Dalsza część tekstu poniżej.
Otwock. Włamanie do dziennika elektrycznego w szkole
W niedzielę, 18 stycznia doszło do włamania do dziennika elektronicznego Librus w Zespole Szkół Ekonomiczno-Gastronomicznych im. Stanisława Staszica w podwarszawskim Otwocku. Jak podali przedstawiciele placówki, cyberprzestępcy przejęli konto jednego z nauczycieli.
W poniedziałek, 19 stycznia, komentując tę sprawę, ministra edukacji Barbara Nowacka powiedziała, że otrzymała informacje o trzech przypadkach włamania do e-dzienników. Zaznaczyła, że ministerstwo nie odpowiada za tworzenie dzienników elektronicznych i przechowywanie baz danych.
– To jest działalność stricte komercyjna. Nie znamy przyczyn (włamania - red.), więc nie chciałabym zbyt dużo mówić o tym, dlaczego tak się stało, co się wydarzyło, bo po prostu tego nie wiemy – powiedziała.
Zaznaczyła, że resorty edukacji i cyfryzacji prowadzą prace nad stworzeniem centralnego, państwowego dziennika elektronicznego. System logowania do niego oparty ma być na mObywatelu.
Z kolei wiceministra edukacji Katarzyna Lubnauer, odnosząc się do sprawy włamań do e-dzienników, powiedziała: "Po to m.in. innymi robimy dziennik elektroniczny państwowy, żeby mieć pewność nie tylko kwestii dostępności, tego, że to będzie narzędzie dostępne za darmo dla nauczycieli i samorządów, ale również ze względu na bezpieczeństwo".
Dyrekcja Zespołu Szkół Ekonomiczno-Gastronomicznych w Otwocku wydała oświadczenie, w którym poinformowała, że w niedzielę stwierdzono naruszenie ochrony danych osobowych, polegające na nieautoryzowanym dostępie osoby trzeciej do konta jednego z nauczycieli szkoły. Sprawca dokonał nieuprawnionej modyfikacji ocen śródrocznych z języka polskiego oraz rozesłał wiadomości treści o charakterze wulgarnym i obraźliwym.
- Naruszenie dotyczy danych osobowych uczniów oraz ich rodziców/opiekunów prawnych w zakresie obejmującym: imiona i nazwisko, informacje o wynikach w nauce, informacje o frekwencji oraz dane kontaktowe powiązane z kontem w dzienniku - podano.
Szkoła poinformowała, że natychmiast po stwierdzeniu naruszenia, podjęto działania zmierzające do wyjaśnienia przyczyny ujawnienia danych i wdrożenia działań zapobiegających takim sytuacjom w przyszłości oraz, że konto, z którego korzystał sprawca zostało zablokowane, a poprawna dokumentacja ocen została przywrócona. Dodano, że pracownicy szkoły zostali przeszkoleni z zasad bezpiecznego przetwarzania danych osobowych i otrzymali wytyczne dotyczące korzystania z systemów informatycznych.
Bezpieczeństwo szkolnych danych w sieci - jak chronić dzienniki elektroniczne?
Prezes Librus Sp. z o.o. Marcin Kempka w wystosowanym we wtorek, 20 stycznia, liście otwartym do szefowej MEN podkreślił, że w szkole w Otwocku "nie doszło do przełamania zabezpieczeń systemu, lecz do przejęcia konta nauczyciela i wykorzystania go do działań w dzienniku elektronicznym konkretnej szkoły, czyli upraszczając, do nieuprawnionego wykorzystania loginu i hasła nauczyciela".
- Warto podkreślić, że incydenty polegające na przejęciu danych uwierzytelniających są dziś jednym z najczęstszych problemów cyberbezpieczeństwa w wielu branżach, w tym często w polskich szkołach — niezależnie od tego, czy system, z którego placówka korzysta, jest komercyjny czy byłby państwowy - dodał.
- Trzeba jednak uczciwie powiedzieć, że nawet najlepiej zaprojektowany i zabezpieczony system będzie podatny na incydenty, jeżeli użytkownicy nie będą stosować udostępnionych im zabezpieczeń. Zarówno na poziomie logowania pojedynczego użytkownika, jak i na poziomie rozwiązań udostępnionych administratorowi systemu, czyli szkole - wskazał Kempka.
Zaznaczył, że obecnie standardem podnoszenia bezpieczeństwa kont jest uwierzytelnianie dwuskładnikowe, czyli tzw. 2FA.
- Dla Librusa bezpieczeństwo danych uczniów, rodziców i nauczycieli jest obszarem absolutnie priorytetowym. Od lat udostępniamy szkołom narzędzia, takie jak właśnie 2FA. Inwestujemy w zabezpieczenia techniczne, monitoring i mechanizmy ograniczające ryzyko przejęcia danych dostępowych. Prowadzimy szkolenia i kampanie edukacyjne - poinformował.
- Z praktyki wiemy jednak, że w obliczu braku jednoznacznych wymogów prawnych w oświacie i wsparcia organizacyjnego dla placówek, wiele z nich nie wdraża tego rozwiązania - napisał Kempka. Podał, że tylko 18,63 proc. nauczycieli korzysta obecnie z 2FA w logowaniu do e-dziennika Librusa.
- To niestety oznacza, że aż 81,37 proc. kont nauczycieli nie wymaga podania drugiego składnika, czyli jest potencjalnie zagrożone przejęciem do nich dostępu. Niestety m-Obywatel czy alternatywa w postaci publicznego systemu tego nie zmieni, ponieważ problemem nie jest brak dostępnych narzędzi zabezpieczających, ale brak świadomości, że korzystanie z nich jest w dzisiejszej rzeczywistości konieczne - zaznaczył prezes Librus.
Zobacz także:
- Rosnąca fala oszustw telefonicznych. "Scenariusz przemyślany, żeby osoba się dała zmanipulować"
- Niebezpieczeństwa w sieci. "Szukał w tzw. darknecie, czy ktoś byłby w stanie zabić jego ojca"
- Szantażowali ofiary, że ujawnią intymne materiały. Poszkodowanych jest 70 osób
Autor: Berenika Olesińska
Źródło: PAP
Źródło zdjęcia głównego: Pixabay