System Informacji Oświatowej nie tak bezpieczny i przydatny jak powinien

30-11-2016, 14:19

SIO jest megabazą zbierającą informacje m.in. o uczniach i nauczycielach. Przewidziane dla niego mechanizmy bezpieczeństwa nie były w pełni respektowane - wynika z kontroli NIK.

W Dzienniku Internautów kilkakrotnie pisaliśmy o Systemie Informacji Oświatowej (SIO). Jest to baza, w której dd 2005 r. gromadzone są dane dotyczące wszystkich szkół i placówek w kraju oraz uczniów i nauczycieli. W roku 2011 wprowadzono tzw. nowe SIO, w którym odstąpiono od zasady gromadzenia danych zbiorczych na rzecz danych jednostkowych o uczniach i nauczycielach. SIO był krytykowany jako kolejna "megabaza" zagrażająca prywatności. Jeszcze będąc w opozycji PiS bronił prywatności uczniów i sprzeciwiał się gromadzeniu wrażliwych danych w bazie. 

Obecnie rząd PiS nie wydaje się bardzo przeciwny SIO. Chce nawet modernizować system tak, aby stał się on jedną bazą dostępną przez przeglądarkę. Tymczasem Najwyższa Izba Kontroli postanowiła sprawdzić, czy SIO działa tak jak miał działać. Czy baza naprawdę wspomaga realizację działań oświaty? Czy proces gromadzenia danych zapewnia ich kompletność i wiarygodność? Czy dane uczniów i nauczycieli są bezpieczne? NIK to sprawdził, a swoje wnioski przedstawił w opublikowanym dziś raporcie, który w całości zamieszczamy pod tym tekstem. 

SIO na bakier z kompletnością danych

Niestety kontrola wykazała, że SIO nie wspiera efektywnie realizacji działań oświaty. Wynika to m.in. z niekompletności danych w bazie. 

Zdaniem NIK minister edukacji nie zapewnił szkołom i placówkom oświatowym pełnej możliwości przekazania wymaganych danych w obowiązującym terminie i późniejszej ich aktualizacji. W udostępnionym początkowo oprogramowaniu do prowadzenia lokalnych baz danych nie było możliwości przekazania 48 rodzajów danych dziedzinowych m.in.: danych o kwalifikacjach nauczyciela lub o objęciu ucznia pomocą psychologiczno-edagogiczną W oprogramowaniu udostępnianym w tym celu w okresie październik-grudzień 2015 r. nadal brakowało możliwości przekazania sześciu rodzajów danych.

 

Zobacz także:

E-learning w edukacji. Jak stworzyć multimedialną i w pełni interaktywną treść dydaktyczną

Konkretne wskazówki, przykłady i analizy wykorzystania nowych technologii w edukacji pozwalają Czytelnikowi w prosty i skuteczny sposób przygotować własne multimedialne materiały edukacyjne oraz wdrażać autorskie kursy e-learningowe. .*

Baza danych nowego SIO za lata szkolne 2012/2013-2015/2016 (do 11 grudnia 2015 r.) nie była kompletna oraz wiarygodna. Zgromadzone w niej dane obejmowały m.in. tylko od 28 do 78 proc. ogółu dzieci faktycznie objętych wychowaniem przedszkolnym w tych latach oraz od 33 do 85 proc. ogółu zatrudnionych nauczycieli. NIK uważa, że niekompletna baza danych nowego SIO sprawiła, że pogorszyła się dostępność do danych oświatowych dot. warunków materialnych funkcjonowania szkół i placówek oświatowych. Dane te nie mogły być pozyskiwane za pomocą starego SIO bo od 2013 r. zaprzestano ich gromadzenia w starej bazie.

W ocenie NIK minister edukacji nie zapewnił skutecznego nadzoru nad terminową realizacją zadań przez Centrum Informatyczne Edukacji (jest jednostka podległa MEN). 

Niedziałające mechanizmy bezpieczeństwa

Jeśli chodzi o bezpieczeństwo danych to zdaniem NIK w systemie informatycznym nowego SIO nie zapewniono pełnej funkcjonalności mechanizmów kontroli bezpieczeństwa. Szczegóły na ten temat znajdziecie na stronie 46. raportu NIK.

