Kai leidžiame vaiką į mokyklą, galvojame apie daug dalykų – ar bus geri mokytojai, ar suras draugų, ar suspės su programa. Retai pagalvojame apie tai, kad mokykla kaupia daugybę informacijos apie mūsų vaiką. Ir kad ta informacija gali būti pažeidžiama.
O turėtume.
2023 metų pabaigoje Kauno technologijos universitetas patyrė rimtą kibernetinę ataką. Įsilaužėliai gavo prieigą prie darbuotojų asmens duomenų – vardų, pavardžių, asmens kodų, adresų, telefonų numerių. Dalis informacijos pasirodė viešoje erdvėje.
Tai ne pirmas ir tikrai ne paskutinis toks atvejis. Švietimo sektorius visame pasaulyje tampa vis patrauklesniu taikiniu kibernetiniams nusikaltėliams. Ir tam yra konkrečios priežastys.
Kodėl švietimo įstaigos – ypač jautrus sektorius
Švietimo įstaigos – nuo darželių iki universitetų – kaupia nepaprastai daug ir nepaprastai jautrių duomenų. Ir dažnai turi neproporcingai mažai resursų tiems duomenims apsaugoti.
Vaikų duomenys – ilgalaikė vertė
Suaugusiojo tapatybės duomenys juodojoje rinkoje turi tam tikrą kainą. Vaiko duomenys – didesnę.
Kodėl? Nes vaikas greičiausiai nesužinos apie tapatybės vagystę daugelį metų. Sukčiai gali naudoti vaiko asmens kodą kreditams, sutartims, netgi nusikalstamai veiklai – ir tai gali iškilti tik tada, kai jaunas žmogus pirmą kartą bandys atidaryti banko sąskaitą ar gauti paskolą.
Be to, mokyklose kaupiama ne tik bazinė informacija. Čia yra:
- Specialiųjų ugdymosi poreikių duomenys
- Sveikatos informacija (alergijos, lėtinės ligos, vaistai)
- Psichologiniai vertinimai
- Šeimos situacijos aprašymai
- Socialinių pedagogų pastabos
- Drausminiai incidentai
Visa tai – itin jautri informacija, kuri gali persekioti žmogų visą gyvenimą, jei patektų į netinkamas rankas.
Decentralizuota sistema, nevienodi standartai
Lietuvoje veikia tūkstančiai švietimo įstaigų – nuo mažų kaimo mokyklų iki didelių universitetų. Kiekviena turi savo IT sistemas, savo biudžetą, savo specialistus (arba jų neturi).
Didelės aukštosios mokyklos gali sau leisti IT saugumo komandas. Mažos mokyklos dažnai turi vieną žmogų, kuris rūpinasi viskuo – nuo sugedusio projektoriaus iki duomenų apsaugos.
Rezultatas – labai nevienodas saugumo lygis. O kadangi daugelis sistemų yra sujungtos (elektroniniai dienynai, registrai, e. sveikata), silpniausia grandis gali tapti įėjimo tašku į platesnes sistemas.
Atvira kultūra vs saugumo reikalavimai
Švietimo įstaigos tradiciškai orientuotos į atvirumą, bendradarbiavimą, dalinimąsi. Tai puiku ugdymo prasme, bet sukuria saugumo iššūkių.
Mokytojai dalinasi medžiaga, prisijungimo duomenimis, naudoja asmeninius įrenginius darbui. Studentai jungiasi prie tinklo su daugybe įrenginių. Svečiai, tėvai, partneriai – visi turi tam tikrą prieigą.
Griežti saugumo apribojimai dažnai suvokiami kaip kliūtis darbui. „Kodėl negaliu prisijungti iš namų?”, „Kodėl toks sudėtingas slaptažodis?”, „Kodėl negaliu naudoti savo USB?”
Rasti balansą tarp atvirumo ir saugumo – nuolatinis iššūkis.
Realios grėsmės, realūs padariniai
Kibernetinės grėsmės švietimo sektoriui nėra teorinės. Jos vyksta čia ir dabar.
Ransomware atakos
Išpirkos reikalaujantys virusai – viena didžiausių grėsmių. Užšifruojami visi mokyklos duomenys, reikalaujama išpirkos. Jei nėra atsarginių kopijų – pasirinkimai liūdni: mokėti nusikaltėliams arba prarasti viską.
Kai kurios mokyklos JAV ir Europoje buvo priverstos grįžti prie popierinių žurnalų savaitėms ar mėnesiams. Kai kurios – mokėjo išpirkas. Kai kurios – prarado mokslo metų duomenis.
Duomenų vagystės
Ne visos atakos siekia užšifruoti duomenis. Kai kurios – tiesiog pavogti. Mokinių, studentų, darbuotojų asmeninė informacija parduodama arba naudojama tolesnėms atakoms.
