Вопиющее нарушение федерального закона FERPA в США

Александр Панасенко 04 Марта 2013 - 14:04

...

Университет штата Айова предоставлял персданные студентов, желающих получить разрешение на ношение оружия, полицейскому управлению округа Джонсон. В то время как многие учебные заведения используют Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) в качестве предлога для того чтобы попридержать секретную информацию, по крайней мере, один американский университет просто передает персональные данные своих студентов третьей стороне без получения разрешения на подобные действия.

Как выяснилось, университет штата Айова тайно делился персональными данными студентов с сотрудниками правоохранительных органов полицейского управления округа Джонсон, занимающимися выдачей разрешений на ношение оружия. По этому поводу одна национальная организация заявила, что такие полицейские негласно имеют «лицензию на шпионские действия».

Передаваемые данные представляли собой информацию об успеваемости студентов, которую шериф не имеет права просматривать при обработке запросов на получение лицензий на ношение оружия, так как подобная информация, в соответствии с положениями FERPA, попадает под государственную защиту от разглашения, пишет infowatch.ru.

Марк Браун, глава администрации ректора Университета Айовы, сказал, что в некоторых случаях эта информация помогает идентифицировать студента как "нарушителя спокойствия", а также может свидетельствовать о низкой успеваемости, признаках депрессии или агрессии.

Как выяснилось, университетские чиновники даже не проверяли, имеется ли у полиции официальное разрешение на использование персональных данных того или иного студента. Адвокат Университета Айовы заявил, что представители университета действовали, основываясь на том, что заявление на выдачу лицензии на ношение оружия, которое подписывали студенты, содержит пункт, разрешающий полиции получение и обработку персональных данных.

При этом по законам США разрешение на использование ПДн, подписанное заявителем, по умолчанию не распространяется на сведения об успеваемости ученика школы или университета. Согласно федеральному законодательству США, разрешение на использование персональных данных, защищаемых в соответствии с FERPA, должно содержать указание на конкретный вид информации.

В управлении полиции студентам говорили, что подписание разрешения на использование персональных данных необходимо для проверки уголовных правонарушений в прошлом. О том, что форма может быть использована для получения информации об академической успеваемости, заявителям не сообщалось.

Как стало известно, персональные данные студентов утекали из Университета Айовы на протяжении нескольких лет. За нарушения закона FERPA Федеральное правительство имеет право лишить университет всех федеральных выплат.

Следующая главная новость »

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!

Екатерина Быстрова 18 Февраля 2026 - 12:20

Атаки на сайты DDoS-атаки Общее Selectel

DDoS-2025: +25% атак, рекорд 569 Гбит/с и 7 172 атаки в месяц

В 2025 году DDoS-атаки на российский бизнес стали чаще, мощнее и заметно продолжительнее. Об этом говорится в аналитическом отчёте Selectel, подготовленном на основе данных собственного сервиса защиты. За год компания отразила 140 628 атак — это на 25% больше, чем в 2024-м.

В среднем ежемесячно фиксировалось около 11,7 тыс. инцидентов, а самый «горячий» месяц пришёлся на январь — тогда число атак превысило 14,6 тыс.

В декабре был зафиксирован и антирекорд по числу атак на одного клиента — 7 172 за месяц, что на 73% больше прошлогоднего максимума.

Растёт не только количество, но и «вес» атак. Максимальный объём одной из них достиг 569 Гбит/с — плюс 38% год к году. Пиковая скорость составила 193 млн пакетов в секунду, что на 16% выше показателя 2024 года. Объёмные атаки традиционно нацелены на переполнение каналов связи, а высокоскоростные — на истощение вычислительных ресурсов.

Атаки стали и дольше. Общее время, в течение которого клиенты находились под воздействием DDoS, составило 22 743 часа — на 67% больше, чем годом ранее. Максимальная суммарная длительность атак на одного клиента достигла 863 часов — почти 36 календарных дней. Самый продолжительный одиночный инцидент длился 353 часа, то есть около 15 дней без перерыва.

По словам руководителя направления продуктовой безопасности Selectel Антона Ведерникова, в 2025 году усилился тренд на так называемые «зондирующие» и «ковровые» атаки — относительно слабые, но частые. Их цель — разведка и поиск уязвимых мест в инфраструктуре. После этого по найденным целям могут наноситься уже точечные и более мощные удары. По сути, DDoS окончательно перестали быть разовой проблемой и превратились в постоянный операционный риск.

Интересно, что разнообразие типов атак сократилось. Почти 87% всех инцидентов пришлось всего на два типа — TCP SYN Flood и TCP PSH/ACK Flood. При этом к концу года доля SYN Flood достигла 65%. А вот UDP Flood, ранее довольно распространённые, практически сошли на нет.

SYN Flood работает за счёт массовой отправки запросов на установление соединения, из-за чего сервер накапливает «полуоткрытые» сессии и перестаёт справляться с легитимным трафиком. В случае PSH/ACK Flood система перегружается потоком поддельных TCP-пакетов, на обработку которых тратятся ресурсы.

Данные отчёта основаны на анализе трафика в дата-центрах Selectel. Защита работает на сетевом и транспортном уровнях (L3 и L4), а фильтрация трафика, по оценке компании, позволяет выявлять и отсекать подавляющее большинство нелегитимных запросов.

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!