Re: Notice of Cybersecurity Incident from a Third-Party IT Service Provider

French message will follow / Un message en français suivra

I am writing to inform you as a member of the Ashbury College community that one of our external administrative software providers, Blackbaud Inc., notified us on July 16 that it was the target of a cybersecurity incident it says it discovered in May 2020. Blackbaud has said that the incident occurred at some point beginning on February 7, 2020, and could have occurred intermittently until May 20, 2020. According to Blackbaud, this was a ransomware incident, and they were able to successfully expel the cybercriminal from their system. Blackbaud is one of the world’s largest cloud computing and software suppliers to the education, healthcare, and non-profit sectors, and we understand that the incident involved the data of a number of their client organizations in Canada, the U.S. and Europe including universities and CAIS schools.

According to Blackbaud, a backup file containing some personal information of constituents was removed and may have been accessed. It is important to know that Blackbaud has stated that the perpetrator did NOT gain access to sensitive encrypted information, such as credit card information, bank account information, usernames, passwords or social insurance numbers. Ashbury’s academic records were also NOT compromised in the incident. Ashbury does not use Blackbaud for health information storage or processing, therefore, such information was not affected by this event.

As far as Ashbury can ascertain, the incident may have affected certain student, alumni and constituent contact information, including phone numbers, email addresses, name and contact information of parent/guardians, information regarding engagement with the College (e.g. events activity, donations and awards), and for alumni and current students, their birthdates and country of birth/citizenship. Blackbaud has stated that based on their research and investigations by law enforcement and other third parties, they believe no data went beyond the perpetrator. Blackbaud has said they received confirmation that the information the cybercriminal removed has been destroyed.

While we believe the risk to be low, we are sharing this information with you out of an abundance of caution. As a best practice, we recommend you remain vigilant and promptly report any suspicious activity around your personal information. Please inform us or the police immediately if you are approached by anyone regarding this incident.

The protection of your personal information is critically important to Ashbury and we sincerely regret any inconvenience this may cause. We continue to evaluate the security aspects of our third-party tools, Ashbury’s security protocols, and are simultaneously notifying relevant data protection authorities. Rest assured, if we receive specific notification that the information of anyone in our school community has been used or disclosed in any manner connected with this incident, we will contact them directly.

Should you have any questions or concerns about this notice, please contact Ashbury’s Senior Risk Officer Simon Parker at simon.parker@ashbury.ca or 613-749-9630 x 309.

Sincerely,

Norman Southward
Head of School – Directeur

Objet : Avis d’incident de cyber sécurité émanant d’un fournisseur de services informatiques tiers

Je vous écris pour vous aviser, en tant que membre de la communauté Ashbury College, qu’un de nos fournisseurs externes de logiciels administratifs, Blackbaud Inc., nous a notifié le 16 juillet qu’il a été la cible d’un incident de cyber sécurité qu’il dit avoir découverte en mai 2020. Selon Blackbaud, l’incident s’est produit à un moment donné débutant le 7 février 2020, et aurait pu se produire par intermittence jusqu’au 20 mai 2020. Selon Blackbaud, il s’agissait d’un incident de rançon, et Blackbaud aurait réussi à expulser le cybercriminel de son système. Blackbaud est l’un des plus grands fournisseurs de logiciels et d’informatique en nuage au monde pour les secteurs de l’éducation, de la santé et des organisations à but non lucratif, et nous comprenons que l’incident a impliqué les données d’un certain nombre de leurs clients au Canada, aux États-Unis et en Europe, y compris des universités et des écoles CAIS.

Selon Blackbaud, un fichier de sauvegarde contenant certains renseignements personnels aurait été supprimé et pourrait avoir été consulté. Il est important de savoir que Blackbaud a déclaré que l’auteur n’a PAS eu accès à des renseignements sensibles cryptés, tels que des renseignements sur les cartes de crédit, les comptes bancaires, les noms d’utilisateur, les mots de passe ou les numéros d’assurance sociale. Le dossier scolaire d’Ashburyn’a pas non plus été compromis lors de l’incident. Ashbury n’utilise pas les services de Blackbaudpour le stockage ou le traitement des renseignements touchant la santé, par conséquent, ces informations n’ont pas été affectées par cet événement.

Dans la mesure qu’Ashbury puisse le vérifier, l’incident peut avoir touché certains coordonnés des étudiants, des anciens étudiants et d’autres membres de la communauté, dont notamment les numéros de téléphone, les adresses électroniques, le nom et les coordonnées des parents/tuteurs, les informations concernant l’engagement avec le Collège (par exemple, les activités liées aux événements, les dons et les prix), et pour les anciens étudiants et les étudiants actuels, leur date de naissance et leur pays de naissance/citoyenneté. Blackbaud a déclaré que, sur la base de ses recherches et des enquêtes menées par les forces de l’ordre et d’autres tiers, elle estime qu’aucune donnée n’a été communiqué à un tiers autre que l’auteur de cet acte. Blackbaud a déclaré avoir reçu la confirmation que les renseignements que le cybercriminel a enlevés ont été détruits.

Bien que nous estimions que le risque soit faible, nous vous transmettons ces informations avec beaucoup de prudence. Comme meilleure pratique, nous vous recommandons de rester vigilant et de signaler rapidement toute activité suspecte autour de vos renseignements personnels. Veuillez nous informer ou informer la police immédiatement si quelqu’un vous aborde au sujet de cet incident.

La protection de vos renseignements personnels est d’une importance capitale pour Ashbury et nous regrettons sincèrement tout inconvénient que cela pourrait causer. Nous continuons à évaluer les aspects de sécurité de nos outils tiers, les protocoles de sécurité d’Ashbury, et nous informons simultanément les autorités compétentes en matière de protection des données. Soyez assurés que si nous recevons une notification spécifique indiquant que les renseignements de toute personne de notre communauté scolaire ont été utilisés ou divulgués de quelque manière que ce soit en rapport avec cet incident, nous les en aviserons directement.

Si vous avez des questions ou des préoccupations concernant le présent avis, veuillez contacter le Responsable des risques d’Ashbury, Simon Parker, à simon.parker@ashbury.ca ou au 613-749-9630, poste 309.

Meilleures salutations,

Norman Southward
Directeur

Translate »