E-dzienniki są zwykle postrzegane przez placówki oświatowe jako stabilny i odpowiednio zabezpieczony kanał komunikacji. Należy jednak podkreślić, że samo korzystanie z usług wyspecjalizowanego dostawcy e-dziennika nie jest tożsame z brakiem ryzyka oraz brakiem odpowiedzialności administratora w sytuacji wystąpienia naruszenia u dostawcy (podmiotu przetwarzającego). Dobrym przykładem jest ostatnia fala włamań na konta nauczycieli w e-dziennikach. Z kont nauczycieli w e-dziennikach Librus i Vulcan zaczęły być wysyłane wiadomości, których nikt w szkole nie napisał.
To, co w pierwszej chwili wyglądało jak „atak na system”, w rzeczywistości okazało się czymś znacznie bardziej niepokojącym. Nie doszło do włamania na serwery dostawców e-dzienników. Doszło do przejęcia kont konkretnych nauczycieli. To oznacza, że problem niekoniecznie musi wynikać z samej technologii, lecz z tego, jak szkoły zarządzają dostępami do systemów i dbają o bezpieczeństwo użytkowników oraz danych osobowych przetwarzanych przy pomocy tych systemów.
Dla administratora danych to moment, w którym e-dziennik przestaje być narzędziem organizacyjnym, a staje się potencjalnym źródłem naruszenia przepisów o ochronie danych, utraty zaufania rodziców i kryzysu komunikacyjnego, którego nie da się wyciszyć jednym komunikatem.
fot. z zasobów Canvy Pro
Co tak naprawdę się wydarzyło?
Incydenty, o których mowa, miały bardzo konkretny i niepokojący przebieg. Rodzice korzystający z e-dzienników Librus i Vulcan zaczęli otrzymywać z kont nauczycieli wiadomości, które nie miały nic wspólnego z bieżącą pracą szkoły. Były to m.in. fałszywe informacje organizacyjne, kłamliwe komunikaty, a w niektórych przypadkach treści obraźliwe lub wulgarne. Część wiadomości zawierała również prośby o pilne wpłaty pieniędzy, kierowane bezpośrednio do rodziców, pod pozorem organizacji wydarzeń szkolnych.
Wszystkie te działania miały jedną cechę wspólną. Nie były inicjowane przez nauczycieli, lecz przez osoby trzecie, które uzyskały dostęp do ich kont w e-dziennikach. Skala i różnorodność zdarzeń wskazują, że nie był to pojedynczy incydent ani problem ograniczony do jednej szkoły czy jednego systemu.
Na tym etapie pojawia się pytanie kluczowe z perspektywy ochrony danych osobowych:
W jaki sposób doszło do przejęcia kont i czy źródłem problemu był sam system e-dziennika?
Z informacji potwierdzonych przez dostawców e‑dzienników wynika, że sprawcy logowali się bezpośrednio na konta nauczycieli, wykorzystując prawidłowe dane uwierzytelniające. Jak wskazuje przedstawicielka firmy Vulcan:
„Nie posiadamy potwierdzonych informacji wskazujących na skuteczne ataki z wykorzystaniem techniki tzw. password spraying wymierzone w nasze systemy. (…) Nie otrzymaliśmy zgłoszeń potwierdzających scenariusze takie jak masowe zmiany ocen, wysyłanie wiadomości zawierających przemoc czy próby wyłudzeń realizowane w wyniku przełamania zabezpieczeń systemowych. Zgłoszenia, które sporadycznie do nas trafiają, dotyczą pojedynczych kont użytkowników i w większości przypadków są efektem nieuprawnionego dostępu wynikającego z naruszenia bezpieczeństwa danych uwierzytelniających po stronie użytkownika (np. ujawnienia hasła osobom trzecim).”.
Podobne stanowisko przedstawił Librus. W komunikacji z mediami podkreślono, że:
„Do włamań doszło z wykorzystaniem loginu i hasła, które były pozyskane przez atakujących m.in. z upublicznionych baz danych z wycieków (…) Przede wszystkim miała miejsce wysyłka wiadomości – w tym obraźliwych lub z linkami do zasobów zewnętrznych. W pojedynczych przypadkach – była to zmiany danych w e-dzienniku (głównie ocen). Należy jednak pamiętać, że system posiada rejestry zmian, dlatego placówka jest w stanie zweryfikować je i przywrócić dane do poprzedniego stanu, jeśli zajdzie taka potrzeba. Wielokrotnie wysyłaliśmy do użytkowników i dyrektorów szkół informacje, o tym, dlaczego uwierzytelnianie dwuskładnikowe jest przez nas rekomendowane oraz prośby o włączania i używanie tego rozwiązania. Administratorzy w szkołach mają narzędzia, którymi mogą wymuszać odpowiednie polityki bezpieczeństwa, jak np. obowiązkowe stosowanie 2FA na kontach nauczycieli. Dodatkowo w ostatnim czasie zaimplementowaliśmy funkcjonalność, która weryfikuje hasła z bazami skompromitowanych haseł i jeśli hasło użytkownika w nich występuje – zachęca lub wymusza jego zmianę (tu ponownie o tym, czy zmiana hasła jest obowiązkowa czy nie, decyduje szkoła jako administrator danych osobowych). Również te działania zostały poprzedzone kampanią informacyjną do naszych klientów. Ale fakty są takie, że obecnie 18,63% nauczycieli korzysta z 2FA. Ten wskaźnik wzrasta, ale bardzo powoli.”.
