Zaloguj się 
Dzieje się!
Udostępnij przez e-mail Seria włamań do e-dzienników. Oto, na co trzeba uważać
Po serii włamań do e-dzienników, przedstawiciele rządu sugerują, że państwowy e-dziennik będzie bezpieczniejszy. Producenci oprogramowania wskazują z kolei, że ich programy mają zabezpieczenia, tylko nauczyciele ich nie stosują. Wtóruje im portal Niebezpiecznik.pl, który zauważa, że zarówno w Librusie, jak i Vulcanie są funkcjonalności, które wraz z prostymi regułami internetowej higieny w wystarczający sposób zabezpieczyłyby nauczycieli przed kradzieżą ich danych logowania.
W niedzielę doszło do włamania do dziennika elektronicznego Librus w Zespole Szkół Ekonomiczno‑Gastronomicznych im. Stanisława Staszica w podwarszawskim Otwocku. Napastnik przejął konto jednego z nauczycieli. W ostatnich dniach zaatakowany – jak podaje serwis Niebezpiecznik.pl – został też system Vulcan w szkole na Dolnym Śląsku, gdzie z konta nauczycielki, która jest na urlopie macierzyńskim, ktoś nagle wysłał prośbę o wpłatę “35 zł na podany numer telefonu”, bo organizowana jest wycieczka do kina.
Dyrekcja Zespołu Szkół Ekonomiczno‑Gastronomicznych w Otwocku wydała oświadczenie, w którym poinformowała, że w niedzielę stwierdzono naruszenie ochrony danych osobowych, polegające na nieautoryzowanym dostępie osoby trzeciej do konta jednego z nauczycieli szkoły. Sprawca dokonał nieuprawnionej modyfikacji ocen śródrocznych z języka polskiego oraz rozesłał wiadomości o treści wulgarnej i obraźliwej.
„Naruszenie dotyczy danych osobowych uczniów oraz ich rodziców/opiekunów prawnych w zakresie obejmującym: imiona i nazwisko, informacje o wynikach w nauce, informacje o frekwencji oraz dane kontaktowe powiązane z kontem w dzienniku” – podano.
Szkoła poinformowała, że natychmiast po stwierdzeniu naruszenia podjęto działania zmierzające do wyjaśnienia przyczyny ujawnienia danych i wdrożenia działań zapobiegających takim sytuacjom w przyszłości oraz że konto, z którego korzystał sprawca, zostało zablokowane, a poprawna dokumentacja ocen została przywrócona. Dodano, że pracownicy szkoły zostali przeszkoleni z zasad bezpiecznego przetwarzania danych osobowych i otrzymali wytyczne dotyczące korzystania z systemów informatycznych.
„W ramach działań zapobiegających wystąpieniu podobnych sytuacji w przyszłości podjęto decyzję o przypomnieniu pracownikom zasad zabezpieczenia danych osobowych w systemach informatycznych” – czytamy.
Sprawę naruszenia zgłoszono do prezesa Urzędu Ochrony Danych Osobowych oraz na policję. Szkoła zaleca rodzicom i uczniom m.in. zmianę hasła do e-dziennika oraz poczty elektronicznej powiązanej z nim, niezwłoczną zmianę haseł w innych serwisach (jeśli używali tego samego hasła) oraz zachowanie czujności wobec ewentualnych prób wyłudzenia danych przez wiadomości e-mail i SMS.
Przedstawiciele rządu sugerują, że państwowy dziennik będzie bezpieczniejszy
W poniedziałek, komentując tę sprawę, ministra edukacji Barbara Nowacka powiedziała, że otrzymała informacje o trzech przypadkach włamania do e-dzienników. Zaznaczyła, że ministerstwo nie odpowiada za tworzenie dzienników elektronicznych i przechowywanie baz danych.
– To jest działalność stricte komercyjna. Nie znamy przyczyn włamania, więc nie chciałabym zbyt dużo mówić o tym, dlaczego tak się stało, co się wydarzyło, bo po prostu tego nie wiemy – powiedziała.
Zaznaczyła, że resorty edukacji i cyfryzacji prowadzą prace nad stworzeniem centralnego, państwowego dziennika elektronicznego. System logowania do niego oparty ma być na mObywatelu.
Z kolei wiceministra edukacji Katarzyna Lubnauer, odnosząc się do sprawy włamań do e-dzienników, powiedziała, że „po to m.in. robimy dziennik elektroniczny państwowy, żeby mieć pewność nie tylko kwestii dostępności, tego, że to będzie narzędzie dostępne za darmo dla nauczycieli i samorządów, ale również ze względu na bezpieczeństwo”.
Librus: mamy zabezpieczenia; ustawodawca nie wymaga ich od szkół, więc ich nie stosują
Prezes Librus Sp. z o.o. Marcin Kempka w wystosowanym we wtorek liście otwartym do szefowej MEN podkreślił, że w szkole w Otwocku „nie doszło do »przełamania zabezpieczeń systemu«, lecz do przejęcia konta nauczyciela i wykorzystania go do działań w dzienniku elektronicznym konkretnej szkoły, czyli, upraszczając, do nieuprawnionego wykorzystania loginu i hasła nauczyciela”.