Socialinė inžinerija
Mokyklos – lengvas taikinys socialinės inžinerijos atakoms. Laiškas „nuo ministerijos” su prašymu atnaujinti duomenis. „Direktoriaus” skambutis buhalterijai su skubiu pavedimu. „Tėvelio” el. laiškas su prašymu išsiųsti vaiko duomenis.
Užimti, perpildyti darbu mokyklų darbuotojai ne visada turi laiko ir įgūdžių atpažinti apgaulę.
Grasinimų bangos
2023 metų rudenį Lietuvos mokyklos sulaukė masinės grasinimų bangos – šimtai elektroninių laiškų apie tariamai padėtus sprogmenis. Tai ne klasikinė kibernetinė ataka, bet parodė, kaip lengvai galima sutrikdyti švietimo sistemos darbą.
Ką daro valstybė
Būtų neteisinga sakyti, kad niekas nesirūpina. Reguliacinė aplinka griežtėja, reikalavimai auga.
BDAR reikalavimai
Bendrasis duomenų apsaugos reglamentas taikomas ir švietimo įstaigoms. Mokyklos privalo:
- Turėti duomenų apsaugos pareigūną
- Tvarkyti tik būtinus duomenis
- Informuoti apie duomenų tvarkymą
- Užtikrinti duomenų saugumą
- Pranešti apie pažeidimus
Valstybinė duomenų apsaugos inspekcija atlieka tikrinimus švietimo įstaigose ir fiksuoja pažeidimus. Dažniausi – perteklinis duomenų rinkimas, netinkamas dalinimasis informacija, nepakankamos saugumo priemonės.
Kibernetinio saugumo įstatymas
Naujasis Kibernetinio saugumo įstatymas, įgyvendinantis ES TIS2 direktyvą, apima ir švietimo sektorių. Tai reiškia griežtesnius reikalavimus, privalomą incidentų pranešimą, galimas baudas.
NKSC vaidmuo
Nacionalinis kibernetinio saugumo centras organizuoja mokymus, pratybas, teikia rekomendacijas. „PhishEx” pratybos tikrina darbuotojų gebėjimą atpažinti apgaulingus laiškus. Rezultatai rodo, kad mokymai veikia – bet taip pat rodo, kiek dar reikia dirbti.
Ką gali padaryti mokykla
Nepriklausomai nuo dydžio ir biudžeto, kiekviena švietimo įstaiga gali imtis bazinių priemonių.
Atsarginės kopijos – būtinybė
Jei yra tik vienas dalykas, kurį padarytumėte – tai atsarginės kopijos. Reguliarios, izoliuotos nuo pagrindinio tinklo, testuojamos. Tai vienintelė tikra apsauga nuo ransomware.
Atnaujinimai – ne prabanga
Pasenusi programinė įranga – atviros durys įsilaužėliams. Atnaujinimai turi būti prioritetas, ne „kai turėsime laiko”.
Darbuotojų mokymai – investicija
Žmogus – silpniausia ir stipriausia grandis. Reguliarūs mokymai, kaip atpažinti apgaulingus laiškus, kaip elgtis su duomenimis, kodėl svarbu stiprūs slaptažodžiai – tai ne vienkartinis seminaras, o nuolatinis procesas.
Prieigos valdymas – minimalizmas
Ne visi turi turėti prieigą prie visko. Mokytojas neprivalo matyti visų mokinių sveikatos duomenų. Sekretorius – psichologo pastabų. Kuo mažiau žmonių turi prieigą, tuo mažesnė rizika.
Profesionali pagalba – protinga investicija
Mažos mokyklos negali turėti pilnavertės IT komandos. Bet gali turėti patikimą partnerį. Profesionali serverių priežiūra ir kibernetinis saugumas gali būti prieinamesni, nei daugelis mano – ypač lyginant su potencialiais nuostoliais.
Ką gali padaryti tėvai
Tėvai nėra bejėgiai. Jūs turite teisę žinoti ir klausti.
Klauskite mokyklos
- Kokie duomenys apie mano vaiką renkami?
- Kam tie duomenys prieinami?
- Kaip jie saugomi?
- Kiek laiko saugomi?
- Ar mokykla turi duomenų apsaugos pareigūną?
Gera mokykla turėtų gebėti atsakyti į šiuos klausimus. Jei negeba – tai signalas.
Būkite atidūs su sutikimais
Mokyklos prašo įvairių sutikimų – fotografavimui, dalyvavimui projektuose, duomenų teikimui trečiosioms šalims. Skaitykite, ką pasirašote. Turite teisę nesutikti su tuo, kas nėra būtina ugdymo procesui.
