Az USA egyik fontos érdekképviseleti csoportja, az 1992-ben alapított Konzorcium az Iskolai Hálózatépítésért a feltörekvő technológiák tudatos használatát és a partnerségeket igyekszik előmozdítani a K-12 oktatásban résztvevő technológiai döntéshozók körében. 2013 óta évente elkészítik az EdTech vezetés helyzete jelentést. 

A májusban megjelent ideihez 1200 vezető pozícióban lévő oktatástechnológiai szakemberrel beszélgettek, és a beszélgetésekből kiderült, hogy a kihívások összetettségével néznek szembe, de ami ennél is fontosabb: 2018 óta, tehát immár ötödik esztendeje az információbiztonság (cyberbiztonság) jelenti a legfőbb gondot. A cyberbiztonság mellett a digitális méltányosságot, az infrastruktúra modernizálását, a professzionális tanulást és a keresetek alakulását vizsgálták még behatóan.

Az információbiztonság és a friss tűzfalak

Az információbiztonság az adatokat, rendszereket, hálózatokat, technológiákat megvédeni hivatott szolgáltatások és alkalmazások összessége. Az egyén oldaláról a személyiségi jogok (privacy), az adatok magántermészetének kiterjesztését, az adatokhoz való engedély nélküli hozzáférés szigorítását, a nem engedélyezett hozzáféréssel járó kockázatok csökkentését, a felhasználók adatokon keresztüli megfigyelésének változatos formáitól történő megóvását, az adatintegráció megőrzését, azaz az engedély nélküli módosításokkal szembeni fellépést jelenti.

Mindezek megvalósításához az adatokat tároló rendszerek, hálózatok biztonsága is kitüntetett figyelemben részesül.

Jelentősége ellenére azonban csak a válaszolók fele vélte úgy, hogy oktatási körzetük elegendő anyagi forrással rendelkezik az információbiztonság kihívásainak kezeléséhez. A körzetek 66 százalékának IT-személyzetében nincs teljes munkaidős információbiztonsági szakember – ilyen állás sincs –, további 12 százalékban pedig egyáltalán nincs keret a védekezésre.

A kihívások összetettsége és az azzal fordítottan arányos korlátozott költségvetés óriási nyomást gyakorol az iskolai edtech vezetők és a személyzet vállára. A megszorítások és az anyagi források hiánya nem újkeletű: már az első, 2013-as jelentésben kiemelten foglalkoztak a témakörrel, és az infokom technológiák fejlődésével együtt egyre közvetlenebbül befolyásolja az információbiztonsági törekvéseket. 

Az irány sajnos negatív, a helyzet évről évre romlik.

Online bűnözők jó ideje tudják, hogy a big datával az oktatási körzetek egyrészt adatokban bővelkedő rendszerek, másrészt könnyű célpontok. Ezért is szükséges, hogy az USA Szövetségi Kommunikációs Bizottsága (FCC) által felügyelt, 1996 óta futó, az oktatási intézmények távközléssel kapcsolatos, támogatható kategóriába eső vásárlásait visszatérítő E-Rate program keretében az iskolákat az információvédelem minimális követelményeként, megfelelő tűzfalakkal lássák el.

Az FCC fejlett és következőgenerációs tűzfalakkal, frissítésekkel kapcsolatos friss anyagából kiderül, mennyire nélkülözhetetlenek ezek az alapvető biztonsági intézkedések.

Hogyan támadnak a bűnözők?

Az EdTech vezetés helyzetének szerzői megállapították, hogy a K-12 diákok számára az oktatási körzet által biztosított szélessávú hozzáférés a 2021-es 95 százalékról 74-re esett vissza 2022-ben. A visszaesés mértékét árnyalja, hogy 2021-ben érvényben voltak még a koronavírus-járvány miatti megszorító intézkedések, az általános vagy részleges otthonülés, és lényegében a távoktatás jelentette az egyetlen megoldást, ami természeténél fogva, szélessávú internet hiányában igencsak döcögős.

