亞省和安大略省的資訊與隱私專員聯合發布報告指出,在涉及兩省及美國地區的PowerSchool教育科技數據外洩事件中,受影響的學校顯然缺乏準備。
這起大規模洩密事件影響了全國數百萬加拿大人,其中包括亞省的41所學校。
洩露數據敏感 學校曾遭勒索
這起事件發生在2024年12月下旬,黑客利用PowerSchool客戶支持門戶PowerSource上被盜用的憑證,未經授權存取了敏感的學生和教職員工數據。
被洩露的數據包括學生的姓名、電話號碼、出生日期、亞省學號、家庭地址,以及基本的醫療警報細節等敏感資訊。
亞省資訊與隱私專員辦公室(OIPC)在今年5月報告,多間學校曾因這次數據外洩而收到勒索要求。
專員:缺乏監控與合約保障是主要漏洞
亞省與安省的聯合報告指出,教育機構在監控和監督PowerSchool的技術與安全保障方面,缺乏有效的政策和程序,並且在合約協議中未能納入必要的隱私和安全相關的規定。
報告強調:
- 合約缺陷: 部分學區與PowerSchool的合約,缺乏保障隱私和安全的關鍵條款。
- 監管不力: 學區未能有效監控軟體的安全保障措施,並允許對學生數據系統進行不必要的遠端存取。
- 應變不足: 學校缺乏足夠的數據洩露應變計畫或協議。
亞省資訊與隱私專員黛安·麥克勞德(Diane McLeod)週二(11月18日)強調:「保護隱私不會自然而然地出現。它需要公共機構共同努力,創建和實施政策及程序,以確保隱私受到保護。這是沒有捷徑的,必須完成。」
跨省協作調查 呼籲政府提供技術支援
安省資訊與隱私專員派翠西亞·科塞姆(Patricia Kosseim)建議,各學區應立即修訂與PowerSchool的合約,加強對技術安全的監督,並將遠端存取限制在必要範圍內。
她說:「最重要的是,這些努力將為學生、家長和教育工作者提供他們應得的個人資訊保護,以及一個可以信任的教育系統。」
兩省專員也共同呼籲各自的政府,透過採購槓桿來加強教育部門在與教育科技服務供應商談判時的議價能力,並提供技術指導,協助學區評估廠商的隱私和網路安全狀況,以履行監管責任。
Credit
Edmonton Journal
Privacy commissioner sounds alarm after Alberta student data breach findings released
CTV News Edmonton
‘Privacy does not happen on its own’: Report makes recommendations after mass student data breach
