W niedawnym liście do MEN, prezes spółki Librus Marcin Kampka stwierdził, że resort edukacji nie odrobił pracy domowej. Nie zgodził się z diagnozą urzędników, jakoby wina za ostatnie włamania do e-dzienników polskich nauczycieli leżała po jego stronie.
Szef Librusa w liście otwartym do MEN
– Nie doszło do „przełamania zabezpieczeń systemu”, lecz do przejęcia konta nauczyciela i wykorzystania go do działań w dzienniku elektronicznym konkretnej szkoły. Czyli upraszczając, do nieuprawnionego wykorzystania loginu i hasła nauczyciela – zauważał. Podkreślał, że najlepszy nawet system będzie podatny na błędy użytkownika.
Jako rozwiązanie problemu podał wprowadzenie obowiązku uwierzytelniania dwuskładnikowego, tzw. 2FA. „Z praktyki wiemy jednak, że w obliczu braku jednoznacznych wymogów prawnych w oświacie i wsparcia organizacyjnego dla placówek, wiele z nich nie wdraża tego rozwiązania” – stwierdzał.
„Prosimy o rozważenie zajęcia się kwestią konieczności stosowania w szkołach 2FA już teraz, ponieważ poprawa bezpieczeństwa danych uczniów jest na wyciągnięcie ręki i nie wymaga czekania do września 2027 roku” – pisał Kempka. Ministerstwo Edukacji postanowiło odpowiedzieć, publikując własny list do prezesa Librusa.
Szefowa MEN odpowiada w sprawie e-dzienników
„Nie ulega wątpliwości – i w tym zakresie nasze stanowiska są zbieżne – że bezpieczeństwo danych przetwarzanych w systemach wykorzystywanych przez szkoły powinno stanowić jeden z podstawowych priorytetów. Ministerstwo Edukacji Narodowej z pełnym
zrozumieniem odnosi się do inicjatyw, które rzeczywiście służą wzmocnieniu ochrony użytkowników dzienników elektronicznych” – pisała Barbara Nowacka.
Stwierdziła jednocześnie, że obowiązujące przepisu już teraz określają zakres odpowiedzialności. Jak pisała, nakładają one obowiązek zabezpieczenia danych w dziennikach na podmioty dostarczające tych systemów. Pisała dalej, że skoro uwierzytelnianie dwuskładnikowe jest standardem rynkowym, to wdrożenie takiego mechanizmu powinno być naturalne po stronie Librusa.
„Z tego względu nie widzę podstaw do inicjowania zmian legislacyjnych wyłącznie w celu wskazania rozwiązań technicznych, które już dziś mieszczą się w zakresie odpowiedzialności dostawców dzienników elektronicznych. Rolą państwa prawa jest wyznaczanie praw
i standardów, a nie zastępowanie podmiotów komercyjnych w podejmowaniu decyzji technologicznych ani w realizacji obowiązku, które z tych standardów wynikają” – podkreślała.
„Librus Sp. z o.o., jako doświadczony dostawca dziennika elektronicznego, dysponuje wszelkimi narzędziami, by już teraz wprowadzić obowiązkowe stosowanie uwierzytelniania dwuskładniowego – bez oczekiwania na dodatkowe regulacje” – zauważała. „Zachęcam Pana Prezesa do rozważenia wdrożenia takich rozwiązań już na obecnym etapie. Byłby to wymierny dowód, że postulaty formułowane w przestrzeni publicznej znajdą odzwierciedlenie w działaniach spółki” – pisała Nowacka.
Zapewniła o gotowości MEN do współpracy w celu podnoszenia poziomy bezpieczeństwa. „Wsparcie resortu nie zmienia jednak faktu, że obecnie dostępne rozwiązania są wyłącznie komercyjne, a odpowiedzialność za ich właściwe zaprojektowanie, wdrożenie i utrzymanie spoczywa na ich dostawcy” – podsumowała.
