במבט ראשון, הודעה הקופצת בקבוצת הוואטסאפ הכיתתית לקראת פתיחת שנת הלימודים נראית תמימה לחלוטין: "חתמו לי בטופס שאתם מאשרים להעביר את האבחונים הרלוונטיים", או "אנא מלאו את הצהרת הבריאות בלינק המצורף". אלא שמאחורי הנוחות שבשימוש באפליקציות מסרים פופולריות לתקשורת בין ביה"ס להורים, טמון סיכון חמור.
פעמים רבות, הורים ומורים מקבלים קישורים לטפסים מקוונים לא-מאובטחים או לפלטפורמות שקל לפרוץ אליהן ולמצוא מידע רגיש במיוחד על תלמידים: אבחונים פדגוגיים, נתונים רפואיים ופרטים אישיים. חשיפה של מידע כזה עלולה להוביל בקלות לשיימינג, גניבת זהות או שימוש לרעה בפרטים רפואיים.
לא מדובר בסיכון תיאורטי בלבד. כך, למשל, במארס השנה דלפו פרטיהם של 21 אלף תלמידי חינוך מיוחד מקובץ אקסל בודד שנשמר ברשלנות.
גם בזירה הבינלאומית לא חסרות דוגמאות מדאיגות. מערכת החינוך בלוס אנג'לס, למשל, חוותה פריצה ששיבשה את פעילותם של מאה בתי ספר וחשפה 500 ג'יגה-בייט של מידע אישי. במקביל, בפלורידה נרשמה מתקפת כופרה רחבת היקף בעקבות חשיפת נתוני תלמידים ובהודו מדווחים כ-8,000 אירועי סייבר במוסדות חינוך מדי שבוע.
"המעבר של בתי הספר למערכות המאובטחות של משרד החינוך איטי ואינו אחיד", מסביר שי נחום, מנכ"ל CYGHT ומומחה ללוחמת סייבר. "אנחנו ממשיכים לראות לינקים לגוגל פורמס בוואטסאפ הכיתתי ברחבי הארץ. זה בעיקר נובע מחוסר מודעות של אנשי החינוך לכך שהם נמצאים על הכוונת של ההאקרים, שיכולים לקצור נתונים רגישים על התלמידים ואף להשתמש בלינקים כווקטור חדירה למערכות בית הספר.
"ברגע שהאקרים מצליחים להשיג גישה ללינק פתוח כזה, הם יכולים להתחיל לקצור מידע, נתונים רגישים שמוזנים על ידי התלמידים ולהתחיל להיות חלק מה'כיתה'. יתרה מכך, אם לא מוגדרות ההגדרות הנכונות או קיימת חריגה בהרשאות ניתן אף לשנות את התוכן של הדף כדי להתאים אותו לרצונו של התוקף", מוסיף נחום.
הפרקטיקה הזו אינה רק מסוכנת, אלא גם בעייתית מבחינה חוקית. "העברת פרטים אישיים ומידע רפואי של תלמידים ברשתות חברתיות ככלל, ובקבוצות וואטסאפ בפרט, היא לא רק סיכון טכנולוגי - היא גם מהווה הפרה של חוק הגנת הפרטיות", אומר אילן מצליח, מנהל חטיבת אבטחת מידע וסייבר בבינת תקשורת ומחשבים. "הודעות ומסמכים שנשלחים בקבוצות כאלה אינם מוגנים כראוי ועלולים להגיע לידיים לא רצויות".
הפתרון, אם כן, דורש מעבר לכלים ייעודיים ומאובטחים. "ככל שבתי הספר הופכים דיגיטליים יותר, כך הם חשופים יותר לאיומי סייבר", מסביר אבירם כהן, מנכ"לEasyDo . "הבעיה היא שהמודעות לנושא נמוכה והצרכים של המורים בשטח לא מקבלים מענה. הפתרון נמצא במערכות שמאפשרות גמישות למורים לפתור את כלל הצרכים באופן מאובטח. בפועל, המשמעות היא שהמידע של התלמידים נשמר בענן מאובטח כמו כספת דיגיטלית, כל פרט אישי מוצפן כך שאף אחד לא יכול לקרוא אותו בלי מפתח מתאים, לכל משתמש יש גישה רק למה שהוא באמת צריך לראות, והגישה עצמה נבדקת בכל פעם מחדש לפי עיקרון של 'אמון אפס'. בצורה הזו אפשר להבטיח שהמידע הרגיש של התלמידים יישאר מוגן באמת".
אך הטכנולוגיה לבדה אינה מספיקה. לדברי מצליח, נדרשת גישה מערכתית מקיפה. "הכלים הטכנולוגיים קיימים - הצפנה, אימות זהות חכם, ניהול זהויות המגביל את הגישה למידע רגיש, כלי ניהול קבוצות מאובטחים ועוד. אך לצד הטכנולוגיה נדרשת אחריות מערכתית מצד המדינה והמערכת החינוכית להטמיע נהלים ברורים, ולהדריך מורים והורים כיצד לפעול נכון", הוא אומר. "רק שילוב של טכנולוגיה, מודעות ועמידה בחוק הגנת הפרטיות יבטיח שמידע אישי ורגיש של תלמידים לא יהפוך לכלי לפגיעה בהם".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו