Министерството на образованието и науката ще сезира прокуратурата за злоупотреба с достъпа до лични данни на деца, извършена от член на екипа по проекта "Посещаемо и безопасно училище", целящ връщането на отпадналите деца в училище.
Мерките бяха взети след публикация на сайта "Биволъ", че информацията за хиляди деца е лишена от надеждна защита. Въпреки това от ведомството отрекоха да има цялостен пробив и признаха само за "грешка", която е била отстранена "след 10 минути".
Оттам са категорични, че става дума не за системен проблем, а за изнасяне на информация от недобросъвестен служител. Затова днес МОН ще сезира прокуратурата за случая.
Проблемът касае информационната система "Посещаемо и безопасно училище", която бе презентирана преди два месеца от МОН като помощно средство в работата на държавните институции по издирване и привличане в клас на отпадналите ученици. Тя надгражда разработената през 2016 г. от обединение "Бетелгус, Професионална защита, Орак" система "Безопасно училище", приложена за подсилване на сигурността по време на матурите в над 850 училища. До разширения вариант, в който се съдържат данни, необходими за издирване на преждевременно отпадналите от училище деца, имат достъп 11 632 представители на институциите, участващи в 1103 екипа - учители, директори, социални работници, полицаи, психолози, медиатори и т.н.
Вчера "Биволъ" съобщи, че след сигнал на читател се е добрал до данните на няколко деца, а е имал възможност да получи и информация за всички. Според публикацията въпросните данни са били достъпни в продължение на дълъг период от време без идентификация за всеки, който е знаел интернет адреса на платформата. Т.е. не е било проблем да се източат имената, възрастта, точните адреси и посещаваните училища за всички български деца и съответно да се злоупотреби с тях. От сайта пишат, че безопасността на платформата е под всякаква критика - страницата за идентификация не е била защитена с криптиращ протокол, а паролите биха могли да бъдат прочетени от всеки злонамерен хакер. Оттам твърдят, че сайтът на платформата е бил затворен от МОН след тяхната публикация, но и след това на него са се виждали пълните данни на дете: три имена, възраст, настоящ и постоянен адрес и т.н.
От МОН първоначално категорично заявиха, че "няма пробив в сигурността на системата за обхват на деца в образователната система и свободен достъп до въвежданата за тях специфична информация".
"Системата "Посещаемо и безопасно училище" никога не е разполагала с данните на 1.2 млн. деца (както твърди "Биволъ" - бел.ред.). В системата съществува функционалност, която позволява на над 10 000 членове на екипи да могат в оперативен порядък да получават/изпращат линкове единствено към бланка образец за формуляр, съдържаща име и адрес на детето. Тази функционалност е създадена с оглед възможността екипите да имат достъп до информация за адресите, които следва да посетят, във възможно най-кратки срокове", посочват от министерството. Следобед обаче оттам свикаха пресконференция, на която изскочиха нови подробности за случая.
Просветният зам.-министър Деница Сачева посочи, че информационната система е "изолирана от интернет" и в нея се съдържат формуляри, попълвани от 11-те хиляди служители от различни ведомства. Всеки от тези служители, подписал декларация за конфиденциалност, получава свой линк, в който попълва данните за даден ученик и го изпраща към системата. По думите й член на някой от екипите е изпратил своя линк на журналистите.
"Ще сезираме прокуратурата, защото това е изключително сериозен случай, провокация към сигурността на системата", коментира Сачева. Според нея въпросният "издайник" може да е всичко друго, но не и от МОН. Тя увери, че пробив в системата в смисъла на серийно източване на данни няма. По думите й е имало само "грешка", която позволявала чрез промяна на символ от линка на дадения служител от екипа по обхват да се получи достъп до протокол на друго дете. Пропускът бил отстранен веднага, като е започнал и пълен преглед на политиките за сигурност на министерството.
"Да ви кажа, че няма неразбиваеми системи, не е истина. Но тази не е разбита", коментира Красимир Стоянов от консорциума, който поддържа системата. Той увери, че има бариера срещу серийното сваляне на информация за кратко време, има и ограничения до колко формуляра има достъп един служител.
Експертът Божидар Божанов обаче коментира за "Сега", че на базата на публикацията в "Биволъ" може да се заключи с много голяма сигурност, че дупка в информационната система на МОН има. По думите му в такива случаи въпросните линкове трябва да бъдат защитени, най-малкото могат да бъдат с ограничена продължителност на ползване. Божанов е категоричен, че всеки достатъчно мотивиран хакер би могъл да разгадае линковете в системата и по този начин да се добере до данните на хиляди деца и без да има наличен недобросъвестен чиновник. Според него дали някой се е възползвал от тези слабости, могат да кажат единствено ГДБОП или ДАНС.