„Warto podkreślić, że incydenty polegające na przejęciu danych uwierzytelniających są dziś jednym z najczęstszych problemów cyberbezpieczeństwa w wielu branżach, w tym często w polskich szkołach — niezależnie od tego, czy system, z którego placówka korzysta, jest komercyjny, czy byłby państwowy” – dodał.
„Trzeba jednak uczciwie powiedzieć, że nawet najlepiej zaprojektowany i zabezpieczony system będzie podatny na incydenty, jeżeli użytkownicy nie będą stosować udostępnionych im zabezpieczeń. Zarówno na poziomie logowania pojedynczego użytkownika, jak i na poziomie rozwiązań udostępnionych administratorowi systemu, czyli szkole" – wskazał Kempka.
Zaznaczył, że obecnie standardem podnoszenia bezpieczeństwa kont jest uwierzytelnianie dwuskładnikowe, czyli tzw. 2FA.
„Dla Librusa bezpieczeństwo danych uczniów, rodziców i nauczycieli jest obszarem absolutnie priorytetowym. Od lat udostępniamy szkołom narzędzia, takie jak właśnie 2FA. Inwestujemy w zabezpieczenia techniczne, monitoring i mechanizmy ograniczające ryzyko przejęcia danych dostępowych. Prowadzimy szkolenia i kampanie edukacyjne” – poinformował.
„Z praktyki wiemy jednak, że w obliczu braku jednoznacznych wymogów prawnych w oświacie i wsparcia organizacyjnego dla placówek wiele z nich nie wdraża tego rozwiązania” – napisał Kempka.
Podał, że tylko 18,63 proc. nauczycieli korzysta obecnie z 2FA w logowaniu do e-dziennika Librusa.
„To niestety oznacza, że aż 81,37 proc. kont nauczycieli nie wymaga podania drugiego składnika, czyli jest potencjalnie zagrożone przejęciem do nich dostępu. Niestety mObywatel czy alternatywa w postaci publicznego systemu tego nie zmieni, ponieważ problemem nie jest brak dostępnych narzędzi zabezpieczających, ale brak świadomości, że korzystanie z nich jest w dzisiejszej rzeczywistości konieczne” – zaznaczył.
„Po wielu latach działań edukacyjnych prowadzonych przez nas i inne firmy widać, że sama edukacja — bez wymogów i wsparcia legislacyjnego — ma naturalne ograniczenia” – napisał Kempka.
Dlatego postuluje zmianę rozporządzenia dotyczącego prowadzenia dokumentacji przebiegu nauczania i wprowadzenie wiążących zapisów obligujących do wykorzystywania rozwiązania 2FA w e-dziennikach – tak, aby objęły one każdą szkołę i każdy system – komercyjny czy publiczny.
„Tak długo jak bezpieczeństwo korzystania z dzienników elektronicznych przez pracowników szkół będzie w przepisach oświatowych pomijane, a tym samym »nieobowiązkowe«, tak długo takie sytuacje będą się powtarzać” – dodał.
Niebezpiecznik.pl: nauczyciele, aby uniknąć kradzieży loginu, muszą stosować się do prostych reguł
Portal Niebezpiecznik.pl zauważa z kolei, że w internecie regularnie publikowane są hasła wykradzione przez tzw. stealery. W tych bazach znajdują się dane dostępowe do kont nauczycieli do obu popularnych w Polsce platform e-dzienników.
Są to rezultaty kradzieży danych z zainfekowanych złośliwym oprogramowaniem komputerów samych użytkowników.
„Jeśli jakiś nauczyciel nie zmieniał hasła przez lata i/lub używał go w innych miejscach, to prawdopodobieństwo przejęcia jego konta na Librusie lub Vulcanie rośnie" – podkreśla Niebezpiecznik.pl.
Portal specjalizujący się w tematyce cyberbezpieczeństwa, podobnie jak producent, też radzi nauczycielom, aby włączyli sobie logowanie dwuskładnikowe. Można to zrobić zarówno w Librusie, jak i Vulcanie, gdzie dostępne jest logowanie za pomocą klucza, co sprawia, że – w ocenie Niebezpiecznik.pl – ten program jest jeszcze bezpieczniejszy.
Zgodnie z rozporządzeniem ministra edukacji w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej szkoła może, ale nie musi, prowadzić dziennik elektroniczny. Jeśli organ prowadzący zdecyduje się na prowadzenie e-dziennika w szkołach, to on wybiera dostawcę, a szkoła musi przestrzegać wymogów bezpieczeństwa określonych w rozporządzeniu.
Polecamy: E-learning 2.0. Tak sztuczna inteligencja zmienia reguły uczenia się
Źródło: PAP, XYZ
