Enseñanza inteligente y aprendizaje inteligente en seguridad

Vistas

(por Fulvio Oscar Benussi) El prof. Fulvio Oscar Benussi, miembro de AIDR, es maestro de escuela secundaria, entrenador y publicista. El experto en innovación didáctica pronunció numerosos discursos en universidades italianas y extranjeras. Varias de sus contribuciones, muchas escritas en colaboración con Annamaria Poli, investigadora de la Universidad de Milán Bicocca, han sido publicadas en revistas científicas del campo universitario.

La necesidad prolongada de distanciamiento social y el consiguiente aplazamiento de la reapertura de las escuelas implica la necesidad de abordar la seguridad cibernética y la protección de la privacidad de las plataformas de educación a distancia (1). Después de un análisis de los problemas críticos de las plataformas, esperamos una aclaración por parte del Ministro.

El esfuerzo de los alumnos y estudiantes, sus familias, maestros y gerentes escolares y, en general, de la administración escolar, para mantener la continuidad del servicio educativo a través del aprendizaje a distancia es encomiable, pero los eventos recientes sugieren considerar con Gran atención todo el asunto.

El 9 de abril, se produjo un ataque de piratas informáticos en la plataforma educativa Axios (La Repubblica https://www.repubblica.it/cronaca/2020/04/09/news/axios_hacker-253550285/?ref=RHPPLF-BH-I253495487-C8 -P4-S2.5-T1) mientras que los ataques de piratas informáticos en otras plataformas educativas se habían producido en los días anteriores. Con los ataques, se introdujo material violento y pornográfico durante las lecciones y algunas instituciones tuvieron que interrumpir las lecciones a distancia durante unos días.

Preguntémonos qué escuela pudo haber hecho para detener estos problemas.

La plataforma educativa Axios ha sufrido un ataque de hackers DDoS que causa una gran cantidad de accesos fraudulentos. Algo análogo a este tipo de ataque (2) fue sufrido por aquellas escuelas que, sin recurrir a las plataformas gratuitas ofrecidas por el mercado, intentaron transmitir su aprendizaje a distancia al optar por las soluciones ofrecidas por los proveedores de otros servicios escolares digitales. , por ejemplo, de registros electrónicos, y que han visto a su sistema sentarse y no pueden administrar la enorme cantidad de tráfico digital generado.

Este tipo de dificultad también la vivieron en los Alpes nuestros vecinos franceses que, para dar continuidad a las actividades escolares, utilizaron la plataforma CNED llamada “Mi clase en casa” en todo el país y para todo tipo de escuela. Sin embargo, la elección del Ministerio francés de utilizar este sistema tropezó con algunas dificultades. Debido a demasiadas conexiones simultáneas, el acceso al sitio se saturó y se bloqueó varias veces.

En Italia, aparte de las experiencias antes mencionadas que se intentaron en algunas escuelas, se decidió no depender de una plataforma institucional nacional, que tampoco está disponible y que habría sido creada ad hoc.

A la luz del resultado de la elección hecha por los franceses, podemos decir que teníamos más visión de futuro.

Pero cada elección que renuncia a tomar un camino lleva como consecuencia que debemos optar por la otra alternativa, y el MIUR ha elegido sugerir a los maestros el uso de plataformas gratuitas que ofrece el mercado.

Enseñanza inteligente y aprendizaje inteligente con plataformas gratuitas

Al realizar actividades educativas remotas con referencia a la protección de la privacidad de los alumnos y estudiantes, es necesario tener en cuenta:

  • Las características de la estación de trabajo del profesor que la proporciona (ref. Reglamento GDPR (3));
  • Entrenamiento ad hoc y asignación para maestros individuales;
  • Las indicaciones contenidas en la Disposición "Educación a distancia: primeras indicaciones (4)" del Garante para la protección de datos personales de 26 de marzo de 2020.

