(Фульвио Оскар Бенусси) Проф. Фульвио Оскар Бенусси, член AIDR, является учителем средней школы, тренером и публицистом. Эксперт по дидактическим инновациям выступил с многочисленными выступлениями в итальянских и зарубежных университетах. Различные его работы, многие из которых были написаны в сотрудничестве с исследователем Аннамария Поли из Миланского университета Бикокка, были опубликованы в научных журналах университетской области.

Длительная потребность в социальном дистанцировании и, как следствие, откладывание повторного открытия школ подразумевает необходимость заниматься кибербезопасностью и защитой конфиденциальности платформ дистанционного обучения (1). После анализа критических вопросов платформ мы надеемся на разъяснения министра.

Усилия учеников и студентов, их семей, учителей и руководителей школ и, в более общем плане, администрации школы, по обеспечению непрерывности образовательных услуг посредством дистанционного обучения заслуживают высокой оценки, но недавние новостные события предлагают рассмотреть с большое внимание все дело.

9 апреля произошла хакерская атака на образовательную платформу Axios (La Repubblica https://www.repubblica.it/cronaca/2020/04/09/news/axios_hacker-253550285/?ref=RHPPLF-BH-I253495487-C8 -P4-S2.5-T1), в то время как хакерские атаки на другие образовательные платформы происходили в предыдущие дни. С нападением были жестокий и порнографический материал, вводимый во время занятий и некоторых учреждений пришлось остановиться на несколько дней на расстоянии уроков.

Итак, давайте спросим себя, что школа могла сделать, чтобы остановить эти проблемы

Образовательная платформа Axios подверглась хакерской атаке DDoS, которая привела к огромному количеству мошеннических обращений. Нечто аналогичное этому типу атаки (2) было перенесено теми школами, которые, не обращаясь к бесплатным платформам, предлагаемым рынком, пытались передать свое дистанционное обучение, вместо этого выбрав решения, предлагаемые поставщиками других цифровых школьных услуг. например, из электронных регистров, которые видели, как их система села и не в состоянии управлять огромным количеством генерируемого цифрового трафика.

С подобными трудностями столкнулись и наши французские соседи в Альпах, которые, чтобы обеспечить непрерывность школьной деятельности, использовали платформу CNED под названием «Мой класс дома» по всей стране и для всех типов школ. Однако выбор французского министерства использовать эту систему натолкнулся на некоторые трудности. Из-за слишком большого количества одновременных подключений доступ к сайту был перегружен и несколько раз прерывался.

В Италии, помимо вышеупомянутого опыта, предпринятого в некоторых школах, было решено не полагаться на национальную институциональную платформу, которая также недоступна и которая была бы создана ad hoc.

В свете результатов выбора, сделанного французами, мы можем сказать, что мы были более дальновидными.

Но каждый выбор, который отказывается идти по дороге, приводит к тому, что мы должны выбрать другую альтернативу, и MIUR решил предложить учителям использование бесплатных платформ, предлагаемых рынком.

Умное обучение и умное обучение с бесплатными платформами

При проведении дистанционных образовательных мероприятий со ссылкой на защиту конфиденциальности учеников и студентов необходимо учитывать:

• Характеристики рабочей станции учителя, которая ее обеспечивает (см. Регламент GDPR (3));
• Специальная подготовка и назначение для отдельных учителей;
• Указания, содержащиеся в Положении «Дистанционное обучение: первые указания (4)» Гаранта по защите персональных данных от 26 марта 2020 года.

