Napad sajber-bezbednosti na kompaniju koja poseduje Canvas sistem za upravljanje učenjem — koji koriste škole od predškolskog uzrasta do završetka srednje škole i univerziteti širom Sjedinjenih Američkih Država — potencijalno je ugrozio podatke milione učenika i nastavnika.
To je značajan sajber-napad koji odzvanja poput proboja PowerSchool iz 2024. godine, rekao je Doug Levin, suosnivač i direktor K12 Security Information Exchange, neprofitne organizacije posvećene pomoći školama K-12 da spreče sajber-napade. Upravo je završio briefing poziv — drugi ovog nedelje — sa članovima K12 SIX o incidentu.
„Poslednji put kada smo okupili ljude ovako, bio je tokom incidenta sa PowerSchool-om,” rekao je.
Hakerska grupa pod imenom ShinyHunters preuzela je odgovornost za proboj u Instructure-u, vlasniku Canvas-a. Kompanija je otkrila proboj 29. aprila, navodi FAQ stranica na Instructure-ovom sajtu.
ShinyHunters kaže da je pristupila informacijama iz 9.000 škola širom sveta, prenosi Associated Press, i zapretila je da će podatke objaviti 12. maja. Education Week nije mogao da potvrdi šta ShinyHunters traži od Instructure-a da ne objavi ukradene podatke.
Napad je doveo do toga da Instructure isključi Canvas sa mreže u četvrtak, čime je izazvan haos u visokom obrazovanju jer su mnogi univerziteti usmereni na polaganje završnih ispita i objavljivanje završnih ocena. Mnoge škole K-12 takođe su trpele prekide.
Instructure je izjavio da je angažovao spoljne forenzičke stručnjake da istraže slučaj.
„Jučе, Instructure je otkrio da neovlašćeni akter uključen u naš tekući sigurnosni incident menja stranice koje su se pojavljivale kada su neki učenici i nastavnici bili povezani,” saopštila je kompanija u petak. „Iz predostrožnosti smo odmah isključili Canvas sa mreže kako bismo obuzdali pristup i dodatno istražili. Potvrdili smo da je neovlašćeni akter iskoristio problem povezan sa našim nalogima Free-For-Teacher. Kao rezultat toga, doneli smo tešku odluku da privremeno zatvorimo naloge Free-For-Teacher. To nam daje poverenje da ćemo obnoviti pristup Canvas-u, koji je sada potpuno ponovo online i dostupan za korišćenje.”
Škole Orange County u Floridi su među distriktima koji su dobili obaveštenje o mogućem proboju od Instructure-a. Kompanija je distriktu saopštila da su imena, adrese e-pošte, poruke poslata putem Canvas platforme i brojevi identifikacije učenika među podacima koje su hakera verovatno pristupili. Još uvek nema dokaza da su broj socijalnog osiguranja, datumi rođenja ili finansijske informacije kompromitovane.
Škole Orange County su porodicama saopštile da su privremeno onemogućile pristup Canvas-u iz razloga povećane opreznosti, kako učenici, nastavnici i roditelji ne bi mogli da se prijave na sistem koji bi i dalje mogao biti kompromitovan. Distrikt je takođe upozorio roditelje da paze na prevare i da prijave sumnjive poruke distriktu.
Drugi distrikti u Sjedinjenim Državama, od Arlington Public Schools u Virdžiniji do San Diego Unified School District u Kaliforniji, takođe su, prema porukama upućenim roditeljima, obavešteni od Instructure-a da bi mogli biti pogođeni hakom.
Napor za zaštitu podataka je deo rasta broja visokoprofilisanih hakovanja
Proboj podataka predstavlja poslednji događaj u nizu visokoprofilisanih bezbednosnih incidenata kod dobavljača K-12 iz poslednjih nekoliko godina, poput napada na PowerSchool iz 2024. godine, koji je takođe široko korišćen sistem za upravljanje učenjem.
PowerSchool je brzo platio otkupninu kako bi obezbedio brisanje ukradenih podataka, ali je haker nastavio da kontaktira pojedinačne distrikte u pokušajima da ih iznudi.