El puesto de trabajo del profesor debe ser adecuado para garantizar que "se han establecido las medidas técnicas y organizativas adecuadas para que el tratamiento cumpla con los requisitos de este reglamento" (Ref. Art. 28 apartado 4 del Reglamento RGPD). Para no correr el riesgo de violación de datos (5), esto debería llevar, en nuestra opinión, a que el ordenador utilizado para el aprendizaje a distancia debe estar protegido por antivirus y Firewall. Además, el profesor no debe utilizar la PC ni siquiera para sus propias actividades personales, como correo electrónico, cuentas de redes sociales, etc. que podría favorecer la intrusión de malware, spyware, etc. Además, incluso si fuera la solución ideal, no es posible suponer que: "La estación de trabajo está disponible, instalada y probada por y a expensas de las escuelas e instituciones educativas, sobre las cuales se cargarían los costos de mantenimiento y administración. sistemas de apoyo a los trabajadores ". Sin embargo, estas son las condiciones contractuales para el teletrabajo del personal escolar (ART. 139 - Reglamento del Teletrabajo CCNL Escuela 2006-2009) e incluso si el teletrabajo no estaba regulado para los docentes en el momento de la firma del CCNL, la nueva situación, en nuestra opinión aviso, permite la analogía.

Todas las condiciones mencionadas anteriormente son obviamente imposibles en las condiciones de emergencia actuales.

Sin embargo, creemos que sería útil liberar al personal de la escuela de las responsabilidades derivadas de cualquier violación de los datos personales de los estudiantes debido al hecho de que los maestros operan con computadoras personales que, en muchos casos, no tienen las características indicadas anteriormente según sea necesario.

En este sentido, esperamos una intervención del Ministerio que pueda aclarar el asunto.

Para llevar a cabo la enseñanza a distancia, los maestros deberían haber seguido un curso de capacitación especial (6) sobre legislación de privacidad (7) y haber recibido una carta de asignación específica de los gerentes de sus escuelas que contenga instrucciones específicas para el procesamiento de datos personales en el área de TI. .

Dados los grandes cambios relacionados con la situación actual y la urgencia de garantizar la continuidad en la actividad educativa, parece haber dificultades objetivas en la implementación oportuna de lo anterior.

Las indicaciones contenidas en la Disposición "Educación a distancia: primeras indicaciones" del Garante para la protección de datos personales de 26 de marzo de 2020 son la referencia a partir de la cual hemos analizado las distintas plataformas DAD que se pueden utilizar.

"Los datos personales de menores, además," merecen una protección específica en relación con sus datos personales, ya que pueden ser menos conscientes de los riesgos, las consecuencias y las medidas de salvaguardia involucradas, así como sus derechos en relación con el procesamiento de datos personales " (rec. 38 del Reglamento) ".

Partimos de esta consideración del Garante al proceder con la verificación de las plataformas DAD que hemos analizado.

Indicaciones sobre el procedimiento seguido para analizar las plataformas DAD

Señalamos que las indicaciones que ahora ilustraremos también pueden ser seguidas por aquellos maestros que deseen verificar el cumplimiento de las reglas de privacidad de las plataformas DAD que están usando o se están preparando para usar.

En primer lugar, para la verificación es necesario leer los descargos de responsabilidad en la sección - Privacidad - de la plataforma. Señalamos que, para asegurarse de que ha leído la política de privacidad en su totalidad, no debe estar satisfecho con los resúmenes y resúmenes, sino que debe recuperar la versión completa. Las plataformas a menudo ofrecen acceso a la versión completa solo mediante el uso de botones y enlaces que se pueden activar con un clic.

Cabe señalar que cuando el aviso de privacidad está escrito para múltiples servicios ofrecidos o concierne tanto a los usuarios del servicio como a los empleados de la compañía, es extremadamente difícil entender qué especificaciones pueden afectar a otros y cuáles a estudiantes o profesores.

El segundo paso es leer la información completa sobre las cookies para verificar qué información recopilan.

El tercer paso es comparar lo declarado por el proveedor de la plataforma DAD con lo dispuesto en la "Educación a distancia: primeras indicaciones" Disposición del Garante para la protección de datos personales con el fin de evitar su uso, para realizar el DAD, si la plataforma considerado no cumple con las indicaciones del Garante.

Al analizar numerosas plataformas DAD (8) hemos identificado algunos problemas críticos.

