Włamanie do dziennika elektronicznego Librus
Przypomnijmy, że 18 stycznia doszło do włamania do dziennika elektronicznego w Zespole Szkół Ekonomiczno-Gastronomicznych im. Stanisława Staszica w podwarszawskim Otwocku. W jego wyniku uczniom wystawiono oceny śródroczne (jedynki) z jednego z przedmiotów. Dodatkowo rozsyłane były wulgarne wiadomości.
Jeszcze tego samego dnia rodzice i uczniowie szkoły zostali poinformowani przez wicedyrektorkę placówki, że nastąpiło włamanie na konto w Librusie. Jak podała szkoła doszło do tego poprzez przejęcie konta jednego z nauczycieli. Sprawa została zgłoszona policji.
Minister edukacji Barbara Nowacka powiedziała, że otrzymała informacje o trzech przypadkach włamania do e-dzienników. Zaznaczyła, że MEN nie odpowiada za tworzenie dzienników elektronicznych i przechowywanie baz danych.
Librus: Nie doszło do złamania systemu zabezpieczeń
Prezes Librus Sp. z o.o. Marcin Kempka w liście otwartym do minister Barbary Nowackiej podkreślił, że w szkole w Otwocku „nie doszło do »przełamania zabezpieczeń systemu«, lecz do przejęcia konta nauczyciela i wykorzystania go do działań w dzienniku elektronicznym konkretnej szkoły, czyli upraszczając, do nieuprawnionego wykorzystania loginu i hasła nauczyciela”.
Kempka zaznaczył, że obecnie standardem podnoszenia bezpieczeństwa kont jest uwierzytelnianie dwuskładnikowe, czyli tzw. 2FA. „Dla Librusa bezpieczeństwo danych uczniów, rodziców i nauczycieli jest obszarem absolutnie priorytetowym. Od lat udostępniamy szkołom narzędzia, takie jak właśnie 2FA. Inwestujemy w zabezpieczenia techniczne, monitoring i mechanizmy ograniczające ryzyko przejęcia danych dostępowych. Prowadzimy szkolenia i kampanie edukacyjne” - poinformował.
Prezes Librus Sp. z o.o. postuluje zmianę rozporządzenia dotyczącego prowadzenia dokumentacji przebiegu nauczania i wprowadzenie wiążących zapisów obligujących do wykorzystywania rozwiązania 2FA w e-dziennikach – tak, aby objęły one każdą szkołę i każdy system – komercyjny czy publiczny.
MEN: Obowiązujące przepisy zobowiązują do zabezpieczenia danych
W odpowiedzi szefowa resortu edukacji wskazała, że bezpieczeństwo danych przetwarzanych w dziennikach elektronicznych powinno stanowić jeden z podstawowych priorytetów. Jednocześnie jednak podkreśliła, że obecnie obowiązujące przepisy w sposób jednoznaczny nakładają obowiązek zabezpieczenia danych gromadzonych w dziennikach elektronicznych przed dostępem osób nieuprawnionych na dostawców tych dzienników.
Prawo, zdaniem minister edukacji, musi być proste i nieprzeregulowane. Dwuskładnikowe uwierzytelnianie może być bowiem już teraz wprowadzone obowiązkowo przy logowaniu się, bez oczekiwania na dodatkowe regulacje prawne. Wystarczy, że dostawca komercyjnego narzędzia sam podejmie taką decyzję.
Trwają prace nad państwowym dziennikiem elektronicznym
Nowacka poinformowała, że MEN widzi potrzebę stworzenia centralnego, państwowego dziennika z bezpiecznym systemem logowania się opartym o systemy mObywatel. Wspólnie z Ministerstwem Cyfryzacji przygotowywany jest pilotaż tego rozwiązania. 1 września 2027 roku planowana jest pierwsza faza wdrożenia państwowego dziennika elektronicznego w szkołach.
Wiceminister edukacji Katarzyna Lubnauer odnosząc się do sprawy włamań do e-dzienników powiedziała, że „po to m.in. innymi robimy dziennik elektroniczny państwowy, żeby mieć pewność nie tylko kwestii dostępności, tego, że to będzie narzędzie dostępne za darmo dla nauczycieli i samorządów, ale również ze względu na bezpieczeństwo”.
