Reklama

Szkoły w szoku po włamaniach do e-dzienników

W ostatnich dniach szkoły w całej Polsce mierzą się z falą włamań do e-dzienników Librus i Vulcan. Ministerstwo Edukacji Narodowej otrzymało już trzy oficjalne zgłoszenia, jednak rzeczywista skala zjawiska może być znacznie większa. Ministra edukacji Barbara Nowacka potwierdziła incydenty, zaznaczając, że systemy dzienników elektronicznych są produktami komercyjnymi, a resort nie odpowiada za ich bezpieczeństwo.

Do ataków doszło między innymi w Zespole Szkół Ekonomiczno-Gastronomicznych im. Stanisława Staszica w Otwocku, gdzie uczniom wystawiono jedynki z przedmiotu i wysyłano wulgarne wiadomości z konta nauczyciela. Wicedyrektorka szkoły Beata Ćwiek natychmiast poinformowała rodziców i uczniów o incydencie, apelując o ostrożność.

Uczniowie z jedynkami i obraźliwymi wiadomościami

W Otwocku włamywacze wystawili śródroczne jedynki i rozsyłali wulgarne wiadomości za pośrednictwem systemu Librus. W innym przypadku, w jednej ze szkół na Dolnym Śląsku korzystającej z dziennika Vulcan, z konta nauczycielki przebywającej na urlopie macierzyńskim rozesłano prośbę o wpłatę 35 zł rzekomo na wycieczkę klasową. Podobny incydent miał miejsce również w gminie Dragacz w województwie kujawsko-pomorskim.

Choć informacje o tych atakach są niepokojące, dostawcy e-dzienników – Vulcan i Librus – jednoznacznie wskazują, że nie doszło do przełamania zabezpieczeń systemowych. Włamania polegały na nieautoryzowanym zalogowaniu się na konta użytkowników za pomocą zdobytych danych logowania.

Konta nauczycieli przejęte przez hakerów

Jak potwierdzają przedstawiciele firm Vulcan i Librus, atakujący uzyskali dostęp do kont nauczycieli wykorzystując dane logowania, które najprawdopodobniej wyciekły z baz danych pochodzących ze złośliwego oprogramowania typu stealer. W wielu przypadkach nauczyciele posługiwali się tymi samymi hasłami przez wiele lat lub używali ich również w innych serwisach, co znacznie zwiększyło ryzyko przejęcia konta.

Firma Librus podała, że tylko 18,63% nauczycieli korzysta z dwuskładnikowego uwierzytelniania, mimo iż administratorzy szkół mają możliwość jego wymuszenia. Vulcan również informuje, że nie odnotowano masowych ataków typu password spraying, a incydenty są efektem przejęcia danych logowania przez osoby trzecie.

Reakcja MEN i zapowiedź państwowego dziennika

Ministra edukacji Barbara Nowacka i wiceministra Katarzyna Lubnauer zapowiedziały prace nad państwowym dziennikiem elektronicznym, który miałby zapewnić większe bezpieczeństwo danych. System miałby być zintegrowany z aplikacją mObywatel, a jego pierwsza faza wdrażania planowana jest na 1 września 2027 roku.

Lubnauer podkreśliła, że informacje zawarte w e-dziennikach, takie jak oceny i frekwencja, są danymi wrażliwymi, a obecny model oparty na prywatnych dostawcach nie zapewnia odpowiedniego poziomu bezpieczeństwa.

Jak chronić się przed cyberatakami w e-dzienniku

Dostawcy systemów e-dziennikowych apelują do szkół i użytkowników o stosowanie podstawowych zasad bezpieczeństwa. W szczególności:

  • włączanie uwierzytelniania dwuskładnikowego (2FA),
  • regularna zmiana haseł,
  • unikanie stosowania tych samych haseł w różnych serwisach,
  • ostrożność przy otwieraniu wiadomości zawierających prośby o pieniądze lub linki do zewnętrznych stron.

W systemie Librus 2FA można włączyć poprzez ustawienia konta, a Vulcan oferuje nawet logowanie za pomocą kluczy sprzętowych zgodnych z protokołem FIDO2. Obie firmy prowadzą kampanie informacyjne wśród użytkowników, ale jak przyznaje Librus, tempo wdrażania zabezpieczeń jest zbyt wolne.

Szkoły są również proszone o natychmiastowe zgłaszanie incydentów odpowiednim służbom – policji lub Centralnemu Biuru Zwalczania Cyberprzestępczości. Sprawa włamania w Otwocku została już oficjalnie zgłoszona na policję jako podejrzenie przełamania zabezpieczeń systemu informatycznego.

Źródła: niebezpiecznik.pl, rmf24.pl, onet.pl

Zobacz także: Nawet 17 000 zł na ferie zimowe dla dzieci. Mieszkańcy 5 województw wciąż mogą skorzystać

Reklama
Reklama
Reklama