Wielki atak na polskie szkoły. Ktoś się włamuje. Minister nagle potwierdza

Fałszywe oceny i obraźliwe treści. Jak wyglądały ataki na e-dzienniki

Problem cyberbezpieczeństwa w polskich szkołach stał się tematem ogólnopolskiej debaty po tym, jak minister edukacji Barbara Nowacka potwierdziła informacje o trzech przypadkach włamań do elektronicznych dzienników. Do zdarzeń doszło w różnych częściach kraju, a jeden z nich odbił się szczególnie szerokim echem w mediach.

W jednej z podwarszawskich szkół ponadpodstawowych nieznani sprawcy uzyskali dostęp do konta nauczyciela w popularnym systemie e-dziennika. Po przejęciu uprawnień dokonali szeregu zmian, które natychmiast wzbudziły niepokój uczniów i rodziców. W systemie pojawiły się nieprawidłowe oceny śródroczne, w większości negatywne, a dodatkowo rozesłano wiadomości zawierające treści wulgarne i obraźliwe.

Skala ingerencji była na tyle poważna, że dyrekcja szkoły zdecydowała się natychmiast poinformować rodziców oraz uczniów o incydencie. W komunikacie podkreślono, że doszło do nieautoryzowanego dostępu do konta pracownika szkoły, a wszystkie nieprawidłowe wpisy zostaną usunięte po zakończeniu procedur wyjaśniających. Jednocześnie zaapelowano o ostrożność i nieklikanie w podejrzane linki, które mogłyby prowadzić do kolejnych prób wyłudzeń danych.

Sprawa została zgłoszona organom ścigania, które prowadzą postępowanie w kierunku nieuprawnionego dostępu do systemu informatycznego. Zgodnie z obowiązującymi przepisami, tego typu przestępstwo może skutkować karą grzywny, ograniczenia wolności, a nawet pozbawienia wolności do dwóch lat.

Choć incydent ten był najbardziej medialny, resort edukacji potwierdził, że podobne zdarzenia miały miejsce również w innych szkołach, co rodzi pytania o systemowy charakter problemu.

Ministerstwo czy dostawca? Spór o odpowiedzialność za e-dzienniki

Seria włamań do szkolnych systemów informatycznych uwypukliła problem rozproszonej odpowiedzialności za bezpieczeństwo danych w oświacie. Z jednej strony szkoły działają w ramach publicznego systemu edukacji, z drugiej korzystają z rozwiązań dostarczanych przez prywatne firmy.

Minister edukacji Barbara Nowacka jasno zaznaczyła, że resort nie odpowiada za projektowanie ani zabezpieczanie komercyjnych e-dzienników. Jak podkreśliła, są to narzędzia oferowane szkołom przez prywatnych dostawców, a odpowiedzialność za ich ochronę spoczywa na firmach oraz administratorach systemów w placówkach.

Jednocześnie minister przyznała, że na obecnym etapie nie są znane techniczne przyczyny włamań i nie chce spekulować, czy doszło do przełamania zabezpieczeń systemowych, czy raczej do błędów po stronie użytkowników.

Inne stanowisko zaprezentował dostawca jednego z najczęściej używanych e-dzienników w Polsce. W oficjalnym oświadczeniu firma poinformowała, że nie doszło do naruszenia infrastruktury systemowej, a incydenty miały charakter jednostkowy. Według przedstawicieli spółki, dostęp do konta nauczyciela mógł zostać uzyskany w wyniku przejęcia danych logowania, na przykład poprzez phishing, złośliwe oprogramowanie lub używanie tego samego hasła w różnych serwisach.

Firma zwróciła również uwagę na rolę uwierzytelniania dwuskładnikowego, które znacząco ogranicza ryzyko takich zdarzeń. System umożliwia wprowadzenie obowiązkowego 2FA dla wszystkich pracowników szkoły, jednak decyzja w tym zakresie należy do dyrekcji i lokalnych administratorów. W praktyce nie wszystkie placówki korzystają z tego rozwiązania, co zwiększa podatność na ataki.

Wiceminister edukacji Katarzyna Lubnauer potwierdziła, że resort monitoruje sytuację za pośrednictwem kuratoriów, ale podkreśliła, że w przypadku prywatnych narzędzi odpowiedzialność prawna za zabezpieczenia pozostaje po stronie ich operatorów.

Państwowy e-dziennik od 2027 roku. Czy to rozwiąże problem?

W odpowiedzi na rosnące obawy dotyczące bezpieczeństwa danych uczniów rząd zapowiedział stworzenie państwowego dziennika elektronicznego. Projekt realizowany wspólnie przez resort edukacji i cyfryzacji ma stanowić alternatywę dla komercyjnych systemów i zapewnić jednolite standardy ochrony informacji.

Zgodnie z zapowiedziami ministerstwa, pierwsza faza wdrożenia nowego rozwiązania planowana jest na 1 września 2027 roku. System ma być zintegrowany z aplikacją mObywatel, co umożliwi wykorzystanie zaawansowanych mechanizmów uwierzytelniania i identyfikacji użytkowników.

Przedstawiciele rządu podkreślają, że państwowy e-dziennik ma być bezpłatny dla szkół i samorządów, a jego główną zaletą będzie wysoki poziom bezpieczeństwa danych wrażliwych, takich jak oceny, frekwencja czy informacje o uczniach. Według Katarzyny Lubnauer, centralne rozwiązanie ma dać rodzicom i nauczycielom większe poczucie kontroli i zaufania do systemu.

Eksperci zwracają jednak uwagę, że stworzenie jednego ogólnokrajowego systemu to ogromne wyzwanie technologiczne i organizacyjne. Polskie szkoły korzystają dziś z różnych narzędzi, często zintegrowanych z innymi platformami edukacyjnymi. Migracja do jednego rozwiązania będzie wymagała nie tylko dużych nakładów finansowych, ale także szkoleń i zmiany dotychczasowych procedur.

Nie brakuje też głosów, że nawet państwowe systemy nie są całkowicie odporne na cyberataki, a kluczowym elementem bezpieczeństwa pozostaje czynnik ludzki. Brak świadomości zagrożeń, słabe hasła czy ignorowanie zasad cyberhigieny mogą podważyć skuteczność nawet najlepiej zaprojektowanych zabezpieczeń.