Il 28 dicembre 2024, PowerSchool ha subito un grave incidente di dati che ha esposto le informazioni personali di milioni di studenti e insegnanti. Questo evento ha sollevato molte preoccupazioni tra le istituzioni educative e ha richiesto una rapida risposta per mitigare i danni. In questo articolo, esploreremo i dettagli dell’incidente, i rischi associati e forniremo consigli per le istituzioni educative su come affrontare questa situazione.
Dettagli dell’incidente
Il 28 dicembre 2024, il portale di supporto clienti PowerSource di PowerSchool è stato accesso utilizzando credenziali compromesse, esponendo le informazioni personali di milioni di studenti e insegnanti. Secondo Education Week, PowerSchool sta ancora determinando l’esatta quantità di individui coinvolti, ma sta lavorando per notificare i distretti interessati e ha già notificato la polizia[1].
Rischi associati
L’incidente di dati di PowerSchool rappresenta un grave rischio per le istituzioni educative. I dati personali esposti possono essere utilizzati per attività di phishing, identità rubata e altri tipi di cybercrime. Inoltre, l’incidente potrebbe violare la FERPA (Family Educational Rights and Privacy Act), che regola l’accesso e la divulgazione delle informazioni studentesche.
Risposte di PowerSchool
PowerSchool ha assunto una posizione proattiva rispetto all’incidente. Hanno comunicato proattivamente ai clienti SIS (Sistema di Gestione degli Studenti) il 7 gennaio 2025 e hanno continuato a fornire aggiornamenti regolari[3]. Inoltre, hanno assicurato che la polizia sia stata notificata e che non credono che i dati accessati siano stati condivisi o resi pubblici.
Consigli per le istituzioni educative
- Notifica immediata: Se un incidente di dati viene scoperto, è fondamentale notificare immediatamente l’assicuratore. Molte politiche di cyber sicurezza hanno limiti temporali per la notifica, quindi è cruciale seguire le linee guida della politica[1].
- Comunicazione trasparente: La trasparenza è essenziale durante una crisi di dati. Le istituzioni educative dovrebbero comunicare chiaramente con i genitori, gli studenti e il personale sulle misure di sicurezza prese e sui passaggi successivi.
- Collaborazione con l’assicuratore: Prima di ingaggiare fornitori esterni o servizi legali, è importante lavorare con l’assicuratore per determinare i passaggi successivi e ottenere l’approvazione per le spese[1].
- Misure di sicurezza: Le istituzioni educative dovrebbero rafforzare le misure di sicurezza per prevenire future violazioni. Ciò include la revisione delle politiche di accesso, l’aggiornamento delle password e l’implementazione di sistemi di autenticazione più sicuri.
- Formazione del personale: La formazione del personale sulla sicurezza dei dati è fondamentale. Le istituzioni educative dovrebbero offrire corsi regolari per sensibilizzare il personale sui rischi dei dati e sulle best practice per la gestione dei dati.
- Monitoraggio e risposta: Dopo un incidente di dati, è importante monitorare costantemente la situazione e rispondere rapidamente a qualsiasi nuova minaccia. Ciò include il monitoraggio delle attività anomale e la collaborazione con le autorità per prevenire ulteriori danni.
L’incidente di dati di PowerSchool rappresenta un grave rischio per le istituzioni educative, ma con una risposta rapida e una comunicazione trasparente, è possibile mitigare i danni e proteggere le informazioni personali. Le istituzioni educative dovrebbero seguire i consigli sopra elencati per affrontare questa situazione e assicurare la sicurezza dei dati in futuro.
Fonte: https://techcrunch.com/2025/01/22/what-powerschool-isnt-saying-about-its-massive-student-data-breach