Рабочее место учителя должно быть подходящим для обеспечения того, чтобы «были приняты соответствующие технические и организационные меры, чтобы обработка соответствовала требованиям настоящего регламента» (см. Пункт 28 статьи 4 регламента GDPR). Чтобы не подвергаться риску утечки данных (5), по нашему мнению, это должно означать, что компьютер, используемый для дистанционного обучения, должен быть защищен антивирусом и межсетевым экраном. Кроме того, учитель не должен использовать ПК даже для своей личной деятельности, такой как электронная почта, учетные записи социальных сетей и т. Д. которые могут способствовать проникновению вредоносного, шпионского ПО и т. д. Более того, даже если это было бы идеальным решением, невозможно выдвинуть гипотезу о том, что: «Рабочая станция предоставляется, устанавливается и тестируется школами и образовательными учреждениями и за их счет, которые должны будут нести расходы на техническое обслуживание и управление. системы поддержки рабочих ». Тем не менее, это договорные условия для удаленной работы школьного персонала (СТАТЬЯ 139 - Регулирование удаленной работы CCNL School 2006-2009), и даже если удаленная работа не была регламентирована для учителей на момент подписания CCNL, новая ситуация, по нашему мнению обратите внимание, позволяет аналогия.

Все перечисленные выше условия, очевидно, невозможны в текущих аварийных условиях.

Тем не менее, мы считаем, что было бы полезно освободить школьный персонал от обязанностей, связанных с любым нарушением личных данных учащихся, поскольку учителя работают с персональными компьютерами, которые во многих случаях не имеют указанных выше характеристик по мере необходимости.

В этом смысле мы надеемся на вмешательство Министерства, которое сможет прояснить этот вопрос.

Чтобы проводить дистанционное обучение, учителя должны были пройти специальный учебный курс (6) по законодательству о конфиденциальности (7) и получить от своих руководителей школ специальное письмо с заданиями, содержащее конкретные инструкции по обработке персональных данных в области ИТ. ,

Учитывая большие изменения, связанные с текущей ситуацией, и настоятельную необходимость обеспечения преемственности в образовательной деятельности, как представляется, существуют объективные трудности в своевременном осуществлении вышеуказанного.

Указания, содержащиеся в Положении «Дистанционное обучение: первые указания» Гаранта по защите персональных данных от 26 марта 2020 года, являются справочными, на основе которых мы проанализировали различные платформы DAD, которые могут быть использованы.

Кроме того, «личные данные несовершеннолетних» заслуживают особой защиты в отношении их персональных данных, поскольку они могут быть менее осведомлены о рисках, последствиях и мерах защиты, а также об их правах в отношении обработки персональных данных ». (рек. 38 Правил) ".

Мы начали с рассмотрения Гаранта и приступили к проверке платформ DAD, которые мы проанализировали.

Показания к процедуре, используемой для анализа платформ DAD

Мы отмечаем, что указаниям, которые мы сейчас проиллюстрируем, могут также следовать те учителя, которые хотят проверить соответствие правилам конфиденциальности платформ DAD, которые они используют или готовятся использовать.

Прежде всего, для проверки необходимо прочитать заявления об отказе в разделе - Конфиденциальность - платформы. Мы отмечаем, что для того, чтобы вы полностью ознакомились с политикой конфиденциальности, вы не должны быть довольны сводками и сводками, но вы должны восстановить полную версию. Платформы часто предлагают доступ к полной версии только с помощью кнопок и ссылок, которые можно активировать одним щелчком мыши.

Следует отметить, что когда заявление об отказе от конфиденциальности написано для нескольких предлагаемых услуг или касается как пользователей службы, так и сотрудников компании, чрезвычайно трудно понять, какие спецификации могут касаться других, а какие - студентов или преподавателей.

Второй шаг - прочитать полную информацию о файлах cookie, чтобы проверить, какую информацию они собирают.

Третий шаг - сравнить то, что заявлено поставщиком платформы DAD, с положениями «Дистанционного обучения: первые признаки» положения Гаранта о защите персональных данных во избежание их использования, для выполнения DAD, если платформа считается не соответствует указаниям Гаранта.

Анализируя многочисленные платформы DAD (8), мы выявили некоторые критические проблемы.

Что касается проблем, связанных с профилированием, Гарант заявляет: «Там, где, однако, необходимо прибегнуть к более сложным и« универсальным »платформам, которые не предоставляют услуги, предназначенные исключительно для обучения, по умолчанию должны быть активированы только строго необходимые услуги». обучение, настройка их таким образом, чтобы свести к минимуму обрабатываемые личные данные как во время активации служб, так и во время их использования учителями и учащимися (исключая, например, использование данных о геолокации, т.е. системы социального входа, которые, привлекая третьих лиц, сопряжены с большими рисками и ответственностью). "

Что касается данных, относящихся к геолокации пользователя, эти данные также могут быть идентифицированы путем получения IP-адреса (9) или MAC-адреса (10).