Con respecto a los problemas relacionados con la elaboración de perfiles, el Garante declara: "Sin embargo, cuando se considere necesario recurrir a plataformas más complejas y" generalistas ", que no proporcionan servicios destinados exclusivamente a la enseñanza, solo los servicios estrictamente necesarios deben activarse por defecto capacitación, configurándolos de manera tal que se minimicen los datos personales que se procesarán, tanto durante la activación de los servicios como durante el uso de los mismos por parte de profesores y estudiantes (evitando, por ejemplo, el uso de datos sobre geolocalización, es decir sistemas de inicio de sesión social que, al involucrar a terceros, implican mayores riesgos y responsabilidades) ".

Con respecto a los datos relacionados con la geolocalización del usuario, estos datos también se pueden identificar adquiriendo la dirección IP (9) o la dirección MAC (10).

Para el perfil del usuario (el estudiante), el Garante declara: "Esta protección específica debe, en particular, referirse al uso de dichos datos con fines de marketing o de perfil y, en un sentido amplio, la recopilación relacionada en el contexto de prestación de servicios a menores mismos "

A este respecto, en algunas plataformas DAD analizadas, hemos encontrado indicaciones no realmente tranquilizadoras, por ejemplo:

"También haremos todos los esfuerzos razonables para garantizar que no usemos nuestros productos para recopilar información cuando visite sitios web ofrecidos por compañías distintas a la nuestra".

"La desactivación de las Cookies técnicas indicadas [...] podría impedir la correcta navegación en el Sitio y / o limitar su usabilidad (11)"

Para obtener más información, también consideramos útil señalar algunos artículos (12) que resaltan los aspectos críticos de las plataformas DAD que los maestros han usado y que en muchos casos todavía continúan usando.

Sobre la plataforma ZOOM, Jules Polonetsky, CEO del Foro Future of Privacy, dice que “los términos de servicio de Zoom incluyen algunas cláusulas que podrían invadir la privacidad del usuario. Por lo tanto, como con todos los productos, los usuarios deben tener cuidado al usar Zoom sin ser conscientes de algunos problemas de privacidad que les conciernen. Polonetsky siempre dice que la política de privacidad estándar de Zoom le permite compartir datos para marketing específico. Y algunos de los términos estándar de la compañía no son consistentes con la Ley de Derechos Educativos y Privacidad de la Familia Estadounidense, o FERPA, además de otras reglas sobre la protección de datos personales (podemos indicar el RGPD) (13) ".

También informamos sobre el ataque de phishing en la plataforma Webex de Cisco (14), para obtener indicaciones sobre las precauciones que se deben tomar y para informar a los estudiantes sobre los riesgos relacionados con los correos electrónicos fraudulentos que se les pueden enviar. De hecho, es importante proteger el aula virtual de cualquier ataque de piratería que realicen quienes, al ganarse la confianza del destinatario con correos electrónicos fraudulentos, logren obtener las credenciales para acceder a él y luego llevar a cabo acciones perturbadoras o peores (15).

Conclusiones

La intervención del Garante para la protección de datos personales sobre las características específicas que las plataformas DAD deben garantizar en relación con la protección de la privacidad de los menores (alumnos y estudiantes) ha resaltado explícitamente que existe un problema de privacidad.

Está claro que las habilidades multidisciplinarias (16) necesarias para determinar si una plataforma DAD garantiza el nivel correcto de privacidad no pueden ser poseídas y, por lo tanto, exigidas por maestros individuales o por administradores escolares individuales.

En particular, es poco probable que, para estas plataformas DAD, los maestros y los administradores escolares puedan, sin correr el riesgo de cometer errores, "activar, por defecto, los únicos servicios estrictamente necesarios para la capacitación, configurándolos para minimizar los datos personales que se procesarán". , tanto durante la activación de los servicios como durante el uso de los mismos por parte de maestros y estudiantes "según lo solicite el Garante de Privacidad.

Por esta razón, esperamos una intervención del Ministro que pueda aclarar el problema y permitir que el personal de la escuela pueda continuar sus actividades de enseñanza a distancia con la serenidad necesaria.

El prof. Fulvio Oscar Benussi, miembro de AIDR, es maestro de escuela secundaria, entrenador y publicista. El experto en innovación didáctica pronunció numerosos discursos en universidades italianas y extranjeras. Varias de sus contribuciones, muchas escritas en colaboración con Annamaria Poli, investigadora de la Universidad de Milán Bicocca, han sido publicadas en revistas científicas del campo universitario.

