El Departamento de Educación de Minnesota (MDE) enfrenta críticas por su manejo de una violación de datos el 31 de mayo. Durante el ataque cibernético, se accedió a información sobre 95,000 estudiantes colocados en hogares de guarda en todo el estado. “Me sorprendió pero no me sorprendió”, dijo Hoang Murphy, director ejecutivo de Foster Advocates. “Esto era prevenible”. Según Murphy, su equipo se reunió con el MDE en marzo para expresar su preocupación después de que una filtración de datos afectara a las Escuelas Públicas de Minneapolis en febrero, detalla la nota de Canal 5 ABC.
“Nos reunimos con el Departamento y dijimos que probablemente seas el próximo, y que hay archivos enormes y vulnerabilidades que debes proteger con acogida”, dijo Murphy. Su frustración creció cuando MDE fue atacado cibernéticamente a fines de mayo. “Profesionalmente seguro, pero también es profundamente personal”, dijo Murphy. “Estuve en el sistema de crianza temporal de Minnesota. Es probable que mis datos estén en este conjunto de datos”.
Según el MDE, los datos a los que se accedió incluían nombres, fechas de nacimiento y condado de ubicación. La agencia dijo en un comunicado de prensa que los archivos fueron transferidos al MDE desde el Departamento de Servicios Humanos de Minnesota para cumplir con los requisitos de informes estatales y federales.
El estado utiliza un software llamado MOVEit para transferir archivos, objetivo de los atacantes. Las principales corporaciones, organizaciones y gobiernos, incluidos la BBC, British Airways y el gobierno de Nueva Escocia, también se vieron afectados por el ataque. Según el Departamento de Comercio de Minnesota, se atribuye al grupo de piratas informáticos ruso Clop, que explotó una vulnerabilidad de seguridad en el software de transferencia de archivos.
“Inmediatamente apagamos el servidor, implementamos la solución que nos proporcionó la empresa y comenzamos a evaluar a qué datos se accedió y quién estaba involucrado y cómo debemos notificar a estas personas”, dijo Kevin Burns, el portavoz de MDE, durante una entrevista, el 9 de junio.
En una actualización del viernes, Burns le dijo a Canal 5 ABC que el servidor ha permanecido fuera de línea desde el ataque y permanecerá fuera de línea hasta nuevo aviso.
Según Burns, la empresa ha descubierto dos vulnerabilidades adicionales desde el incidente inicial y ha proporcionado correcciones a MDE y MNIT. Agregó que no ha habido demandas de rescate, más ataques, ni se han publicado los datos en ninguna parte. El Departamento de Servicios Humanos de Minnesota dijo: “Siempre debemos estar en guardia para proteger la información confidencial, especialmente sobre los niños. Estamos agradecidos de que nuestros socios en el Departamento de Educación y MNIT actuaron rápidamente cuando se enteraron de este incidente. Cualquiera que esté preocupado por la posibilidad de que sus datos hayan estado expuestos debe comunicarse con el Departamento de Educación a través de su sitio web ”.
“No se puede quitar el timbre para que esta información no se pueda devolver”, dijo Murphy, a quien le preocupa que esta violación pueda poner a los niños de crianza en una posición aún más vulnerable. “Los Foster ya corren un riesgo increíblemente alto de robo de identidad”. Murphy explicó que también podría haber ansiedad de que la información personal a la que se acceda podría conducir a que se descubran detalles confidenciales de ubicación, como la razón por la cual un niño fue trasladado a un hogar de crianza.
“Incluso si esos datos no están disponibles públicamente, el temor de que se divulguen y el aislamiento de eso que ahora se está denunciando y de ser identificado como en un hogar de crianza es profundamente dañino”, dijo Murphy. “Creo que es realmente importante que el departamento, el estado, no minimice ese daño y lo reconozca plenamente”. Alienta a aquellos que se ven afectados a congelar su crédito, obtener un control de crédito y hablar con su banco.
“Solo asuma que sus datos fueron violados”, dijo Murphy. “Es mejor y más seguro para usted hacer esa suposición y luego tomar las medidas necesarias para protegerla”. MDE confirmó que se reunió con Foster Advocates a principios de esta primavera y habló sobre seguridad cibernética. El portavoz Kevin Burns dijo: “MDE y nuestros socios MNIT se toman muy en serio la protección y la seguridad de todos los datos y esta sigue siendo una de nuestras principales prioridades”.