza kadar mevcut olduğunu öğrenmekten dehşete düşmüş durumda” dedi.
Minneapolis Okulları’nın sözcüsü Crystina Lugo-Beach, şu ana kadar kaç kişiyle temasa geçildiğini söylemedi ve AP’nin saldırıyla ilgili diğer sorularını yanıtlamadı.
Siber güvenlik firması Emsisoft’a göre ise olaya müdahale ekipleri okullara rutin olarak şeffaf olmamaları tavsiyesinde bulunuyor. Bunun nedeni, yasal sorumlulukla ilgili riskler ve fidye pazarlıkları konusundaki endişeler. Görünüşe göre Minneapolis okul yetkilileri de bu tavsiyeye uyarak 17 Şubat saldırısını önce şifreli bir şekilde “sistem arızası”, ardından “teknik sorun” ve daha sonra da “şifreleme hatası” olarak tanımladılar.
Ancak bir fidye yazılım grubu çalınan verilerin videosunu yayınladığında ve dosyaları sızdırmadan önce okul bölgesine fidyeyi ödemesi için 10 gün süre verdiğinde, saldırının boyutu netleşti.
Okul bölgesi, fidyelerin suçluları daha fazla kurbanı hedef almaya teşvik ettiğini söyleyen FBI’ın daimi tavsiyesine uyarak ödeme yapmayı reddetti.
Okullar teknoloji bütçelerini güvenliğe değil öğrenim araçlarına harcıyor
COVID-19 salgını sırasında okul bölgeleri, internet bağlantısı ve uzaktan eğitim harcamalarına öncelik verdi. Bilgisayar teknolojileri departmanları, genellikle gizlilik ve güvenlik pahasına,
öğrenci katılımını ve performansını takip etmek için yazılıma yatırım yaptı.
Kamu okulları için siber güvenlik parası ise sınırlı. Okul bölgeleri halihazırda sadece federal hükümetin dört yıl boyunca dağıtacağı 1 milyar dolarlık siber güvenlik hibesinden küçük bir pay alabiliyor.
Minnesota bilgi güvenliği baş sorumlusu John Israel, eyaletin bu yıl 3 bin 600 farklı kuruluş arasında paylaştırmak üzere 18 milyon dolar aldığını söyledi. Eyalet meclisi, okullarda siber ve fiziksel güvenlik için 22,5 milyon dolarlık ek hibe sağladı.
Gizli kalması gereken cinsel saldırı şikayeti internette yayınlanan Minneapolisli öğrencilerden birinin annesi için artık çok geç. Kendisini neredeyse “yeniden saldırıya uğramış” hisseden anne, “Gizli tuttuğumuz her şey dışarıda. Üstelik çok uzun bir süredir ortalıkta” dedi.
Kaynak: VOA / Associated Press
