IT ekspertas apie saugumo spragas el. dienynuose: „Gėda dėl tokio žioplumo“

2018 m. vasario 9 d. 16:08
Interviu
Į viešumą iškilus istorijai apie tai, kad 13-metis moksleivis savo mokyklos elektroniniame dienyne atrado duomenų saugumo spragą, bet niekas neskubėjo jos šalinti, paskatino sunerimti visų šalies mokyklų, naudojančių elektroninius dienynus, bendruomenes. Ar sistemos, kurioms savo duomenis patiki mokytojai, vaikai ir tėvai – iš tiesų saugios?
Daugiau nuotraukų (3)
Naujienų portale delfi.lt aprašytas atvejis susijęs su elektroninės sistemos „Mano dienynas“ vartotojais. Šia sistema naudojasi 187 512 mokiniai, 23 582 mokytojų, o prie jos prisijungti ir vaikų pasiekimus stebėti bei gauti su jais susijusią informaciją gali net 277 681 tėvas ar globėjas. 
Minimu atveju, buvo teigiama, kad prisijungus prie elektroninio dienyno ir naršyklės adrese pakeitus vos vieną skaičių, galima parsisiųsti ne savo duomenis.
Informacinių technologijų saugumo ekspertas Marius Pareščius teigė, kad tokios situacijos tik labai elementarūs pavyzdžiai, kokios nesaugios gali būti mokyklų naudojamos sistemos, o kas gali nutikti, jei piktavaliams atitektų visi jose saugomi duomenys – tai jau tik jų fantazijos klausimas.
– Ar šiandien Lietuvos mokyklose naudojami elektroniniai dienynai yra pakankamai ištobulinti, nes, panašu, kad laikas nuo laiko pasitaiko įvairių liapsusų?
– Lietuvoje daug kur nuolat pasitaiko liapsusų. Kalbant apie tą atvejį, kuomet jaunuolis atrado duomenų saugumo spragą mokyklos elektroniniame dienyne, tai ji analogiška tai, kuri buvo Vyriausiosios rinkimų komisijos (VRK) tinklalapyje www.rinkejopuslapis.lt. Ten lygiai taip pat parinkinėjant vartotojo naršyklėje parametrus, buvo galima pasižiūrėti kitų vartotojų informaciją.
Tai net ne programuotojų, bet sistemos architektų, pačios sistemos struktūros klaida – o programuojant nebuvo numatyti saugumo dalykai. Tokių atvejų esama beveik visose didesnėse ar mažesnėse sistemose. Problema ta, kad projektuojant sistemas, kuriant naujus produktus į saugumą visai nekreipiamas dėmesys, saugumo skylės lopomos tuomet, kai jos atsiranda.
– Kas kaltas, kad taip nutinka – taupymas, skubėjimas ar elementarių žinių neturėjimas?
– Sistemų projektuotojai prieš keletą metų nenumanė, kad kils kibernetinių grėsmių, bet šie dalykai atėjo, bet į tai nebuvo atsižvelgiama. Yra net tokia kibernetinio saugumo srityje paslauga – informacinės sistemos spragų ieškojimas. Tokią paslaugą turėtų užsakyti sistemų, kurias naudoja didesnis vartotojų kiekis, kūrėjai. Jei kažką naujo projektuoji – kvieti saugumo specialistus, kad jie pažiūrėtų to projektavimo dokumentaciją, kad būtų išvengta tokių atvejų, apie kuriuos kalbame šiandien.
– Paauglys aptiko saugumo spragą, kuri leidžia pamatyti kitų elektroninio dienyno vartotojų duomenis, tad jei prie šios istemos prisėstų kvalifikuotas programišius, jis tikriausiai sugebėtų ir paskolų prisiimti naudodamasis mokytojų duomenimis?
– Norint pasiimti paskolų su mokytojų duomenimis, nereikia net į tokią sistemą lįsti. Pirmos rimtesnės panašaus pobūdžio saugumo skylės atrastos prieš penkiolika metų. Tai, kas įvyko su šiuo dienynu, yra neūkiškumas, neapsižiūrėjimas, net nežinau, kaip pavadinti... Gal programuotojams ir sistemų projektuotojams reiktų pasidomėti programavimo ir projektavimo pasauline praktika, kur informacinių sistemų sauga yra tam tikras standartas. Jei šių dalykų sistemų kūrėjai neužtikrina – niekas jiems neleidžia tų sistemų eksploatuoti.
– Vadinasi, Lietuvoje užtenka sukurti elektroninio dienyno sistemą ir jis naudojamas, o saugumo klausimais niekas nesidomi?