A körzetek 97 százalékában a diákok több mint fele rendelkezik otthon világhálóra kapcsolódó készülékkel, ugyanakkor csak 9 százalékukban van minden egyes tanulónak otthoni szélessávú internete. Ez azt jelenti, hogy mezőgazdasági területeken és (a jó minőségű internetkapcsolatot kifizetni nem tudó) hátrányos anyagi helyzetű családoknál változatlanul problémás az otthoni tanulás, házifeladatok online elvégzése.

A helyzetet rontja, hogy 2022-ben egy, a bolygó egészére kiterjedő IBM-elemzés alapján, az oktatási rendszereket célzó cybertámadások száma 4,5 százalékkal nőtt. (A felmérésben a nagyvállalat ügyfelei vettek részt.)

A támadások többsége négy kategóriába sorolható: hátsókapus (20 százalék), zsarolóvírusos, hirdetővírusos és levélszemét (spam) támadások (utóbbi három egyaránt 13 százalék). Az anyaghoz tíz iparág többmilliárd adatpontját elemezték, és az oktatás relatíve nem teljesített rosszul: a gyártásban például 24,8, az egészségügyben 5,8 százalékkal nőtt a támadások száma.

Az adatok egyébként valószínűleg pontatlanok, mert ilyen típusú károkról magánszemélyek különösen, de intézmények sem szívesen számolnak be nyilvánosan. A kisebb volumenűek nagy részéről semmit nem tudunk, viszont minél nagyobb a kár, az elszenvedők annál kevésbé érzik, hogy képesek megoldani a problémát, ezért segítségért folyamodnak.

Zsarolóvírusok 

Edtech programok és szabályozások kidolgozásakor, megvalósításakor több ok miatt is figyelembe kell venni az információbiztonságot. A leginkább magától értetődő, hogy ha magasszintű a védelem, akkor kevesebb a véletlenszerű probléma és a szándékos támadás. A támadások diákok és tanárok személyiségi, a magánélethez való jogait sértik, hátráltatják az oktatástechnológiai programok megvalósítását, anyagi kárt okoznak iskoláknak és családoknak, következményként pedig általánosságban is csökken az oktatási technológiákba vetett bizalom.

Az utóbbi években egyre több és súlyosabb zsarolóvírusos támadás történt.

2019 májusában és júniusában két ausztrál oktatási intézmény nemcsak az akkori diákok és alkalmazottak, hanem a megelőző tizenkilenc évben az iskolákban végzettek és ott dolgozók elérhetőségeit, telefonszámait, útlevél- és banki adatait veszélyeztető adatvédelmi incidensről tett bejelentést.

A támadásokon belül, a zsarolóvírusos technológia használata a 2019-es 6 százalékról egy év alatt 15-re ugrott. A holland Maastricht Egyetem 2019-ben 220 ezer amerikai dollárt, az amerikai Utah Egyetem és a Kaliforniai Egyetem 2020-ban 457 ezer, illetve 1,14 millió dollárt fizetett zsarolóknak. A támadások gyakoribbak, a bűnözők egyre kifinomultabb módszereket alkalmaznak.

A zsarolóvírus (vagy zsarolóprogram, ransomware) fenyegetéssel próbál pénzt kicsikarni a felhasználóból. Általában használhatatlanná teszi a számítógépet vagy elérhetetlenné a rajta tárolt adatokat, és az eredeti állapotot visszaállító kódhoz csak anyagiak ellenében juthatunk hozzá.

Az áldozatoknak komoly költségeket okoznak, és a zsarolásért kifizetett összeg csak egy részük, becslések alapján mindössze 15 százalékuk. Még elkeserítőbb, hogy a fizető intézményeknek csak a hetede kapja vissza az adatait.

Hogyan védekezzünk zsarolóvírusok ellen?

Mit tehetünk a támadások ellen, hogyan védhetők meg az oktatási technológiákat használó gyerekek?

