Komisija savo išvadose konstatavo, jog Švietimo, mokslo ir sporto ministerija, Nacionalinė švietimo agentūra ir Microsoft (MS) Lietuvoje atstovaujantys ūkio subjektai, siekdami sudaryti kuo palankesnes sąlygas mokyklų mokytojams ir mokiniams mokytis nuotoliniu būdu, nemokamai pasiūlė MS Office 365 licencijas. Pasiūlymo ir licencijų dalinimo informacija ir sąlygos buvo pateiktos viešai, detalizuojamos mokymų ir (ar) instruktažų metu visiems pageidaujantiems.
„Išnagrinėjusi detalias išvadas ir paaiškinimus, susitikus su programinės įrangos tiekėjais, matau, kad visi galėjo padaryti daugiau, jog panaši situacija nebūtų įvykusi. Tačiau nestandartinė karantino padėtis, žmogiškųjų resursų ir tam tikrų kompetencijų trūkumas galėjo lemti, kad nebuvo numatytos visos galimos grėsmės ir galimas piktnaudžiavimas suteiktomis teisėmis“, – pranešime cituojama NŠA direktorė Rūta Krasauskienė.
NŠA vadovės teigimu, iš pateiktų darbo grupės išvadų akivaizdu, jog tiek mokyklos administratorius viršijo įgaliojimus, tiek NŠA atsakingi darbuotojai žinojo, kad kitų mokyklų paskyras gali matyti mokyklų įgalioti administratoriai. Tokia galimybė buvo palikta, kad lengviau būtų administruoti licencijų dalijimą tais atvejais, kai mokytojas dirba keliose mokyklose, mokinys mokosi keliose mokyklose. Tačiau nebuvo numatyta kaip užkardyti galimą administratorių įgaliojimų viršijimą.
Atsižvelgus į tai, kad informacija apie sukurtas licencijas mokiniams ir mokytojams buvo skelbiama viešai, o įvardytos mokyklos IT specialistas aktyviai dalyvavo mokymuose dėl licencijų dalijimo ir diegimo mokyklose prieš mokyklai pateikiant prašymą NŠA suteikti MS administratoriaus teises bei susirašinėjo su NŠA IT pagalba. Galima teigti, jog mokykla žinodama arba turėdama ir galėdama žinoti visas licencijų suteikimo sąlygas, procedūras, pateikdama prašymą patvirtino, kad apsisprendė priimti siūlymą ir įsitraukė į licencijų dalijimo procesą, bei šiuo veiksmu mokykla prisiėmė atsakomybę ir už jos darbuotojų veiksmus MS sistemoje.
Atsižvelgus į tai, kad licencijų dalijimas, reglamentavimas ir naudojimas vyko tuo pačiu metu kai per pandemiją reikėjo skubiai užtikrinti mokyklose nuotolinį mokymą, nebuvo iš karto numatyta galima rizika, kad gali atsirasti netinkamai savo įgaliojimus vykdančių mokyklų administratorių, nebuvo iš anksto apribota jų galimybė matyti kitų mokyklų naudotojus ir jų prisijungimo duomenis.
Darbo grupė nenustatė, kad šiuo metu Microsoft sistemoje naudojant emokykla.lt domeną yra duomenų saugos spragų. Tačiau išvadas gavusi NŠA direktorė, ketina imtis papildomų saugumo užtikrinimo priemonių.
„Ši situacija atskleidė, jog turime stiprinti savo informacinių technologijų komandą bei asmens duomenų apsaugos sritį, kuriai iki šiol nebuvo skiriamas reikiamas dėmesys. Šias sritis stiprinsime artimiausiu metu. Be to, turime apsispręsti dėl nuotolinio mokymo platformų ir kitų privačių platformų bei jose naudojamų asmens duomenų. Klausimas ar tai neturėtų būti valstybės prioritetas“, – sako NŠA direktorė Rūta Krasauskienė.
Artimiausiu metu ketinama susitikti su visomis suinteresuotomis šalimis ir aptarti bendradarbiavimo būdus, siekiant užtikrinti, kad panašios situacijos teikiant ir siūlant nuotolinio mokymo situacijas nepasikartotų. Bus ieškoma būdų kaip aiškiau ir geriau reglamentuoti mokyklų administratorių įgaliojimus ir jų atsakomybę už darbą su asmens duomenimis.
Mokykla sako, kad aptiko per daug duomenų
Karalienės Mortos mokyklos anksčiau išplatintame pranešime buvo rašoma, kad IT administratorius, naudodamas oficialiai Nacionalinės švietimo agentūros suteiktą prieigą bei slaptažodį ir sistemoje tvarkydamas Karalienės Mortos mokyklos mokinių duomenis, pastebėjo, kad gali matyti ne tik savo mokyklos, bet visų Lietuvos mokinių ir mokytojų asmens duomenis (vardus, pavardes, ugdymo įstaigą, priskirtą el. pašto adresą).
„Tai buvo visiškai netikėta – norėdamas automatiniu būdu Karalienės Mortos mokyklos mokiniams priskirti „MS Office 365“ produktų licencijas, IT administratorius pastebėjo, kad vietoj kiek daugiau nei 700 mokinių mato kelis šimtus tūkstančių“, – aiškino švietimo įstaigos komunikacijos vadovė Rita Meilūnaitė.
Apie aptiktą duomenų saugumo spragą el. paštu nedelsiant buvo informuota Nacionalinė švietimo agentūra.
