教育机构因此次新冠疫情和虚拟学习而面临更多合规风险。了解如何在虚拟世界确保 FERPA 的合规性。
《家庭教育权与隐私权法案》(FERPA)是美国的联邦法律,该法案规定父母有权查看和申请修正其子女的教育记录,并对教育记录中的学生个人身份信息的发布有一定控制权。该法案赋予家长的这些权利将在学生年满18岁或被任何高中以上教育机构录取后进行转移。
学生记录包括(但不限于)成绩等级、成绩单、班级列表、学生课程表、学生财务信息、学生纪律档案、K-12学生的健康记录(如新冠疫情相关的个人数据)。根据 FERPA,教育机构必须保护所有学生记录中的个人身份信息(PII)。
该法案适用于根据教育部长管理的任何计划接受联邦基金的所有教育机构。任何教育机构违反 FERPA 规定,或将完全失去联邦的资金支持。FERPA 成文法位于 20 USC § 1232g,FERPA 法规位于 34 CFR Part 99。
远程教职员工和学生的 FERPA 合规风险上升
教育机构因新冠疫情而面临更多合规风险,这一点不足为奇。然而,许多教育机构并没有做好充分的准备以避免违反 FERPA 等数据隐私法。
以加州大学(UC)为例。2020年12月24日,该大学的 Accellion 文件传输设备(FTA)在一次有针对性的网络攻击中遭到破坏,造成重大数据泄露。根据加州大学发布的“常见问题解答”,此次事故中泄露的学生 PII 可能包括“姓名、地址、电话号码、社会安全号码、驾照信息、护照信息、银行路由号码和帐号等财务信息、健康相关福利信息、残疾信息、出生日期以及提供给学校的其他个人信息。”
遗憾的是,加州大学向学生甚至学校社区透露,部分 PII 已在2021年3月29日之前发布到互联网上。
除了当时已是加州大学学生的 PII 遭到泄露并被发布到网上之外,申请该校的新生也成了受害者。加州大学的“常见问题解答”中指出:“2020-2021学年申请加州大学的新生信息遭到泄露。这些信息可能包括出生日期、性别认同、家庭收入水平、种族和/或部落联系、第一语言、性取向、学术信息(GPA、考试成绩),以及是否接受过寄养服务等”。
为防止今后学生以及其他人员的 PII 泄露,加州大学通知社区目前已采取以下四个主要措施:
已停用 Accellion 技术
向更安全的解决方案过渡
与联邦调查局合作中
聘请外部网络安全专家开展进一步调查
在这份“常见问题解答”的后续章节中,加州大学还表示正在加强安全方面的控制、流程和程序。
没有充分做好 FERPA 合规准备的代价
当然,可能撤回联邦资金这一后果足以促使加州大学以及其他机构在2020年12月的袭击之前做好更充分的准备。如果这一代价还不够,再想一想加州大学因数据泄露而付出的额外代价。如下所示:
网络安全和取证咨询相关的高昂费用
短时间内“淘汰并替换”一种或多种技术解决方案产生的 IT 成本
受害者可能提起的诉讼相关法律费用
快速开发新的安全控制、流程和程序所需资源
决定从加州大学退学的现有学生和放弃申请加州大学的新生的学杂费损失
对加州大学品牌声誉的长�期损害
最重要的是,教育机构应做好充分准备,确保学生 PII 的安全,尤其考虑到近年网络攻击率猛增的情况。
虚拟世界的 FERPA 合规性
二十年来,Splashtop 一直为高级教育机构提供远程访问、远程支持和协作。正因如此,我们完全有资格为您提供如何遵守 FERPA 的典范做法,同时也能帮您为学生、教职员工提供虚拟学习环境。请按照以下4个经过验证的典范做法,确保学生的 PII 的安全性。
使用场景 #1:更新网络安全策略以体现“远程办公”
许多人不熟悉数据安全问题,甚至根本没有意识到自己的行为如何会导致数据泄露。为防止泄露学生的 PII,机构中的所有人都必须对此了然于心。