– Sugalvojau, padariau, išmokau parduoti... Dienyną reikia dar įsiūlyti mokyklai ar Švietimo ir mokslo ministerijai. Kai dienynai buvo popieriniai, buvo saugiau – mat reikėjo kiaušinio, trintuko ir pažymiai buvo taisomi kitais būdais... Dabar nereikia ieškoti mokytojų kambaryje paslėpto dienyno, tiesiog užtenka prisijungti prie informacinės sistemos ir kažką krapštai... Vaikais šiais laikais labai žingeidūs. Tą klaidą dienyne radusį vaikį reikia imti į teisingas rankas ir nukreipti teisinga linkme, iš jo gali išaugti rimtas programuotojas ar kibernetinio saugumo specialistas. Pats toks buvau, programas laužiau, kai man tebuvo 11 metų – tiesa, kompiuteriai tuomet buvo kitokie.
– Panašu, kad vienas vaikas pasidomėjo, gal su draugais aptarė, bet lyg ir nieko tokio globalaus nenutiko...
– Iš kur žinote? Man teko matyti, kaip sistemose radus minimalią spragą, galima pridaryti didelių nuostolių. Duomenys iš sistemos gali būti paimamai masiniu būdu, ir taip galima gauti dalies Lietuvos gyventojų duomenis – būtent tuo dienynu besinaudojančių mokyklų tėvų, vaikų ir mokytojų. Per VRK puslapį buvo galima pasiekti kiekvieno šalies gyventojo asmeninius duomenis, taip pat buvo su klinikos „Grožio chirurgija“ klientų duomenimis. 
Buvo galima sužinoti ne tik ūgį ir svorį, bet ir asmens kodą bei namų adresą. O ko gi daugiau reikia? Su tiek duomenų galima daug ką nuveikti – pasiimti paskolą, telefoną užblokuoti, galima paskambinti į valstybines institucijas ir prisistačius šiuo žmogumi, papokštauti... Mokyklos ir tėvai tuo nesirūpina.
– Ar mokinių tėvai, kurie naudojasi minimu dienynu, turi galimybę apginti savo interesus? Ir ką jiems reiktų daryti?
– Pirmiausia, galima kreiptis į Asmens duomenų inspekciją – kad ji atliktų tyrimą. Spėju, tyrimo rezultatai būtų labai „neskanūs“. Galimos problemos dėl kai kurių Europos Sąjungos duomenų direktyvų nepaisymo, atsiras problemų dėl techninio administravimo, mat neaišku, ar užlopytos atsiradusios spragos... Iš to, kas rašoma spaudoje, akivaizdu, kad tai – kibernetinis incidentas. Jis turėjo būti užregistruotas Kibernetinio saugumo centre prie Krašto apsaugos ministerijos ir Asmens duomenų inspekcijoje?
– Gali taip nutikti, kad aplaidžiai žiūrint į šias problemas,  kažkas vieną dieną piktavališkai paprasčiausiai išjungs elektroninį dienyną?
– Viską, kas prijungta prie interneto, galima išjungti. Juk išjungia Vyriausybės, Seimo puslapius, bandoma išjungti bankų puslapius. Kalbant apie duomenų ištrynimo galimybę, tai priklauso nuo to, kiek sistema yra apsaugota, ar yra daromos rezervinės kopijos, ar pats administratorius turi galimybę prisijungti ir trinti duomenis nebūdamas darbo vietoje. Grėsmių labai daug, klausimas, ar jos labai skausmingos?
Šiuo atveju kalbame apie asmens duomenis, vaikų pažymius. Grėsmes nacionaliniam saugumui, mat nėra ir grėsmės žmogaus gyvybei, lyg ir nėra – bet akivaizdi žala reputacijai. Tai, kad žiopla valstybė nesusitvarko, kenkia ne tik programuotojų reputacijai, bet ir Švietimo ir mokslo ministerijos, kuri leidžia tokią sistemą mokykloms eksploatuoti, reputacijai. To neturėtų būti – arba reikia susirūpinti, atlikti tyrimą, išsiaiškinti spragas, jas lopyti ir apie tai informuoti visuomenę.
Naujienų portalas lrytas.lt dėl minėtos situacijos kreipėsi komentaro ir į elektroninę sistemą „Mano dienynas“ administruojantį UAB Nacionalinį švietimo centrą.  Šios įstaigos darbuotojai tikino, kad savo poziciją pateiks raštu.

UAB „Lrytas“,
A. Goštauto g. 12A, LT-01108, Vilnius.

Įm. kodas: 300781534
Įregistruota LR įmonių registre, registro tvarkytojas:
Valstybės įmonė Registrų centras

lrytas.lt redakcija news@lrytas.lt
Pranešimai apie techninius nesklandumus pagalba@lrytas.lt

Atsisiųskite mobiliąją lrytas.lt programėlę

Apple App StoreGoogle Play Store

Sekite mus:

Visos teisės saugomos. © 2024 UAB „Lrytas“. Kopijuoti, dauginti, platinti galima tik gavus raštišką UAB „Lrytas“ sutikimą.