МОН сезира Цацаров за злоупотреба с достъп до данни на деца
Министерството на образованието и науката ще сезира прокуратурата за корист с достъпа до персонални данни на деца, осъществена от член на екипа по плана " Посещаемо и безвредно учебно заведение ", целящ връщането на отпадналите деца в учебно заведение.
Мерките бяха взети след обява на уеб страницата " Биволъ ", че информацията за хиляди деца е лишена от надеждна отбрана. Въпреки това от ведомството отхвърлиха да има повсеместен пробив и признаха единствено за " неточност ", която е била отстранена " след 10 минути ".
Оттам са безапелационни, че става дума не за систематичен проблем, а за изнасяне на информация от безсъвестен чиновник. Затова през днешния ден МОН ще сезира прокуратурата за случая.
Проблемът касае осведомителната система " Посещаемо и безвредно учебно заведение ", която бе презентирана преди два месеца от МОН като помощно средство в работата на държавните институции по търсене и привличане в клас на отпадналите възпитаници. Тя надгражда създадената през 2016 година от обединяване " Бетелгус, Професионална отбрана, Орак " система " Безопасно учебно заведение ", приложена за укрепване на сигурността по време на матурите в над 850 учебни заведения. До разширения вид, в който се съдържат данни, нужни за търсене на прибързано отпадналите от учебно заведение деца, имат достъп 11 632 представители на институциите, участващи в 1103 екипа - учители, шефове, обществени служащи, служители на реда, психолози, посредници и така нататък
Вчера " Биволъ " заяви, че след сигнал на четец се е добрал до данните на няколко деца, а е имал опция да получи и информация за всички. Според обявата въпросните данни са били налични в продължение на дълъг интервал от време без идентификация за всеки, който е знаел интернет адреса на платформата. Т.е. не е било проблем да се източат имената, възрастта, точните адреси и посещаваните учебни заведения за всички български деца и надлежно да се злоупотреби с тях. От уеб страницата пишат, че сигурността на платформата е под всякаква рецензия - страницата за идентификация не е била предпазена с криптиращ протокол, а паролите биха могли да бъдат прочетени от всеки злоумишлен хакер. Оттам настояват, че уеб сайтът на платформата е бил затворен от МОН след тяхната обява, само че и по-късно на него са се виждали цялостните данни на дете: три имена, възраст, сегашен и непрекъснат адрес и така нататък
От МОН в началото изрично обявиха, че " няма пробив в сигурността на системата за обсег на деца в просветителната система и свободен достъп до въвежданата за тях характерна информация ".
" Системата " Посещаемо и безвредно учебно заведение " в никакъв случай не е разполагала с данните на 1.2 млн. деца (както твърди " Биволъ " - бел.ред.). В системата съществува функционалност, която разрешава на над 10 000 членове на екипи да могат в действен порядък да получават/изпращат линкове само към бланка пример за формуляр, съдържаща име и адрес на детето. Тази функционалност е основана с оглед опцията екипите да имат достъп до информация за адресите, които следва да посетят, във допустимо най-кратки периоди ", показват от министерството. Следобед обаче оттова свикаха конференция, на която изскочиха нови детайлности за случая.
Просветният зам.-министър Деница Сачева уточни, че осведомителната система е " изолирана от интернет " и в нея се съдържат формуляри, попълвани от 11-те хиляди чиновници от разнообразни ведомства. Всеки от тези чиновници, подписал декларация за конфиденциалност, получава собствен линк, в който попълня данните за даден възпитаник и го изпраща към системата. По думите й член на някой от екипите е изпратил своя линк на публицистите .
" Ще сезираме прокуратурата, тъй като това е извънредно сериозен случай, провокация към сигурността на системата ", разяснява Сачева. Според нея въпросният " предател " може да е всичко друго, само че не и от МОН. Тя увери, че пробив в системата в смисъла на серийно източване на данни няма. По думите й е имало единствено " неточност ", която разрешавала посредством смяна на знак от линка на дадения чиновник от екипа по обсег да се получи достъп до протокол на друго дете. Пропускът бил отхвърлен незабавно, като е почнал и цялостен обзор на политиките за сигурност на министерството.
" Да ви кажа, че няма неразбиваеми системи, не е истина. Но тази не е разрушена ", разяснява Красимир Стоянов от консорциума, който поддържа системата. Той увери, че има преграда против серийното събаряне на информация за малко време, има и ограничавания до какъв брой формуляра има достъп един чиновник.
Експертът Божидар Божанов обаче разяснява за " Сега ", че въз основата на обявата в " Биволъ " може да се заключи с доста огромна сигурност, че дупка в осведомителната система на МОН има. По думите му в такива случаи въпросните линкове би трябвало да бъдат предпазени, най-малкото могат да бъдат с лимитирана дълготрайност на прилагане. Божанов е безапелационен, че всеки задоволително стимулиран хакер би могъл да разгадае линковете в системата и по този метод да се добере до данните на хиляди деца и без да има разполагаем безсъвестен служител. Според него дали някой се е възползвал от тези недостатъци, могат да кажат само ГДБОП или ДАНС.