Ustawa o SIO przewiduje, że MEN sprawuje nadzór nad bezpieczeństwem przekazywania danych do bazy SIO i pozyskiwania danych z bazy. W związku z tym Minister Edukacji Narodowej powinien mieć dostęp do wykazu zarejestrowanych przypadków nielegalnego pozyskania, zniszczenia lub utraty danych, uzyskania lub próby uzyskania nieuprawnionego dostępu do danych. 

W systemie informatycznym nowego SIO zapewniono możliwość generowania takiego wykazu, ale nie zaimplementowano w nim funkcji automatycznego generowania w bazie danych SIO informacji o przypadkach, w których nastąpiła próba nieuprawnionego dostępu, oraz funkcji przekazywania informacji przez kierowników podmiotów prowadzących lokalne bazy danych o wystąpieniu zakłóceń określonych w art. 79 ust. 1 ustawy o SIO

Nieskuteczny był mechanizm kontroli bezpieczeństwa przekazywania i pozyskiwania danych (określony w art. 79 ust. 2 ustawy o SIO). Ten mechanizm polegał na obowiązku przekazywania do bazy danych SIO kwartalnych informacji o niezakłóconym funkcjonowaniu lokalnych baz danych SIO (jeśli nie wystąpiły przypadki nieuprawnionego dostępu do bazy danych SIO, nielegalnego pozyskiwania danych itp.). Niestety funkcję przekazywania kwartalnych informacji uruchomiono w oprogramowaniu SIO od 31 marca 2015 r. Zatem dane przekazywane do bazy nowego SIO przez okres trzech kwartałów 2013 r. i czterech kwartałów 2014 r. nie były objęte działaniem tego mechanizmu.

Z wyjaśnienia dyrektora Departamentu Analiz i Prognoz w MEN wynika, że zaimplementowanie w pełni mechanizmu przekazywania informacji o zakłóceniach w funkcjonowaniu bazy danych SIO prowadziłoby do... niezachowania płynności w jej funkcjonowaniu. Inna rzecz, że...

użytkownicy SIO w sposób zróżnicowany rozumieli pojęcie zakłócenia, wliczając w to wszelkie trudności związane z funkcjonowaniem nowego SIO, co – zgodnie z art. 80 ustawy o SIO – mogło skutkować nieuzasadnionym zablokowaniem przekazywania i pozyskiwania danych do czasu wyjaśnienia stanu faktycznego i usunięcia nieprawidłowości.

Nie wszyscy byli ostrożni

Raport NIK opisuje problemy z oprogramowaniem i generowaniem nadmiarowych informacji. Niezależnie od tego wymienia pewne przypadki naruszania procedur bezpieczeństwa. 

  • W trzech kontrolowanych jednostkach stwierdzono naruszenie zasad ochrony danych osobowych gromadzonych w bazie danych nowego SIO. W dwóch przypadkach polegało to na udostępnieniu przez dyrektora szkoły osobistego kodu dostępu do SIO innej nieuprawnionej osobie. Takiej osobie zlecono przekazywanie danych, a w jednym przypadku nastąpiło włączenie innej nieuprawnionej osoby do współdziałania przy operowaniu w lokalnej bazie danych wraz z uprawnionym dyrektorem szkoły.
  • W Starostwie Powiatowym w Prudniku stwierdzono niezachowanie obowiązującej procedury udzielania upoważnień do dostępu do bazy danych nowego SIO. Indywidualne kody uwierzytelniające dostęp do bazy danych nowego SIO wydano 14 pracownikom z sześciu szkół i placówek oświatowych, ale bez  bez wydania pisemnego upoważnienia, które powinno m.in. zawierać potwierdzoną podpisem osoby upoważnionej klauzulę o zachowaniu w tajemnicy udostępnionych jej danych w SIO oraz informacji o ich zabezpieczeniu. Tym samym dopuszczono te osoby do nieuprawnionego dostępu do danych osobowych w bazie danych nowego SIO.

NIK proponuje m.in., by MEN niezwłocznie zapewnił właściwe funkcjonowanie mechanizmów bezpieczeństwa w SIO. 

Poniżej, dla zainteresowanych, cały raport NIK.  

Nik p 15 031 System Informacji Oswiatowej by Dziennik Internautów on Scribd

--
* - Linki afiliacyjne. Kupując książki poprzez te linki wspierasz funkcjonowanie redakcji Dziennika Internautów.


Komentarze
comments powered by Disqus
To warto przeczytać


fot. Pixabay



fot. Coindesk



fot. Allegro




fot. Shazam


  
znajdź w serwisie

RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2017»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728293031
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.