A Covid-világjárvány idején egyik napról a másikra tanárok és diákok kerültek az online videóplatformok virtuális osztálytermeibe. A könyveket felváltották a táblagépek, és egyéb informatikai eszközök. Az üzenetküldő alkalmazások pedig egyre erőteljesebben a diákok szocializációjának új színterévé váltak. Az iskolák innentől kezdve fokozottan szembesültek új kihívásokkal az adatvédelmi aggályok, az adatszivárgás és a hackerek jelenléte miatt. Az online oktatási formák kisebb mértékben ugyan, de bizonyos szinten velünk maradtak. És bizony a problémák is.
Fontos megjegyezni, hogy az iskolák számos érzékeny adatot birtokolnak, elég csak a diákok lakcímére, a szüleik vagy éppen egészségügyi adataikra gondolnunk. Márpedig minden munkahely, így az iskolák tanulóinak és tanárainak adatai valódi „kincsesbányát” jelenthet a kiberbűnözőknek. Ha az ember egy kicsit is figyelmesebben szemléli a különböző híroldalakat és a közösségi médiát, akkor észreveheti, hogy egyre inkább jelennek meg olyan információk, amely a kiberbiztonsági oktatás fontosságát hangsúlyozzák. Hatóságok, különféle informatikai szereplők összefogása, civil szervezetek, vállalkozások is egyre gyakrabban jelennek meg valamilyen internetes fenyegetésre történő felhívással, tudatosító programokkal. De vajon elég-e ennyi?
Tapasztalat alapján nem igazán. Oktatni kell, sokkal többet és mélyebben. Az iskolákban az informatika tantárgyban a NAT ki is tér az információbiztonság és adatbiztonság kérdéseire, de arányaiban – tekintettel arra, hogy egy diák mennyire kitett a gyorsan változó internetes szolgáltatások környezetében pillanatok alatt megjelenő támadási formáknak – ez nagyon kevés.
A 2012-es NAT-hoz illeszkedő, informatika kerettanterv alapján négy szervezet – a Mozaik Kiadó, a Katolikus Pedagógiai Szervezési és Továbbképzési Intézet (KPSZT), a Nemzeti Tankönyvkiadó (NTK) és a Jeldik Oktatási Stúdió (JOS)– helyi informatika tanterv ajánlását vizsgálták meg korábban, hogy az óraszám hány százalékát szánja az információbiztonsággal, adatvédelemmel kapcsolatos témakörökre.
A vizsgálat eredménye az lett, hogy 2012-es tantervi javaslatok alapján átlagosan az informatika órák alig 5-6 százalékán tanulnak információbiztonságról és adatvédelemről az 5–12. évfolyamokban.
Az iskolai eszközök és rendszerek biztonsága a magasabb erőforrással rendelkező intézményekben lehet megfelelő, de az ország távolabbi szegleteiben, a szegényebb régiókban, ahol nehezebben elérhető a kellő szakértelemmel rendelkező pedagógus, vagy akár informatikus, már jelentős kockázata lesz az informatikai incidenseknek az intézményen belül is. Természetesen itt is van fejlődés és egyre ritkábban hallani a diákok által pillanatok alatt „feltört” WiFi hálózatról, vagy megkerült internetes szűrőprogramról, de sok helyen ezek még napi problémák, ahogy az oktatáshoz elégséges informatikai eszközpark kialakítása és biztonságos üzemeltetése is. Az oktatásban alkalmazott központi rendszerek, mint a KRÉTA is több oldalról kitett különféle internetes támadásoknak. A szakértő üzemeltetés ugyan biztosított, de mint tapasztalható volt, egy nem megfelelően kialakított jogosultsági rendszer, egy biztonságtudatosságot figyelmen kívül hagyó munkavállaló elég ahhoz, hogy jelentős biztonsági incidens történjen.
A hírekben szereplő adatszivárgások, zsarolóvírus támadások, informatikai incidensek mellett érdemes feltenni a kérdést, vajon a széleskörű tudatosítás, az aktuális fenyegetettségekről szóló figyelemfelhívások és az ezeket megértő felhasználók nélkül vajon menyire működnek kockázatosan az iskolai informatikai rendszerek? A sokszor felhőszolgáltatásban, intézményenként szigetszerűen működő környezetekben a szolgáltatás által elérhetőek ugyan a korszerű biztonsági megoldások, de vajon mennyire képes egy intézmény ezeket valóban ellenőrizni, működésüket nyomonkövetni? Egy távozó kolléga jogainak visszavonása, egy elballagott diák hozzáférésének korlátozása, adatainak törlése vajon milyen gyorsan történik meg? Van-e erőforrás a belépések ellenőrzésére, a jogosultságok felülvizsgálatára, az összeférhetetlenségek kezelésére, az adatok minősítésére, a kockázatok elemzésére, vagy akár valamilyen biztonsági stratégia kialakítására az intézményben, vagy akár az intézmény fenttartójánál? Központilag talán, de kérdés, hogy vajon mennyire van tudatában az iskola, a pedagógus vagy a diák.
A legfontosabb mégis az, hogy mit tudnak tenni az iskolák ebben a helyzetben. Lényeges, hogy a kiberbiztonság akár az iskolák esetében is lebontható több egyszerű lépésre. Fontos lenne például, hogy készüljön iskolai leltár az eszközökről: Hány laptopja van az iskolának és mind biztonságosan működik-e (megfelelő biztonsági szoftver)? Fontos tényező az is, hogy az operációs rendszer és az engedélyezett alkalmazások a legújabb verzióra van-e frissítve? Azért, hogy lássuk a leltárba vett eszközök megfelelő működését, a berendezések naprakészségét, szükség van egy külön informatikusra. Csak szakember képes az ilyen berendezések megfelelő vizsgálatára és karbantartására. Kifejezetten ösztönözni kellene a munkatársakat arra, hogy jelentsék a lehetséges fenyegetéseket: Mindenki követhet el hibákat, és az ezek bejelentésétől való félelem növelheti az iskola veszélyeztetettségét, kitettségét.
Összességében kimondható, hogy a rendszerszintű oktatás, képzés sokat segíthet abban, hogy mindenki, így a diákok is tisztában legyenek a biztonságos internethasználattal. Persze a jó példát mutató szülő, pedagógus és intézmény jelentősen javíthatja a gyermekek biztonságtudatosságát is. Ennek egyik jó apropója például a most induló Európai Kiberbiztonsági Hónap, amikor is még szélesebb körben, még egyszerűbben elérhetőek a kiberbiztonsággal, biztonságtudatosítással kapcsolatos tartalmak. Az Kiberbiztonsági ügynökség októberi nemzetközi figyelemfelhívó kampánya egyben az EU kiemelt stratégiai célja a kiberbiztonsági tudatosság növelése érdekében. A https://cybersecuritymonth.eu/ honlapon érdemes tájékozódni, és akár választani a számos, Magyarországon is elérhető és magyar nyelvű előadás, konferencia vagy oktatóanyag között.
Szabó Zoltán, a FORTIX Consulting Kft. szakértő tanácsadója