为更好地让员工了解数据安全问题,可以制定并与员工共享网络安全策略,指导员工如何保护企业数据的安全。IT 安全策略可以是一个简单的文档,其中应说明该文档存在的原因并提供所有员工应遵循的特定安全协议(以非技术术语撰写),同时还应该为在理解上需要额外帮助的员工提供联系方式(电子邮件或电话号码)。
Splashtop 如何遵循上述典范做法
在 Splashtop,我们制定了“安全策略”作为“技术与组织措施”(TOM)的一部分。“安全策略”描述了 Splashtop 实施和维护的安全和控制措施,用于保护我们存储和处理的数据。
我们的 IT 安全领域专业人员会定期审查并修改我们的 IT 安全策略。Splashtop 员工须每年完成信息安全培训,并遵守 Splashtop “行为准则”中规定的 Splashtop 企业道德行为、保密和安全策略。
如果您已制定安全策略但在允许远程办公后未对其进行更新,则可立即创建包含远程办公��规则和提示的远程办公安全策略。可侧重于远程员工对个人信息和公司数据安全的保护方法上,尤其是居家办公的员工。
使用场景 #2:培训员工并确保 IT 能够支持员工
如上所述,Splashtop 员工须每年完成信息安全培训,并遵守 Splashtop “行为准则”中规定的 Splashtop 企业道德行为、保密和安全策略。
我们让 IT 团队做好准备,通过以下方式支持远程员工:
帐户和密码政策:
为所有用户指定登录名,并通过强密码和双因素/多因素身份认证授予访问权限。
数据安全控制:
Splashtop 的数据安全控制包括基于角色的最小权限访问原则、访问监控和日志记录。所有用户在开始使用 Splashtop 系统时都具有最低级别的数据访问权限。
访问控制:
Splashtop 已实施访问控制来管理对数据和系统的电子访问。我们的访问控制基于权限级别、按需知悉以及系统访问人员职责分离原则。
安全事件响应:
Splashtop 已建立“安全事件响应”程序,旨在帮助 Splashtop 调查、响应、缓解和通知与 Splashtop 服务和信息资产相关的事件。
使用场景 #3:传输中和静态数据加密
员工在远程办公时,保护数据安全的两个关键是加密和访问控制。
加密:
Splashtop 对所有传输中和静态用户数据进行加密,所有用户会话均使用 TLS 安全建立。每个会话的访问内容始终通过256位 AES 加密。
访问控制:
Splashtop 已实施访问控制来管理对数据和系统的电子访问。我们的访问控制基于权限级别、按需知悉以及系统访问人员职责分离原则。
其他建议:�许多企业在没有合法理由的情况下会过度收集数据,Splashtop 则有意避免这种做法。Splashtop 不会收集敏感数据/信息,从而更容易与法规保持一致。我们仅收集、存储和处理有限的 PII,例如用户名(电子邮件)、密码和会话日志(供客户查看、故障排除等),并且 Splashtop 不会根据 GDPR 和 CCPA 指南出售客户信息。
典范做法 #5:使用安全的远程访问
Splashtop 的远程访问解决方案采用零信任方法。如果员工远程访问办公电脑或工作站,则可通过专门的 Splashtop 连接访问。Splashtop 的远程连接不在公司网络,这表明员工只能在远程桌面查看和使用数据(即 Word 文档),而且这些数据绝不会传输到公司网络之外。IT 安全负责人还可以通过 Splashtop 启用或禁用文件传输和打印功能。我们强烈建议启用这些功能以确保合规性。
Splashtop 远程访问引入了更多安全功能,例如设备身份验证、双因素身份验证(2FA)、单点登录(SSO)等。而 VPN 架构不具备此类高级安全功能。
结论:确保学生的 PII 安全,刻不容缓!
上述四个典范做法是非常简单的几个常规操作,不仅可以保护学生的 PII,还可以保护整个机构的安全。此外,还能防止因违反 FERPA 而引起广泛的数据泄露。简单的预防措施即可帮您节省补救成本,免遭品牌损害。