W praktyce oznacza to, że źródłem problemu nie był sam e‑dziennik, lecz wcześniejsze przejęcie danych logowania nauczyciela, najczęściej w wyniku złośliwego oprogramowania lub wielokrotnego używania tego samego hasła w różnych serwisach.
Dlaczego ten incydent jest ważny z perspektywy RODO?
Dla szkoły e‑dziennik nie jest wyłącznie narzędziem organizacyjnym. To system, w którym przetwarzane są dane osobowe uczniów, rodziców i pracowników, w tym dane o ocenach, frekwencji, zachowaniu czy sytuacji rodzinnej.
Nieuprawniony dostęp do konta nauczyciela oznacza realne ryzyko:
- naruszenia poufności danych uczniów i ich rodziców,
- wysyłania treści, które mogą naruszać dobra osobiste,
- podejmowania prób wyłudzeń pod pozorem komunikacji szkolnej,
- utraty zaufania do szkoły jako administratora danych.
Z punktu widzenia RODO nie ma znaczenia, że faktycznym sprawcą był podmiot trzeci, a nie pracownik szkoły nieposiadający stosownych uprawnień do dostępu do konta. Administrator danych ma obowiązek wdrożyć takie środki techniczne i organizacyjne, które adekwatnie chronią dane przed nieuprawnionym dostępem.
Odpowiedzialność szkoły, administratora systemu i IOD
W takich sytuacjach bardzo wyraźnie widać, jak istotny jest podział ról i odpowiedzialności po stronie szkoły. To szkoła jako administrator danych odpowiada za wybór systemu informatycznego, określenie zasad jego używania oraz egzekwowanie przyjętych polityk bezpieczeństwa. W praktyce oznacza to również podejmowanie decyzji dotyczących mechanizmów ochrony dostępu, w tym tego, czy uwierzytelnianie dwuskładnikowe jest włączone oraz czy jego stosowanie jest dla nauczycieli obowiązkowe.
Istotną rolę odgrywa także administrator systemu informatycznego, który dysponuje narzędziami pozwalającymi na bieżące zarządzanie bezpieczeństwem technicznym. To on może wdrażać i egzekwować polityki haseł, reagować na nietypowe lub podejrzane logowania, analizować logi systemowe i historię zmian w e-dzienniku, a także podejmować szybkie działania ograniczające skutki incydentu, takie jak blokada kont czy przywracanie danych do poprzedniego stanu.
Inspektor ochrony danych osobowych powinien natomiast zostać włączony na etapie oceny zdarzenia z perspektywy bezpieczeństwa ochrony danych osobowych. Jego zadaniem jest wsparcie administratora danych w analizie ryzyka, kwalifikacji incydentu oraz w podjęciu decyzji, czy w danym przypadku zachodzi obowiązek zgłoszenia naruszenia organowi nadzorczemu (Prezesowi UODO) lub poinformowania osób, których dane dotyczą.
Nauczyciel jako użytkownik systemu
Choć formalna odpowiedzialność za ochronę danych osobowych spoczywa na administratorze danych, rola nauczyciela jako użytkownika systemu ma kluczowe znaczenie praktyczne. To właśnie codzienne nawyki i decyzje podejmowane przy korzystaniu z e-dziennika w największym stopniu wpływają na poziom bezpieczeństwa danych. Ryzyko przejęcia danych logowania zwiększa m.in. używanie tego samego hasła w wielu serwisach, brak jego regularnej zmiany czy logowanie się na konta szkolne z prywatnych, niewystarczająco zabezpieczonych urządzeń. Problemem bywa również bagatelizowanie rekomendacji dotyczących dodatkowych mechanizmów ochrony dostępu.