Matthew Lane, koji je imao 19 godina i bio je student prve godine na fakultetu kada je hakovao PowerSchool, proglašen je krivim za sajber-napad u novembru.
Napadači iza ovog najnovijeg proboja verovatno su i sami mladi. Associated Press izveštava da je ShinyHunters labava povezanost tinejdžera i mladih odraslih ljudi iz Sjedinjenih Država i Ujedinjenog Kraljevstva. Grupa je prethodno ciljala Infinite Campus i McGraw-Hill, prema New York Times, ali ti proboji su bili manje razrađeni.
Postojala su izveštavanja da su učenici primećivali poruke o iznudi kada su se prijavili na Canvas poslepodne 7. maja, ali su zahtevi kasnije tog dana uklonjeni sa ShinyHunters-ove stranice za curenje podataka, rekao je Levin.
Iako je kompanija podelila neke informacije o incidentu na svom sajtu, „to nisu dovoljne informacije da ljudi donesu sud o bezbednosti Instructure-a,” rekao je Levin. „Ljudi nisu u situaciji da veruju da je Instructure bio dovoljno otvoren.”
Neki distrikti širom Sjedinjenih Država trenutno ne dozvoljavaju učenicima i zaposlenima pristup Canvas-u jer nisu sigurni u njegovu bezbednost, rekao je Levin. Drugi ga koriste za nastavak nastave, ali pažljivo prate događaje.
„Moramo da uradimo mnogo posla” da bismo zaštitili škole
Sajber-napadi postaju teži za rešavanje kako distrikti sve više oslanjaju na digitalne tehnologije za nastavu i operacije. Sajber-kriminalci takođe postaju sofisticiraniji zahvaljujući napretku tehnologije, posebno veštačkoj inteligenciji.
Ipak, najbolje prakse za odbranu mreže škole se nisu promenile, kaže se u komentarima stručnjaka za sajber-bezbednost.
Distrikti moraju da urade svoju dužnost pre nego što se odluče na korišćenje proizvoda neke firme, temeljito pregledaju njene procedure za sajber-bezbednost i privatnost podataka i postave jasna očekivanja u ugovoru o tome šta sledi posle napada kompanije.
Distrikti bi trebalo da redovno vrše procene tehnološkog rizika kako bi identifikovali i razumeli ranjivosti, redovno prave sigurnosne kopije podataka i čuvaju ih offline, te obučavaju zaposlene i učenike o najboljim praktikama sajber-bezbednosti.
Važno je da distrikti imaju plan za slučaj napada koji opisuje kako bi reagovali i obavestili zajednicu, kao i kako bi osigurali nastavak učenja ako su njihovi digitalni alati onemogućeni. Distrikti bi trebalo da vežbaju ovaj plan kao vežbu protiv požara.
Međutim, nije fer misliti da bi distrikti mogli uspešno da odbrane protiv hakera ovakvog kalibra, rekao je Levin. ShinyHunters su „produktivni i ciljaju mnoge mete unutar i van obrazovanja, uključujući i uspešno kompromitovanje nekih od najvećih kompanija u SAD,” dodao je.
„Moramo da uradimo mnogo posla pre nego što bismo imali sigurnost da ovakvi pretnje možemo zadržati napolju,” rekao je. „Distrikti trebaju resurse i podršku da bi primenili ove najbolje prakse.”
Većina tehnoloških lidera u K-12 (65%) kaže da su glavni izazovi u rešavanju bezbednosnih pitanja nedovoljno osoblja i nedostatak posvećenog budžeta, prema izveštaju US State of EdTech 2026 Udruženja za školsku mrežu (Consortium for School Networking). No administracija Trumpa smanjila je svoja ulaganja u bezbednost K-12, a mnoge državne i lokalne vlade suočavaju se sa manjkom budžeta.
„Šanse da dođe do incidenata su prilično visoke,” dodao je. „Ne mogu da vam kažem tačno kada biste mogli doživeti, ali uz obim i jačinu ovih incidenata, teško je ignoriati da ovaj problem postoji i da će ostati prisutan sve dok ga ne rešimo na sistematski način.”