Что касается профилирования пользователя (студента), Гарант заявляет: «Эта конкретная защита должна, в частности, касаться использования таких данных в маркетинговых или профилирующих целях и, в широком смысле, соответствующего сбора в контексте предоставление услуг самим несовершеннолетним "

В связи с этим в некоторых проанализированных платформах DAD мы обнаружили не очень обнадеживающие признаки, например:

«Мы также приложим разумные усилия, чтобы не использовать наши продукты для сбора информации при посещении веб-сайтов, предлагаемых компаниями, отличными от наших».

«Указанная [...] деактивация технических файлов cookie может помешать правильной навигации по Сайту и / или ограничить его использование (11)»

Для получения дополнительной информации мы также считаем полезным указать некоторые статьи (12), в которых освещаются критические аспекты платформ DAD, которые используются учителями и которые во многих случаях все еще продолжают использоваться.

О платформе ZOOM Жюль Полонецкий, генеральный директор Future of Privacy Forum, говорит, что «условия обслуживания Zoom включают некоторые положения, которые могут нарушить конфиденциальность пользователей. Таким образом, как и во всех продуктах, пользователи должны быть осторожны при использовании Zoom, не зная о некоторых вопросах конфиденциальности, которые его касаются. Всегда Полонецкий говорит, что стандартная политика конфиденциальности Zoom позволяет вам обмениваться данными для целевого маркетинга. И некоторые из стандартных условий компании не соответствуют американскому Закону о правах на образование и конфиденциальность в семье или FERPA, в дополнение к другим правилам защиты личных данных (мы можем указать GDPR) (13). ".

Мы также сообщаем о фишинг-атаке на платформу Cisco Webex (14) для указания мер предосторожности и информирования студентов о рисках, связанных с мошенническими электронными письмами, которые могут быть им доставлены. Фактически важно защитить виртуальную классную комнату от любых хакерских атак, совершаемых теми, кто, завоевав доверие получателя с помощью мошеннических электронных писем, может получить учетные данные для доступа к нему, а затем выполнить тревожные или более серьезные действия (15).

выводы

Вмешательство Гаранта по защите персональных данных в отношении конкретных характеристик, которые платформы DAD должны гарантировать в отношении защиты конфиденциальности несовершеннолетних (учеников и студентов), четко выявило наличие проблемы конфиденциальности.

Ясно, что междисциплинарные навыки (16), необходимые для определения того, гарантирует ли платформа DAD необходимый уровень конфиденциальности, не могут быть получены и, следовательно, востребованы отдельными учителями или отдельными школьными руководителями.

В частности, маловероятно, что для этих платформ DAD учителя и руководители школ смогут, не рискуя совершать ошибки, «активировать по умолчанию только те службы, которые строго необходимы для обучения, и сконфигурировать их для минимизации обработки персональных данных. как во время активации услуг, так и во время их использования учителями и учащимися »в соответствии с поручением Гаранта конфиденциальности.

По этой причине мы надеемся на вмешательство министра, которое сможет прояснить проблему и позволить школьным сотрудникам продолжить свои занятия по дистанционному обучению с необходимым спокойствием.

Проф. Фульвио Оскар Бенусси, член AIDR, является учителем средней школы, тренером и публицистом. Эксперт по дидактическим инновациям выступил с многочисленными выступлениями в итальянских и зарубежных университетах. Различные его работы, многие из которых были написаны в сотрудничестве с исследователем Аннамария Поли из Миланского университета Бикокка, были опубликованы в научных журналах университетской области.