Az oktatási intézmény szintjén a személyzetnek és a diákoknak képzéseken kell megtanítani az ajánlott információbiztonsági megoldások alkalmazását. Egyértelmű adatkezelési gyakorlatot kell kidolgozni, az adatok tárolásában és védelmében a kormányzati irányelveket kell követni. Az incidenseket azonnal jelenteni kell, hogy az illetékes szervek pontos adatokkal rendelkezzenek az információbiztonsági problémákról, amelyeket felhasználva a jövőben nagyobb eséllyel előzhetők meg hasonló támadások.

Az oktatástechnológiai szakembereknek és az edtech telepítőinek, alkalmazóinak több kutatást kell végezniük, hogy jobban mérhessék a biztonsági kapacitásokat és szükségleteket. A méréseknek kormányzati szervekre, oktatási intézményekre, tanárokra és diákokra egyaránt ki kell terjedniük.

Ki kell vizsgálniuk az információbiztonsági megoldások legjobb, azaz költséghatékony, működőképes és méltányos alkalmazását. Az edtech eszközök információbiztonsági kivizsgálásához, csoportosításukhoz szintén több kutatás szükséges. A kutatásokkal iskolák, tanárok és diákok oktatástechnológiákra vonatkozó, adatalapú döntéshozatalát kell támogatni.

A kormányoknak és a döntéshozóknak az összes szereplővel (iskolákkal, tanárokkal, szakértőkkel) együttműködve kell biztonsági intézkedésekre és szabványokra vonatkozó irányelveket megfogalmazniuk. Bátorítani kell a cyberbiztonsági információk megosztását, aktívan kell fellépni az edtech biztonságának szabályozásában. Ezirányú tevékenységüket össze kell kapcsolni más fontos társadalmi-gazdasági kérdésekkel, például a digitális megosztottsággal és írástudással foglalkozó reformfolyamatokkal.

Nem mindig fizet a biztosító

A cyberbiztosítás a megoldás része lehet, szakértők szerint viszont a piac olyan, mint egy hullámvasút, egekbe szökő díjakkal, a lefedettség folyamatos változásával – például nem fizetnek, ha meghatározott nemzetállam a támadó –, csillagászati áras prémiumcsomagokkal, az elérhető támogatásnál több kérelemmel.

Míg korábban a biztosítók voltak többségben, és meg kellett küzdeniük minden egyes biztosítottért, addig mára – a sok támadás, a fejlett oktatástechnológiák és a szakemberhiány miatt – gyökeresen megváltoztak a viszonyok: egyértelműen a biztosítók térfelén pattog a labda.

Korábban húsz-harminc kérdésre, ma körülbelül négyszázra kell válaszolni a biztosítási kérelmek kitöltésekor. A fogalmazás nem egyértelmű, a válaszokhoz is szakértő kell. Minden egyes nemmel drágább a biztosítás, és ha csak egyvalami is hiányzik, a cég rögtön mondhatja, hogy sajnáljuk, nem fizetünk.

Mindezek ellenére a cyberbiztosítás egyre markánsabb trend az amerikai K-12 oktatásban. Kétélű fegyver: a biztosító kifizetheti a zsarolóvírusokkal járó költségeket, viszont jelzés a támadó felé is, hogy biztosan számíthat pénzre. Feltéve, ha az iskola megfelel a biztosítási feltételeknek, és ha van rá anyagi kerete. Nagyon soknak nincs, prémiumszolgáltatásokra meg pláne nincs.

Megoldás lehet, hogy egyes külsős oktatástechnológiai információbiztonsági szolgáltatók biztosítótársaságok által elismert garanciákat kínálnak. Ma a legfontosabb, hogy az iskola zsarolóvírusok ellen rendelkezzen ilyen garanciával – persze ahhoz is több feltételnek kell megfelelni. Folyamatosan figyelik az oktatási intézmény infokom infrastruktúráját, hogy megfelel-e az elvárásoknak, frissül-e stb. Ha az iskolának van garanciája, bizonyos szintű önbiztosítása, a biztosítók olcsóbban kínálják szolgáltatásaikat.

Ezek a kiadások egyre több oktatási intézmény költségvetésében szerepelnek.

Nyitókép: Cathy Benscoter