Медия без
политическа реклама

Лични данни на учители и ученици текат свободно в обща платформа

Споделяните документи в хранилището OneDrive не са достатъчно защитени

21 Март 2023ТАНЯ ПЕТРОВА
Илияна Кирилова

Пароли на ученици, атестационни карти на учители, трудови договори, могат да бъдат достигнати лесно в използвано от стотици хиляди потребители хранилище за документи в системата на средното образованието. Споделените документи в хранилището OneDrive от потребители в системата на образованието не са достатъчно добре защитени и при търсене в търсачката по ключова дума се оказват достъпни за всички потребители, независимо от това кой ги е създал. Така десетки документи с чувствителна информация се оказват лесно достъпни, сигнализират експерти.

Всички ученици и учители в средното образование имат персонални профили в системата @edu.mon.bg. С тези профили те имат достъп до различни инструменти, един от които е виртуалното хранилище OneDrive. Инструментът дава възможност за съхраняване в облачна среда на огромно количество файлове, като така улесняват учителите, учениците и експертите, защото освобождават пространство на локалните им компютри и дават възможност за работа с файловете от всяко едно устройство. OneDrive дава възможност и за споделяне на личните документи с определена група потребители на системата – други учители или ученици, с възможност документите само да се четат или и да могат и да се редактират.

„При вписване с такъв профил в инструмента OneDrive, без значение дали този профил е на учител, ученик или директор, се отваря начален екран, който показва съдържанието, създадено от потребителя, който се е вписал. При търсене в търсачката обаче се появяват всички файлове,  споделени до потребителите в облака, съдържащи въведената ключова дума, без значение кой е техният създател“, предупредиха специалисти. Така например търесене по ключова дума "дата на раждане" дава достъп до десетки споделени документи, включително CV-та. Излизат и редица планове за подкрепа на деца със специални образователни потребности. При търсене по ключова дума "атестационна карта" излизат както бланки, така и вече попълнени атестационни карти на конкретни учители, съдържащи конкретни данни за образованието им, стажа, покрити допълнителни обучения и др. При търсене по ключова дума "passwords" излизат таблици с временни пароли на ученици за достъп в системата. Могат да се намерят презентации, обяви и много други документи. Експертии обясняват, че съществува техническа възможност за промяна на настройките за сигурност на създадените файлове, така че те да не могат да бъдат откривани през търсачката от всички потребители, но учителите масово не са обучени и това не се прави.

Проверка в регистъра на обществените поръчки показва, че изграждането на облачна среда и внедряването на система за управление на идентичността и достъпа на потребителите е изпълнено от фирма „Телелинк Бизнес Сървисис“ ЕАД. Поръчката е била обявена в рамките на миналия програмен период за еврофондовете през 2020 г., като по нея е постъпила само една оферта. Договорът е бил сключен на 8 октомври и е изпълнен през май, 2021 г. Не е ясно от кога съществува проблемът с достъпа до чужди комунти през търсачката и дали информацията е била ползвана не по предназначение.

Ключови думи:

edu.mon.bg