Внимание

1. Дистанционное обучение, далее ДАД
2. Это тип атаки, которая, как недавно предполагалось, поразила сайт INPS
3. Под «Регламентом GDPR» мы подразумеваем ПОСТАНОВЛЕНИЕ (ЕС) 2016/679 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА от 27 апреля 2016 года. Https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri= CELEX: 32016R0679 & from = it
4. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9300784
5. Под утечкой данных, под итальянским нарушением личных данных, мы подразумеваем нарушение безопасности, которое случайно или незаконно влечет за собой уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к персональным данным, переданным, сохраненным или обработанным иным образом. ,
6. Смотрите искусство. 32 пункт 4 ГДПР
7. Данные, относящиеся к конфиденциальности студентов, могут быть, например, списком их адресов электронной почты.
8. Мы проанализировали различные платформы, включая те, о которых сообщалось по ссылке: https: // www. Education.it/coronavirus/didattica-a-distanza.html
9. «[...] Чтобы не отставать от всего этого, единственное, что нам,« обычным смертным », разрешено делать, - это найти IP-адрес, получая общую информацию, относящуюся к области, в которой находится блок управления, к которому подключено соединение. ссылка. На самом деле существуют специальные инструменты, используемые для этой цели, даже если это полезно помнить, что они не позволяют узнать улицу, номер дома и, возможно, даже номер телефона, имя и фамилию человека. Однако это не умаляет того факта, что они могут оказаться интересными ». От: https://www.aranzulla.it/find-nome-and-address-of-home-a-partire-from-an-ip-address-bufala-966.html Служба геолокации, начиная с IP-адреса https://it.geoipview.com/
10. «[…] Хотя MAC-адрес можно изменить с помощью программного обеспечения, это данные, которые почти всегда передаются в виде открытого текста различными сетевыми устройствами. Опрос, проведенный в Штатах, напоминает о том, как телефоны Android регулярно регистрируют MAC-адреса беспроводных устройств, обнаруженных поблизости, путем передачи их на серверы Google. Похожая практика используется Apple, Microsoft и Skyhook Wireless с целью «сопоставить» географическое положение маршрутизаторов и точек доступа, расположенных по всему миру ». Взято с: https://www.ilsoftware.it/articoli.asp?tag=Dammi-il-tuo-MAC-address-e-ti-diro-dove-ti-trovi_7476
11. Напомним, что Гарант заявляет: «Там, где, однако, необходимо прибегнуть к более сложным и« универсальным »платформам, которые не предоставляют услуги, предназначенные исключительно для обучения, по умолчанию должны быть активированы только те услуги, которые строго необходимы для обучения, конфигурируя их в с целью минимизации обработки персональных данных как во время активации служб, так и во время их использования учителями и учащимися [...] "
12. По поводу ZOOM https://www.ilsole24ore.com/art/non-solo-privacy-zoom-bufera-elon-musk-vieta-l-uso-dipendenti-AD2whdH?utm_medium=FBSole24Ore&utm_source=Facebook#Echobox=1585842151 См. Также: https://www.wired.it/internet/web/1/2020/03/zoom-privacy-facebook/?refresh_ce=
13. Mischitelli, Zoom и Houseparty: все проблемы конфиденциальности и безопасности наиболее часто используемых приложений для видеоконференций, https://www.agendadigitale.eu/sicurezza/privacy/zoom-e-houseparty-tutti-i-problemi-privacy-e-security -of-приложение к видео-более используется /
14. Смотрите: https://threatpost.com/cisco-critical-update-phishing-webex/154585/
15. Vedere: https://www.corriere.it/scuola/secondaria/20_aprile_01/coronavirus-lezioni-distanza-chi-fa-bullo-commette-reato-pagano-genitori-bbc54664-734c-11ea-bc49-338bb9c7b205.shtml e anche: https://iltirreno.gelocal.it/pisa/cronaca/2020/04/02/news/scuola-lezioni-a-distanza-interrotte-con-video-porno-o-violenti-1.38669535?refresh_ce
16. Для осуществления рассматриваемой деятельности требуются юридические, информационные и лингвистические навыки (часто заявления об отказе написаны на английском языке).

Умное обучение и умное обучение в безопасности