Po poročanju nekaterih medijev, da so neznanci vdrli v sistem eAsistenta, ki ga uporabljajo številni šolarji, dijaki, njihovi starši in učitelji, nam je vodja varovanja informacij v podjetju eŠola, Sašo Volčjak, pojasnil, da ni prišlo do vdora v sistem, temveč je prišlo do kraje dostopnih podatkov določenih učiteljev. "Delovanje in varnost eAsistenta ni bila ogrožena, temveč so bili ogroženi vpisni podatki določenih učiteljev, ki so bili tarča napadalcev," pojasnjuje Volčjak, ki je za nas potrdil, da kriminalistična preiskava že poteka, kot so sporočili s PU Ljubljana, pa o podrobnostih zaradi interesa preiskave ne morejo govoriti.
"Lahko potrdimo, da je obstajala lažna spletna stran, ki je bila kopija eAsistenta in so jo postavili neznanci. Preko te strani so, kot je to običajno za phishing strani, lahko zbirali uporabniška imena in gesla tistih učiteljev, ki so lažno stran tudi obiskali. Takoj, ko smo lažno stran sami zaznali, smo poskrbeli za prijavo in njeno nedelovanje. Za vse pomembne podatke se beleži revizijska sled in se v primeru nepooblaščene spremembe podatkov to na podlagi različnih metapodatkov ter informacij lahko tudi ugotovi," pojasnjuje Volčjak.
To pa očitno pomeni, da so morebitne spremembe ocen ali vnos drugih popravkov izsledljivi in jih bo moč spremeniti.
V eŠoli zagotavljajo, da je za varnost dobro poskrbljeno, kot navajajo, eAsistent skrbi za zaupnost, celovitost in razpoložljivost podatkov v skladu z uveljavljenimi praksami informacijske varnosti in je certificiran po mednarodno priznanem standardu za informacijsko varnost ISO/IEC 27001:2013. Prav tako eAsistent šolam omogoča različne varnostne nastavitve, s katerimi lahko dodatno zaščitijo svoje podatke: PIN, IP filtri, dvostopenjsko preverjanje identitete in druge.
Lahek in poceni način kraje podatkov
"Pomembno je izpostaviti, da je kraja dostopnih podatkov preko lažne phishing strani le eden izmed načinov, ki se ga dandanes poslužujejo nepridipravi za krajo dostopnih podatkov. Velja pa za enega od bolj učinkovitih, saj je danes praktično zastonj mogoče registrirati domeno, ker nihče tega področja ne regulira. Prav tako je zelo enostavno pridobiti https certifikat, ki spletni strani doda verodostojnost. Z nekaj znanja programskega jezika HTML in CSS, pa se hitro lahko postavi tudi zelo verodostojna kopija strani. Nato je pa le še vprašanje nadaljnje iznajdljivosti nepridipravov, kako bodo svoje žrtve povabili, da spletno stran odprejo in v njo vpišejo svoje podatke," situacijo opisuje Volčjak.
Volčjak še opozarja, da se tveganje za krajo podatkov lahko občutno zniža, če uporabnik poleg uporabniškega imena in gesla uporablja tudi dvostopenjsko preverjanje identitete. Vendar se ob napačni ali nezanesljivi uporabi varnostnih mehanizmov na strani uporabnika in tudi ob dovolj velikem interesu nepridipravov tudi tukaj nevarnost ne konča. Zato vsem, ne samo učiteljem, svetuje, da se udeležijo brezplačnega Arnesovega tečaja o varni uporabi interneta in naprav, ki bo sredi marca.
KOMENTARJI (25)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.