Nie jest to zjawisko nowe ani zaskakujące. Zarówno Librus, jak i Vulcan od dłuższego czasu rekomendują stosowanie uwierzytelniania dwuskładnikowego jako podstawowego środka ograniczającego ryzyko przejęcia konta. Dane przekazywane przez Librus pokazują jednak, że z uwierzytelniania dwuskładnikowego korzysta obecnie jedynie 18,63% nauczycieli. Ten wskaźnik jasno obrazuje, że mimo dostępnych narzędzi i komunikacji po stronie dostawców, bezpieczeństwo kont użytkowników nadal pozostaje jednym z większych wyzwań w praktyce funkcjonowania e-dzienników.
Kwalifikacja zdarzenia jako naruszenia ochrony danych
Nie każde nieuprawnione logowanie do e-dziennika automatycznie stanowi naruszenie ochrony danych osobowych w rozumieniu RODO (przykład to chociażby nieudana próba logowania). Kwalifikacja takiego zdarzenia powinna być dokonana na podstawie oceny ryzyka, o której mowa w art. 32 RODO oraz w odniesieniu do definicji naruszenia ochrony danych osobowych, obejmującej m.in. nieuprawniony dostęp lub ujawnienie danych.
Kluczowe znaczenie ma ustalenie, czy w danym przypadku doszło do naruszenia poufności, integralności lub dostępności danych oraz jakie były rzeczywiste skutki zdarzenia. Ocena ta powinna uwzględniać w szczególności zakres danych, do których uzyskano dostęp, charakter tych danych, możliwość ich dalszego wykorzystania, a także potencjalny wpływ zdarzenia na prawa i wolności osób, których dane dotyczą.
Dopiero w wyniku takiej analizy administrator danych podejmuje decyzję, czy występuje ryzyko naruszenia praw lub wolności osób fizycznych, o którym mowa w art. 33 RODO, a w konsekwencji czy zachodzi obowiązek zgłoszenia naruszenia Prezesowi UODO w terminie 72 godzin od momentu jego wykrycia. W sytuacji stwierdzenia wysokiego ryzyka, administrator powinien również zawiadomić osoby, których dane dotyczą, zgodnie z art. 34 RODO.
W praktyce przeprowadzenie tej oceny wymaga ścisłej współpracy inspektora ochrony danych z administratorem systemu. Analiza logów, rejestrów zmian oraz innych dostępnych informacji pozwala odtworzyć przebieg zdarzenia, ustalić jego zakres i udokumentować podjęte działania. To właśnie ta dokumentacja stanowi podstawę do wykazania, że administrator danych dochował obowiązku wdrożenia adekwatnych środków bezpieczeństwa oraz prawidłowo ocenił skutki incydentu.
Działania szkoły w odpowiedzi na incydent
Fala incydentów związanych z e-dziennikami to dobry moment, aby uporządkować i zweryfikować stosowane zasady bezpieczeństwa. W praktyce warto zacząć od działań podstawowych, które realnie ograniczają ryzyko podobnych zdarzeń:
- obowiązkowe włączenie uwierzytelniania dwuskładnikowego na kontach nauczycieli,
- jasne i egzekwowane wymagania dotyczące haseł oraz ich okresowej zmiany,
- szkolenia dla użytkowników z zakresu cyberbezpieczeństwa i ochrony danych,
- czytelna procedura zgłaszania podejrzanych zdarzeń,
- regularne przeglądy uprawnień oraz aktywnych kont w systemie.
Równie istotna pozostaje komunikacja z rodzicami. Warto przypominać, że każda prośba o wpłatę pieniędzy lub przekazanie danych otrzymana za pośrednictwem e-dziennika powinna, w razie wątpliwości, zostać potwierdzona innym kanałem komunikacji, na przykład telefonicznie.
Incydent jako sygnał ostrzegawczy
Opisane incydenty pokazują, że wyzwania związane z e-dziennikami nie mają wyłącznie charakteru technicznego. W praktyce wynikają one ze sposobu organizacji bezpieczeństwa, zarządzania dostępami oraz codziennego korzystania z systemów przetwarzających dane osobowe. Są to obszary wymagające stałej uwagi i regularnej weryfikacji.
E-dziennik pozostaje jednym z kluczowych systemów przetwarzania danych osobowych w szkołach oraz podstawowym kanałem komunikacji z rodzicami. Zaniedbania w tym zakresie mogą szybko przerodzić się w sytuację kryzysową, wpływającą zarówno na ochronę danych, jak i na zaufanie do szkoły jako administratora danych.
Jeżeli chcesz zweryfikować stosowane w szkole środki bezpieczeństwa, procedury reagowania na incydenty lub podział ról i odpowiedzialności, możemy w tym pomóc.
Napisz do nas: bok@asystahr.pl
