Dziennik elektroniczny to duża wygoda i usprawnienie pracy nauczyciela i dyrektora. Jednak w związku z przeniesieniem wszelkich istotnych informacji do sieci, na nauczycielu i dyrekcji spoczywa duża odpowiedzialność za dane swoich uczniów i ich rodziców. Kradzież danych przez sieć jest o wiele łatwiejsza, niż kradzież papierowego dziennika i niesie za sobą poważniejsze konsekwencje, takie jak wgląd do danych archiwalnych, korespondencji, danych innych klas. Dlatego w związku z Dniem Bezpiecznego Internetu chcemy przypomnieć, jak pracownicy szkoły powinni chronić się przed przechwyceniem swojego hasła oraz co im grozi za niestosowanie procedur.

Ochrona dostępu do dziennika elektronicznego

Świadomość tego, jak ważne jest odpowiednie zabezpieczenie dostępu do dziennika elektronicznego jest niestety w dalszym ciągu niewielka. Pierwszym istotnym etapem zadbania o bezpieczeństwo danych jest ustawienie długiego i mocnego hasła, które trudno będzie złamać. Dobre hasło składa się z kombinacji przynajmniej 12 znaków, takich jak różnej wielkości litery, liczby i znaki specjalne.

Tymczasem wielu nauczycieli stosuje nieskomplikowane, łatwe do odgadnięcia hasła, używając w nich nazwy miesiąca, szkoły, czy wykładanego przedmiotu, albo imienia dziecka czy domowego zwierzęcia. Wymuszanie zmiany hasła przez program daje złudne poczucie bezpieczeństwa, bowiem ochrona nie jest wystarczająca, gdy modyfikacja ma charakter kosmetyczny np. wyłącznie liczby użytej w haśle. A jest to powszechna praktyka. Podobnie, jak wykorzystywanie jednego hasła w wielu miejscach, ze względu na przyzwyczajenie i problemy z zapamiętaniem.

Trzeba także pamiętać, że nawet jeśli hasło użyte przez nauczyciela jest bardziej złożone, to jego zdobycie przez ucznia wciąż jest możliwe. Do takiej kradzieży może dojść w wielu sytuacjach. Wystarczy, że uczeń wezwany do odpowiedzi podejrzy lub nagra komórką moment logowania się nauczyciela do dziennika. Może on również zainstalować prosty program przechwytujący klawiaturę komputera. Nie potrzeba do tego utalentowanego hakera – instrukcje, jak to zrobić, są łatwo dostępne w Internecie.

Konsekwencje przejęcia hasła nauczyciela i wymagane procedury

Jakie mogą być konsekwencje włamania na konto nauczyciela czy dyrektora? Niech za przykład posłuży post opublikowany w styczniu 2020 r. na jednej z grup użytkowników popularnego dziennika elektronicznego:

Tu „łupem” młodego hackera padły oceny i frekwencje jego i kolegów. Jednak to nie jedyne dane, które mogą ucierpieć. Jeżeli dojdzie do włamania na konto nauczyciela, to osoba niepowołana może uzyskać dostęp do wrażliwych informacji, takich jak:

dane osobowe uczniów i rodziców (pesele, adresy zamieszkania uczniów, telefony i adresy rodziców),
dane wrażliwe uczniów np. kto uczęszczana zajęcia religii, kto posiada orzeczenie lekarskie,
dostęp do wszystkich uwag i korespondencji z rodzicami i innymi nauczycielami.

Jak pokazuje zamieszczony powyżej screen w tym przypadku winne było wspomniane już proste hasło, którego odgadnięcie nie wymagało dużej filozofii. Niezależnie jednak od tego, w jakich okolicznościach doszło do włamania na konto, jak najszybciej po wykryciu tego faktu należy podjąć konkretne kroki.

Zgodnie z obowiązującym Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) administrator danych osobowych, czyli dyrektor szkoły zobowiązany jest w ciągu 72 godzin od stwierdzenia incydentu zgłosić naruszenie do odpowiedniego urzędu. Powinien również niezwłocznie poinformować o wycieku danych każdą osobę, której dane osobowe i dane wrażliwe znajdują się w systemie. W szczególności są to wszyscy rodzice i uczniowie. Kary nakładane przez urząd na instytucje w przypadku nieprzestrzegania tych procedur są ogromne.

Uwierzytelnianie dwuskładnikowe dostępu do dziennika elektronicznego

Czy istnieje dobre rozwiązanie na radzenie sobie z takimi zagrożeniami? Aktualnie najlepszym dostępnym zabezpieczeniem jest uwierzytelnianie dwuskładnikowe (tzw. silne uwierzytelnianie). Polega ono na dodatkowym potwierdzeniu dostępu do systemu z każdego nowego urządzenia. Najczęściej stosowanym drugim składnikiem uwierzytelnienia jest sms lub potwierdzenie w aplikacji mobilnej.

O tym, że jest to bardzo skuteczna metoda ochrony danych, świadczy fakt, że od trzeciego kwartału 2019 r. została wprowadzona przez wszystkie banki w Polsce (obowiązek ten nałożyła na nie unijna dyrektywa PSD2) . Opcję tę można (i warto) włączyć również m.in. na Facebooku, Instagramie, Twitterze, Allegro, w Gmailu i usługach Google.

Rozwiązanie dostępne jest także dla użytkowników dziennika elektronicznego mobiDziennik firmy WizjaNet. To jedyny obecnie dziennik elektroniczny w Polsce, który posiada takie zabezpieczenie. Przykładowa autoryzacja w aplikacji mobilnej widoczna jest na ekranie poniżej.

W przypadku dziennika elektronicznego nauczyciel musi zainstalować w swoim telefonie aplikację mobilną oraz aktywować taką funkcję w systemie. Od tego momentu, gdyby nawet ktoś niepowołany przejął jego hasło, nie zaloguje się do systemu, a nauczyciel zostanie poinformowany o próbie zalogowania. Każde logowanie na nowym komputerze lub urządzeniu mobilnym nauczyciel musi autoryzować przy pomocy swojego telefonu. Dzięki temu wszystkie szkolne dane, do których ma dostęp, są bezpieczne.