Ministra edukacji odpowiada szefowi Librusa: obowiązek zabezpieczenia e-dziennika spoczywa na jego dostawcy
Ministra edukacji odpowiadając na list otwarty prezesa Spółki Librus podkreśliła, że obowiązek zabezpieczenie danych w e-dziennikach spoczywa na ich dostawcy i wynika z przepisów prawa. Zaznaczyła, że dostawca może wprowadzić obowiązkowe stosowanie uwierzytelniania dwuskładniowego.
Marcin Kempka, prezes spółki Librus, która jest jednym z dostawców dziennika elektronicznego dla szkół, w ubiegłym tygodniu wystosował list otwarty do szefowej MEN, w którym podkreślił, że nawet najlepiej zaprojektowany i zabezpieczony system będzie podatny na incydenty, jeżeli użytkownicy nie będą stosować zabezpieczeń. Postulował wprowadzenie przez resort edukacji obowiązku stosowania silniejszych zabezpieczeń.
Zaznaczył, że obecnie standardem podnoszenia bezpieczeństwa kont jest uwierzytelnianie dwuskładnikowe. Podał, że 81,37 proc. kont nauczycieli w e-dzienniku prowadzonym przez tę spółkę nie używa dwuskładnikowego uwierzytelniania przy logowaniu się. „Po wielu latach działań edukacyjnych prowadzanych przez nas i inne firmy widać, że sama edukacja — bez wymogów i wsparcia legislacyjnego — ma naturalne ograniczenia” - napisał Kempka.
W odpowiedzi na list otwarty ministra edukacji przypomniała, że obowiązujące rozporządzenia w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej w sposób jednoznaczny nakładają obowiązek zabezpieczenia danych gromadzonych w dziennikach elektronicznych. Zaznaczyła, że przepis ten wprost adresowany jest do podmiotów dostarczających te systemy i w sposób jednoznaczny nakłada obowiązek zabezpieczenia danych gromadzonych w e-dziennikach przed dostępem osób nieuprawnionych na dostawców tych dzienników.
„Z satysfakcją odnotowuję deklarację Pana Prezesa, że uwierzytelnianie dwuskładnikowe »jest dziś rynkowym standardem podnoszenia bezpieczeństwa kont«. Skoro jest to standard rynkowy, trudno uznać jego stosowanie za rozwiązanie wykraczające poza zwykłe obowiązki profesjonalnego dostawcy usług cyfrowych. W konsekwencji należy stwierdzić, że wdrożenie takiego mechanizmu stanowi naturalny element realizacji obowiązku wynikającego z paragrafu 21 ust. 3 pkt 2 wskazanego rozporządzenia” - napisała Nowacka.
„Z tego względu nie widzę podstaw do inicjowania zmian legislacyjnych wyłącznie w celu wskazania rozwiązań technicznych, które już dziś mieszczą się w zakresie odpowiedzialności dostawców dzienników elektronicznych. Rolą państwa prawa jest wyznaczanie praw i standardów, a nie zastępowanie podmiotów komercyjnych w podejmowaniu decyzji technologicznych ani w realizacji obowiązku, które z tych standardów wynikają” - wskazała szefowa MEN.
Dodała, że Librus, „jako doświadczony dostawca dziennika elektronicznego, dysponuje wszelkimi narzędziami, by już teraz wprowadzić obowiązkowe stosowanie uwierzytelniania dwuskładniowego – bez oczekiwania na dodatkowe regulacje”.
Gotowość MEN do współpracy na rzecz podnoszenia poziomu bezpieczeństwa dzienników elektronicznych
Nowacka zapewniła o gotowości Ministerstwa Edukacji Narodowej do współpracy na rzecz podnoszenia poziomu bezpieczeństwa dzienników elektronicznych. „Wsparcie Resortu nie zmienia jednak faktu, że obecnie dostępne rozwiązania są wyłącznie komercyjne, a odpowiedzialność za ich właściwe zaprojektowanie, wdrożenie i utrzymanie spoczywa na ich dostawcy” - dodała.
List otwarty prezesa spółki Librus był reakcją na komentarze ministry Barbary Nowackiej i wiceministry Katarzyny Lubnauer po włamaniu do e-dziennika Librus w Zespole Szkół Ekonomiczno-Gastronomicznych im. Stanisława Staszica w podwarszawskim Otwocku. Jak podała szkoła, doszło do tego poprzez przejęcie konta jednego z nauczycieli. Sprawca dokonał nieuprawnionej modyfikacji ocen śródrocznych z języka polskiego oraz rozesłał wiadomości treści o charakterze wulgarnym i obraźliwym.
Nowacka powiedziała wówczas dziennikarzom, że otrzymała informacje o trzech przypadkach włamania do e-dzienników oraz, ministerstwo nie odpowiada za tworzenie dzienników elektronicznych i przechowywanie baz danych. – To jest działalność stricte komercyjna - dodała.
Poinformowała, że resorty edukacji i cyfryzacji prowadzą prace nad stworzeniem centralnego, państwowego dziennika elektronicznego. System logowania do niego oparty ma być na mObywatelu. Pierwsza faza wdrożenia państwowego dziennika elektronicznego w szkołach planowana jest na 1 września 2027 r.
Z kolei Lubnauer odnosząc się do sprawy włamań powiedziała, że państwowy dziennik elektroniczny robiony jest po to by było to narzędzie dostępne za darmo dla nauczycieli i samorządów oraz ze względu na bezpieczeństwo. (PAP)
dsr/ mark/gn/