Nota:

  1. Aprendizaje a distancia, en adelante DAD
  2. Este es el tipo de ataque que recientemente se ha supuesto que golpeó el sitio INPS
  3. Por "Reglamento GDPR" nos referimos al REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016. https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri= CELEX: 32016R0679 y desde = eso
  4. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9300784
  5. Por violación de datos, en violación italiana de datos personales, nos referimos a la violación de seguridad que accidental o ilegalmente implica la destrucción, pérdida, modificación, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o procesados ​​de otra manera. .
  6. Ver art. 32 párrafo 4 del GDPR
  7. Los datos relacionados con la privacidad de los estudiantes pueden ser, por ejemplo, la lista de sus direcciones de correo electrónico.
  8. Hemos analizado varias plataformas, incluidas las que se informan en el enlace: https: // www. Education.it/coronavirus/didattica-a-distanza.html
  9. "[...] Con todo esto en mente, lo único que podemos hacer los" mortales comunes "es localizar una dirección IP obteniendo información general relacionada con el área en la que está presente la unidad de control a la que está conectada la conexión. referencia. De hecho, existen herramientas especiales que se usan para este propósito, incluso si es bueno tenerlo en cuenta, no permiten conocer la calle, el número de casa y tal vez incluso el número de teléfono, el nombre y el apellido de una persona. Sin embargo, esto no resta valor al hecho de que pueden resultar interesantes ". De: https://www.aranzulla.it/find-nome-and-address-of-home-a-partire-from-an-ip-address-bufala-966.html Servicio de geolocalización a partir de la dirección IP https://it.geoipview.com/
  10. “[…] Aunque la dirección MAC se puede cambiar a través del software, es un dato que casi siempre se transmite en texto claro por los distintos dispositivos de red. En los Estados Unidos, una encuesta recuerda cómo los teléfonos Android anotan regularmente las direcciones MAC de los dispositivos inalámbricos detectados en las cercanías al transmitirlos a los servidores de Google. Apple, Microsoft y Skyhook Wireless utilizan una práctica similar con el objetivo de "mapear" la posición geográfica de los enrutadores y puntos de acceso ubicados en todo el mundo ". Tomado de: https://www.ilsoftware.it/articoli.asp?tag=Dammi-il-tuo-MAC-address-e-ti-diro-dove-ti-trovi_7476
  11. Recordemos que el Garante declara: "Sin embargo, cuando se considere necesario recurrir a plataformas más complejas y" generalistas ", que no brindan servicios destinados exclusivamente a la enseñanza, solo los servicios estrictamente necesarios para la capacitación deben activarse por defecto, configurándolos en con el fin de minimizar los datos personales que se procesarán, tanto durante la activación de los servicios como durante el uso de los mismos por parte de profesores y estudiantes [...] "
  12. Concerniente a ZOOM https://www.ilsole24ore.com/art/non-solo-privacy-zoom-bufera-elon-musk-vieta-l-uso-dipendenti-AD2whdH?utm_medium=FBSole24Ore&utm_source=Facebook#Echobox=1585842151&refresh_ce_ce Véase también: https://www.wired.it/internet/web/1/2020/03/zoom-privacy-facebook/?refresh_ce=
  13. Mischitelli, Zoom y Houseparty: todos los problemas de privacidad y seguridad de las aplicaciones de videoconferencia más utilizadas, https://www.agendadigitale.eu/sicurezza/privacy/zoom-e-houseparty-tutti-i-problemi-privacy-e-security --de-app-a-vídeo ya usadas /
  14. Ver: https://threatpost.com/cisco-critical-update-phishing-webex/154585/
  15. Vedere: https://www.corriere.it/scuola/secondaria/20_aprile_01/coronavirus-lezioni-distanza-chi-fa-bullo-commette-reato-pagano-genitori-bbc54664-734c-11ea-bc49-338bb9c7b205.shtml e anche: https://iltirreno.gelocal.it/pisa/cronaca/2020/04/02/news/scuola-lezioni-a-distanza-interrotte-con-video-porno-o-violenti-1.38669535?refresh_ce
  16. Para llevar a cabo la actividad considerada, se requieren habilidades legales, informáticas y lingüísticas (a menudo, las renuncias están escritas en inglés).

Enseñanza inteligente y aprendizaje inteligente en seguridad