Stebėkite vaiko skaitmeninį pėdsaką
Periodiškai patikrinkite, ar vaiko vardu nebuvo atidarytos sąskaitos, pateiktos paraiškos. Yra paslaugų, leidžiančių stebėti asmens kodo naudojimą.
Mokykite vaikus
Kibernetinis saugumas – ne tik mokyklos reikalas. Vaikai turi žinoti apie stiprius slaptažodžius, apie tai, kokia informacija yra privati, apie pavojus internete.
Dažniausiai užduodami klausimai
Ar mokykla gali fotografuoti mano vaiką be sutikimo?
Su mokymosi procesu susijęs fotografavimas (klasės nuotraukos dokumentams) – paprastai taip, remiantis sutartimi. Tačiau nuotraukų skelbimas viešai (socialiniuose tinkluose, svetainėje) reikalauja atskiro sutikimo. Turite teisę nesutikti, ir mokykla privalo tai gerbti.
Ką daryti, jei sužinojau apie duomenų nutekėjimą mokykloje?
Kreipkitės į mokyklos administraciją ir duomenų apsaugos pareigūną. Jei atsakymas netenkina – galite pateikti skundą Valstybinei duomenų apsaugos inspekcijai. Taip pat verta stebėti, ar vaiko duomenys nėra naudojami neteisėtai.
Ar mokykla gali dalintis vaiko duomenimis su trečiosiomis šalimis?
Tik su teisėtu pagrindu. Dalintis su kitomis valstybės institucijomis (socialinėmis tarnybomis, policija) – tam tikrais atvejais taip. Dalintis su privačiomis įmonėmis (būrelių organizatoriais, maitinimo tiekėjais) – tik su tėvų sutikimu arba kai tai būtina sutarties vykdymui.
Kiek laiko mokykla gali saugoti vaiko duomenis?
Skirtingi duomenys saugomi skirtingą laiką, pagal archyvavimo taisykles. Tačiau BDAR reikalauja, kad duomenys nebūtų saugomi ilgiau, nei būtina. Baigus mokyklą, dalis duomenų turėtų būti ištrinta, dalis – archyvuota ribotam laikui.
Ar galiu pareikalauti ištrinti visus vaiko duomenis?
Ne visus. Mokykla privalo saugoti tam tikrus duomenis pagal įstatymus (pvz., baigimo dokumentų kopijas). Tačiau galite prašyti ištrinti duomenis, kurie nebėra būtini – pavyzdžiui, senas psichologo pastabas ar nebeaktualią sveikatos informaciją.
Ką daryti, jei mokykla nesilaiko duomenų apsaugos reikalavimų?
Pirmiausia – kreipkitės į mokyklos administraciją raštu. Jei negaunate tinkamo atsakymo – į savivaldybės švietimo skyrių. Jei ir tai nepadeda – į Valstybinę duomenų apsaugos inspekciją, kuri gali atlikti tyrimą ir taikyti sankcijas.
Ar elektroninis dienynas yra saugus?
Populiariausi elektroniniai dienynai (Tamo, Mano dienynas) turi saugumo priemones, tačiau nė viena sistema nėra 100% saugi. Svarbu, kad tėvai naudotų stiprius slaptažodžius, nesadalintų prisijungimo duomenų, atsijungtų po naudojimo viešuose kompiuteriuose.
Ar mokykla gali stebėti, ką vaikas daro mokyklos kompiuteryje?
Taip, jei tai mokyklos įranga ir vaikas apie tai informuotas. Mokykla turi teisę stebėti savo įrangos naudojimą saugumo tikslais. Tačiau tai neturėtų apimti asmeninio turinio ar komunikacijos už mokyklos ribų.
Žvilgsnis į ateitį
Švietimo skaitmenizacija tik gilės. Nuotolinis mokymasis, dirbtinis intelektas, personalizuotas ugdymas – visa tai reiškia dar daugiau duomenų, dar daugiau sistemų, dar daugiau sąsajų.
Kibernetinis saugumas švietimo sektoriuje – ne IT skyriaus reikalas. Tai bendruomenės reikalas. Mokyklų vadovų, mokytojų, tėvų, pačių mokinių.
Vaikai – labiausiai pažeidžiama grupė. Jie negali patys apsiginti, negali stebėti savo duomenų, dažnai net nesupranta, kas vyksta. Mūsų pareiga – jais pasirūpinti.
Tai reiškia klausti nepatogių klausimų, reikalauti atsakomybės, investuoti į saugumą net tada, kai „viskas veikia”. Nes kai nebeveiks – bus per vėlu.
Jūsų vaiko duomenys – ne mokyklos nuosavybė. Tai jūsų vaiko ateitis. Ir ji verta apsaugos.
