Lietuvoje

2020.07.20 15:20

Mokinių ir mokytojų asmeniniai duomenys – lyg ant lėkštutės: juos panaudojus kiltų daug grėsmių

atnaujinta 17.15
Aida Murauskaitė, LRT.lt2020.07.20 15:20

Praėjusio penktadienio vakarą paaiškėjo, kad Lietuvos mokyklų mokinių, tėvų ir mokytojų asmeniniai duomenys, kurie kaupiami sistemoje emokykla.lt, nėra tinkamai apsaugoti ir galėtų būti panaudojami neteisėtai. Šią sistemą koordinuojanti Nacionalinė švietimo agentūra (NŠA) šį klausimą pradėjo spręsti pirmadienio rytą – agentūra pradėjo vidinį tyrimą, kreipsis į Valstybinę duomenų apsaugos inspekciją. Be to, NŠA paprašė Vilniuje esančios Karalienės Mortos mokyklos, iš kurios sulaukė tokios žinios, paaiškinimo.

Kaip informavo NŠA, asmeniniai nepilnamečių ir jų mokytojų duomenys pasiekiami apie 1200 žmonių, kurie turi prisijungimo kodus, mat yra mokyklų paskirti administratoriai.

Švietimo portalo informacinėje sistemoje emokykla.lt kaupiami mokytojų ir mokinių duomenys. Čia įvesti jų vardai, pavardės, darbo ar mokymosi vieta, elektroninio pašto adresai. Norintieji gali duomenis papildyti savo asmeninio telefono numeriu. Sistemą emokykla.lt sukūrė „Microsoft“.

Administratorius pastebėjo spragą

Kaip LRT.lt paaiškino Karalienės Mortos mokyklos komunikacijos vadovė Rita Meilūnaitė, jų mokyklos vadovės paskirtas emokykla.lt administratorius pastebėjo sistemos spragą ir apie tai informavo NŠA.

Kaip aiškino R. Meilūnaitė, per karantiną pasikeitė šios sistemos administravimo tvarka, mat reikėjo gausesnių išteklių nuotoliniam mokymui plėtoti. Taip kiekviena mokykla iš NŠA gavo administravimo teisę ir paskyrė administratorius tam reikalui koordinuoti. Norėdamas tinkamai pasirengti rugsėjui, Karalienės Mortos mokyklos paskirtas IT specialistas prisijungė prie sistemos ir pastebėjo, kad kiekvienam administratoriui prieinami ne tik konkrečios mokyklos mokinių, tėvų, mokytojų duomenys, bet ir visų kitų šalies mokyklų analogiški duomenys.

Grėsmė: galima manipuliuoti žmonėmis

Kas nutiko, LRT.lt apibūdino ir pats administratorius.

„Konkrečios mokyklos mokinių ir mokytojų duomenis turėtų matyti tik tos mokyklos paskirtas administratorius. Bet situacija yra tokia: paskirti administratoriai mato visa sistemą, bet kurios mokyklos duomenis. Jie mato prisijungimo kodus, el. pašto adresus, vardus, pavardes, kurioje mokykloje dirba ar mokosi.

Šiandien dar pastebėjau, kad galima per emokykla.lt prisijungti ir prie „Teams“ grupių, matyti susirašinėjimus“, – pasakojo IT specialistas, kuris nenorėjo skelbti savo pavardės.

„Kaip IT specialistas galvoju ir apie socialinę inžineriją. Surinkus tokius duomenis, galima manipuliuoti žmonėmis, siųsti el. laiškus apsimetant mokyklų sistemos dalimi. Nepatyręs vartotojas gali patikėti tuo ir suteikti daugiau asmeninės informacijos. Nežinau, ar tai klaida, ar neapsižiūrėjimas“, – įspėjo jis.

Turėjo teisę jungtis prie sistemos

Tuo tarpu NŠA aiškina šią situaciją kitaip.

Nacionalinė švietimo agentūra penktadienio vakarą sulaukė pranešimo apie neteisėtai nukopijuotus ir tretiesiems asmenims perduotus emokykla.lt sistemoje sukauptus duomenis. Kaip sakė NŠA atstovas Gintautas Dulskas, tai nebuvo sistemos „nulaužimas“.

„Administratorius, kuris oficialiai turi prisijungimo duomenis ir tokią teisę gavo iš Karalienės Mortos mokyklos direktorės, tuos duomenis nukopijavo ir neteisėtu būdu paviešino“, – sakė G. Dulskas.