Мерките бяха взети след обява на уеб страницата " Биволъ ", че информацията за хиляди деца е лишена от надеждна отбрана. Въпреки това от ведомството отхвърлиха да има повсеместен пробив и признаха единствено за " неточност ", която е била отстранена " след 10 минути ".
Оттам са безапелационни, че става дума не за систематичен проблем, а за изнасяне на информация от безсъвестен чиновник. Затова през днешния ден МОН ще сезира прокуратурата за случая.
Проблемът касае осведомителната система " Посещаемо и безвредно учебно заведение ", която бе презентирана преди два месеца от МОН като помощно средство в работата на държавните институции по търсене и привличане в клас на отпадналите възпитаници. Тя надгражда създадената през 2016 година от обединяване " Бетелгус, Професионална отбрана, Орак " система " Безопасно учебно заведение ", приложена за укрепване на сигурността по време на матурите в над 850 учебни заведения. До разширения вид, в който се съдържат данни, нужни за търсене на прибързано отпадналите от учебно заведение деца, имат достъп 11 632 представители на институциите, участващи в 1103 екипа - учители, шефове, обществени служащи, служители на реда, психолози, посредници и така нататък
Вчера " Биволъ " заяви, че след сигнал на четец се е добрал до данните на няколко деца, а е имал опция да получи и информация за всички. Според обявата въпросните данни са били налични в продължение на дълъг интервал от време без идентификация за всеки, който е знаел интернет адреса на платформата. Т.е. не е било проблем да се източат имената, възрастта, точните адреси и посещаваните учебни заведения за всички български деца и надлежно да се злоупотреби с тях. От уеб страницата пишат, че сигурността на платформата е под всякаква рецензия - страницата за идентификация не е била предпазена с криптиращ протокол, а паролите биха могли да бъдат прочетени от всеки злоумишлен хакер. Оттам настояват, че уеб сайтът на платформата е бил затворен от МОН след тяхната обява, само че и по-късно на него са се виждали цялостните данни на дете: три имена, възраст, сегашен и непрекъснат адрес и така нататък
От МОН в началото изрично обявиха, че " няма пробив в сигурността на системата за обсег на деца в просветителната система и свободен достъп до въвежданата за тях характерна информация ".
" Системата " Посещаемо и безвредно учебно заведение " в никакъв случай не е разполагала с данните на 1.2 млн. деца (както твърди " Биволъ " - бел.ред.). В системата съществува функционалност, която разрешава на над 10 000 членове на екипи да могат в действен порядък да получават/изпращат линкове само към бланка пример за формуляр, съдържаща име и адрес на детето. Тази функционалност е основана с оглед опцията екипите да имат достъп до информация за адресите, които следва да посетят, във допустимо най-кратки периоди ", показват от министерството. Следобед обаче оттова свикаха конференция, на която изскочиха нови детайлности за случая.
Просветният зам.-министър Деница Сачева уточни, че осведомителната система е " изолирана от интернет " и в нея се съдържат формуляри, попълвани от 11-те хиляди чиновници от разнообразни ведомства. Всеки от тези чиновници, подписал декларация за конфиденциалност, получава собствен линк, в който попълня данните за даден възпитаник и го изпраща към системата. По думите й член на някой от екипите е изпратил своя линк на публицистите .
" Ще сезираме прокуратурата, тъй като това е извънредно сериозен случай, провокация към сигурността на системата ", разяснява Сачева. Според нея въпросният " предател " може да е всичко друго, само че не и от МОН. Тя увери, че пробив в системата в смисъла на серийно източване на данни няма. По думите й е имало единствено " неточност ", която разрешавала посредством смяна на знак от линка на дадения чиновник от екипа по обсег да се получи достъп до протокол на друго дете. Пропускът бил отхвърлен незабавно, като е почнал и цялостен обзор на политиките за сигурност на министерството.
" Да ви кажа, че няма неразбиваеми системи, не е истина. Но тази не е разрушена ", разяснява Красимир Стоянов от консорциума, който поддържа системата. Той увери, че има преграда против серийното събаряне на информация за малко време, има и ограничавания до какъв брой формуляра има достъп един чиновник.
Експертът Божидар Божанов обаче разяснява за " Сега ", че въз основата на обявата в " Биволъ " може да се заключи с доста огромна сигурност, че дупка в осведомителната система на МОН има. По думите му в такива случаи въпросните линкове би трябвало да бъдат предпазени, най-малкото могат да бъдат с лимитирана дълготрайност на прилагане. Божанов е безапелационен, че всеки задоволително стимулиран хакер би могъл да разгадае линковете в системата и по този метод да се добере до данните на хиляди деца и без да има разполагаем безсъвестен служител. Според него дали някой се е възползвал от тези недостатъци, могат да кажат само ГДБОП или ДАНС.
Източник: actualno.com
КОМЕНТАРИ