„Nawet najlepiej zaprojektowany i zabezpieczony system będzie podatny na incydenty, jeżeli użytkownicy nie będą stosować udostępnionych im zabezpieczeń" – tak Marcin Kempka, prezes spółki Librus, dostawcy popularnego e-dziennika, skomentował informacje o włamaniach do dzienników elektronicznych. O takich incydentach informowała w poniedziałek minister edukacji Barbara Nowacka. Kempka ujawnił, że większość nauczycieli używających Librusa nie korzysta z już dostępnego sposobu na poprawienie bezpieczeństwa ich kont.
- Więcej informacji z kraju i ze świata znajdziesz na stronie głównej rmf24.pl
W niedzielę ktoś włamał się do dziennika elektronicznego Librus w Zespole Szkół Ekonomiczno-Gastronomicznych im. Stanisława Staszica w podwarszawskim Otwocku. Jak podała szkoła, doszło do tego poprzez przejęcie konta jednego z nauczycieli.
W poniedziałek minister edukacji Barbara Nowacka powiedziała, że dostała informacje o trzech przypadkach włamania do e-dzienników. Zaznaczyła, że ministerstwo nie odpowiada za tworzenie dzienników elektronicznych i przechowywanie baz danych.
To jest działalność stricte komercyjna. Nie znamy przyczyn, więc nie chciałabym zbyt dużo mówić o tym, dlaczego tak się stało, co się wydarzyło, bo po prostu tego nie wiemy - powiedziała. Przypomniała też, że resorty edukacji i cyfryzacji prowadzą prace nad stworzeniem centralnego, państwowego dziennika elektronicznego. System logowania do niego oparty ma być na mObywatelu.
Po to m.in. robimy dziennik elektroniczny państwowy, żeby mieć pewność nie tylko kwestii dostępności, tego, że to będzie narzędzie dostępne za darmo dla nauczycieli i samorządów, ale również ze względu na bezpieczeństwo - przekonywała wiceszefowa resortu edukacji Katarzyna Lubnauer.
Do sprawy włamań do e-dzienników odniósł się Marcin Kempka, prezes spółki Librus, dostawcy popularnego e-dziennika. Opublikował list otwarty do szefowej resortu edukacji.
Kempka podkreślił, że w szkole w Otwocku "nie doszło do przełamania zabezpieczeń systemu, lecz do przejęcia konta nauczyciela i wykorzystania go do działań w dzienniku elektronicznym konkretnej szkoły, czyli upraszczając, do nieuprawnionego wykorzystania loginu i hasła nauczyciela".
"Warto podkreślić, że incydenty polegające na przejęciu danych uwierzytelniających są dziś jednym z najczęstszych problemów cyberbezpieczeństwa w wielu branżach, w tym często w polskich szkołach — niezależnie od tego, czy system, z którego placówka korzysta, jest komercyjny czy byłby państwowy" - dodał.
"Trzeba jednak uczciwie powiedzieć, że nawet najlepiej zaprojektowany i zabezpieczony system będzie podatny na incydenty, jeżeli użytkownicy nie będą stosować udostępnionych im zabezpieczeń. Zarówno na poziomie logowania pojedynczego użytkownika, jak i na poziomie rozwiązań udostępnionych administratorowi systemu, czyli szkole" - wskazał Kempka.
Prezes Librusa zauważył w liście, że obecnie standardem w przypadku różnego rodzaju kont jest uwierzytelnianie dwuskładnikowe, czyli tzw. 2FA.
"Dla Librusa bezpieczeństwo danych uczniów, rodziców i nauczycieli jest obszarem absolutnie priorytetowym. Od lat udostępniamy szkołom narzędzia, takie jak właśnie 2FA. Inwestujemy w zabezpieczenia techniczne, monitoring i mechanizmy ograniczające ryzyko przejęcia danych dostępowych" - poinformował.
"Z praktyki wiemy jednak, że w obliczu braku jednoznacznych wymogów prawnych w oświacie i wsparcia organizacyjnego dla placówek, wiele z nich nie wdraża tego rozwiązania" - napisał Kempka. Podał, że tylko 18,63 proc. nauczycieli korzysta obecnie z uwierzytelniania dwuskładnikowego w logowaniu do e-dziennika Librusa.
"Aż 81,37 proc. kont nauczycieli nie wymaga podania drugiego składnika, czyli jest potencjalnie zagrożone przejęciem do nich dostępu. Niestety m-Obywatel czy alternatywa w postaci publicznego systemu tego nie zmieni, ponieważ problemem nie jest brak dostępnych narzędzi zabezpieczających, ale brak świadomości, że korzystanie z nich jest w dzisiejszej rzeczywistości konieczne" - zaznaczył prezes Librusa.
Zdaniem Kempki sprowadzanie dyskusji o e-dziennikach do założenia, że państwowy będzie lepszy od prywatnego, jest niewłaściwe i odwraca uwagę od istoty problemu.
"Warto skupić się na tym, co realnie może wyeliminować znaczną część, jeśli nie prawie wszystkie incydenty tego typu w szkołach, niezależnie od tego, kto dostarcza dziennik elektroniczny. Mam na myśli obowiązkowe stosowanie mechanizmu 2FA przy logowaniu przez pracowników szkół do systemu oraz udzielanie szkołom wsparcia we wdrażaniu tej praktyki" - zaapelował.
"Prosimy, żeby Ministerstwo Edukacji Narodowej odrobiło swoje zadanie domowe z przedmiotu, jakim jest "bezpieczeństwo danych uczniów" i nie traktowało tego zadania jako nieobowiązkowego. Prosimy o rozważenie zajęcia się kwestią konieczności stosowania w szkołach 2FA już teraz, ponieważ poprawa bezpieczeństwa danych uczniów jest na wyciągnięcie ręki i nie wymaga czekania do września 2027 roku. Dane uczniów mogą być bezpieczniejsze już dzisiaj" - podsumował autor listu do szefowej MEN.