Jis patikslino, kad prisijungimo kodus gauna visų mokyklų direktoriai. „Jei vadovas kompetentingas tvarkytis sistemoje pats, jis gali pats tai ir daryti. Bet dažniausiai įpareigojami IT specialistai ar kiti žmonės. Jie ir dirba toje sistemoje, mato pažymius.“

Kaip sakė G. Dulskas, NŠA sustabdė nelegaliai duomenis paviešinusio administratoriaus teises, kreipėsi į Karalienės Mortos mokyklą paaiškinimo, rengiamas kreipimasis į Valstybinę duomenų apsaugos inspekciją, taip pat pradėtas vidinis tyrimas pačioje NŠA.

Kol vyksta tyrimas, prieigą uždraudė

Kaip paaiškino NŠA Infrastruktūros plėtros departamento direktorius Eduardas Daujotis, administratorių yra tiek, kiek mokyklų.

„Gali būti ir vienas asmuo dirbantis keliose mokyklose. Jais gali būti mokyklų vadovai arba mokyklų vadovų prašymu administratoriaus teisės priskiriamos mokyklos darbuotojui“, – sakė agentūros atstovas.

Kaip nutiko, kad administratoriams prieinami ne tik jų atstovaujamų mokyklų duomenys?

„Kaip ir kiekvienoje įstaigoje ar įmonėje, administratoriai turi teisę prieiti prie duomenų. Kitaip jie negalėtų atlikti savo darbų.

Mokyklų administratoriai turėjo prieigą prie dviejų naudotojų tvarkymo konsolių – https://portal.office.com/adminportal/home ir https://azure.microsoft.com/en-us/features/azure-portal/. Pastarosios konsolės aplinkoje tvarkytojai galėjo matyti
visus naudotojus. Tačiau noriu pabrėžti, kad duomenų tvarkytojas, nepriklausomai nuo duomenų apimties, yra atsakingas už duomenų saugą. Šiuo momentu, kol vyksta tyrimas, prieigą prie https://azure.microsoft.com/en-us/features/azure-portal/ konsolės uždraudėme“, – paaiškino E. Daujotis.

Jis patikslino, kad Švietimo, mokslo ir sporto ministerijai nupirkus „MS Office 365“ produktų licencijas „Microsoft Lietuva“ pasiūlė naudoti visame pasaulyje naudojamą „MS Office 365“ platformą, kad sklandžiau ir paprasčiau licencijos būtų paskirstomos per mokyklas.

Konfigūravimo darbus atliko „Microsoft“ partneriai Lietuvoje (bendrovė „Squalio“). Paslauga nemokama.

E. Daujotis pabrėžė, kad šiuo metu peržiūrimos ir griežtinamos taisyklės, suteikiančios mokyklų administratoriams teisę atlikti tam tikrus konkrečius veiksmus siekiant ateityje išvengti panašių incidentų.

NŠA: mums žinomi visi veiksmai

NŠA savo svetainėje pateikė tokį paaiškinimą:

„Nacionalinės švietimo agentūros (NŠA) projekte EMOKYKLA tvarkyti asmens duomenis teisiškai ir techniškai yra įgalioti mokyklų vadovai. Direktoriai gali suteikti specialias administratorių teises IT specialistams.

NŠA yra žinomi visi veiksmai, kuriuos atlieka konkretus mokyklos darbuotojas siekiant maksimaliai užtikrinti duomenų apsaugą. Taip siekiama užtikrinti, kad administratoriai neviršytų jiems suteiktų įgaliojimų ar netvarkytų duomenų kitais tikslais ar nevykdytų perteklinių duomenų tvarkymo operacijų ir pan.

Kiekviena mokykla yra atsakinga, kaip duomenų tvarkytojas, už tinkamą duomenų tvarkymą, įskaitant užtikrinimą, kad tam įgalioti administratoriai tvarkytų tik tuos duomenis, kurie būtini jų funkcijų vykdymui ir tik tais tikslais, kuriais jiems pavesta.

Svarbu paminėti, jog paviešinti duomenys buvo pasisavinti neteisėtu būdu, turint prisijungimus prie sistemos EMOKYKLA.

Dėl šio įvykio NŠA pateikė prašymą K. Mortos mokyklai paaiškinti įvykio aplinkybes apie tai, kad buvo pastebėta veikla viršijant administratoriaus funkcijoms vykdyti reikalingą apimtį. Be to, įstaigos ne darbo metu.

NŠA kreipsis į Valstybinę duomenų apsaugos inspekciją dėl galimo pažeidimo, kai įgaliotas mokyklos administratorius atliko duomenų kopijavimą galimai pažeisdamas jam reikalingų duomenų tvarkymo apimtį.“

Mums svarbus tikslumas ir sklandi tekstų kalba. Jei pastebėjote klaidų, praneškite portalas@lrt.lt