Вопиющее нарушение федерального закона FERPA в США

Вопиющее нарушение федерального закона FERPA в США

Университет штата Айова предоставлял персданные студентов, желающих получить разрешение на ношение оружия, полицейскому управлению округа Джонсон. В то время как многие учебные заведения используют Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) в качестве предлога для того чтобы попридержать секретную информацию, по крайней мере, один американский университет просто передает персональные данные своих студентов третьей стороне без получения разрешения на подобные действия.

Как выяснилось, университет штата Айова тайно делился персональными данными студентов с сотрудниками правоохранительных органов полицейского управления округа Джонсон, занимающимися выдачей разрешений на ношение оружия. По этому поводу одна национальная организация заявила, что такие полицейские негласно имеют «лицензию на шпионские действия».

Передаваемые данные представляли собой информацию об успеваемости студентов, которую шериф не имеет права просматривать при обработке запросов на получение лицензий на ношение оружия, так как подобная информация, в соответствии с положениями FERPA, попадает под государственную защиту от разглашения, пишет infowatch.ru.

Марк Браун, глава администрации ректора Университета Айовы, сказал, что в некоторых случаях эта информация помогает идентифицировать студента как "нарушителя спокойствия", а также может свидетельствовать о низкой успеваемости, признаках депрессии или агрессии.

Как выяснилось, университетские чиновники даже не проверяли, имеется ли у полиции официальное разрешение на использование персональных данных того или иного студента. Адвокат Университета Айовы заявил, что представители университета действовали, основываясь на том, что заявление на выдачу лицензии на ношение оружия, которое подписывали студенты, содержит пункт, разрешающий полиции получение и обработку персональных данных.

При этом по законам США разрешение на использование ПДн, подписанное заявителем, по умолчанию не распространяется на сведения об успеваемости ученика школы или университета. Согласно федеральному законодательству США, разрешение на использование персональных данных, защищаемых в соответствии с FERPA, должно содержать указание на конкретный вид информации.

В управлении полиции студентам говорили, что подписание разрешения на использование персональных данных необходимо для проверки уголовных правонарушений в прошлом. О том, что форма может быть использована для получения информации об академической успеваемости, заявителям не сообщалось.

Как стало известно, персональные данные студентов утекали из Университета Айовы на протяжении нескольких лет. За нарушения закона FERPA Федеральное правительство имеет право лишить университет всех федеральных выплат.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru