Seria incydentów w Otwocku, Dragaczu i Jarocinie obnażyła w ostatnich dniach słabości w cyfrowej higienie szkół. Choć dostawcy systemów (Librus, Vulcan) zapewniają, iż ich serwery są bezpieczne, MEN zapowiada swoistą rewolucję i państwową platformę edukacyjną.
W ostatnich dniach polski sektor edukacyjny żyje serią cyberincydentów, które dotknęły użytkowników popularnych dzienników elektronicznych. Analiza techniczna wskazuje na prozaiczną ale zarazem trudną do wyeliminowania przyczynę: przejęcia kont nauczycieli. Sprawcy, wykorzystując skradzione loginy i hasła, wprowadzali chaos w szkolnych rejestrach, wystawiając uczniom oceny niedostateczne, wysyłając wulgarne wiadomości do rodziców, a choćby próbując wyłudzać pieniądze na fikcyjne wycieczki.
To nie był atak na infrastrukturę
Kluczowe ustalenia potwierdzają, iż infrastruktura gigantów rynku – firm Librus i Vulcan – nie została naruszona. Do włamań doszło wyłącznie poprzez kompromitację danych uwierzytelniających konkretnych pedagogów. Eksperci wskazują na dwa główne wektory ataku:
- Złośliwe oprogramowanie (stealery): zainstalowane na prywatnych, często niezabezpieczonych komputerach nauczycieli, które “zasysają” zapisane w przeglądarkach hasła.
- Recykling haseł: stosowanie tych samych danych logowania w wielu serwisach. jeżeli hasło wyciekło wcześniej z innej, słabo zabezpieczonej bazy, przestępcy mogą użyć go do wejścia do e-dziennika metodą credential stuffing.
Skala problemu, choć medialnie głośna, jest na razie ograniczona. Ministerstwo Edukacji Narodowej (MEN) oficjalnie potwierdziło trzy poważne incydenty (w Otwocku, gminie Dragacz i powiecie jarocińskim), choć nieoficjalnie mówi się o licznych próbach logowania w całej Polsce, które zostały zablokowane lub nie zakończyły się szkodami. W Otwocku sprawą zajęła się już policja, prowadząc dochodzenie z art. 267 KK (nieuprawniony dostęp do informacji), za co grozi do 2 lat pozbawienia wolności.
Prezes Librusa: “System nie obroni się sam”
W odpowiedzi na zarzuty, prezes Librus sp. z o.o., Marcin Kempka, opublikował list otwarty do szefowej MEN. Kempka stawia sprawę jasno: to wina braku higieny cyfrowej. W liście punktuje, iż “nawet najlepszy system będzie podatny, jeżeli użytkownicy nie stosują zabezpieczeń” i wskazuje, iż większość szkół i nauczycieli ignoruje dostępne w systemie mechanizmy weryfikacji dwuetapowej (2FA). Jego zdaniem sprowadzanie dyskusji do wyższości “państwowego nad prywatnym” jest błędem, jeżeli nie wyeliminujemy nawyków użytkowników, takich jak logowanie się z zainfekowanych urządzeń.
MEN kontratakuje: Państwowy e-dziennik w 2027
Minister Barbara Nowacka wykorzystała incydenty jako argument za przyspieszeniem prac nad rządowym rozwiązaniem. Według najnowszych zapowiedzi, 1 września 2027 roku ruszyć ma w pełni funkcjonalny, państwowy e-dziennik w ramach platformy Edukacja.gov.pl. System ten ma być obligatoryjnie zintegrowany z mObywatelem i wymuszać logowanie dwuskładnikowe, co w teorii ma ukrócić proceder kradzieży tożsamości.
Dla branży IT wniosek jest jeden: obecna sytuacja to podręcznikowy przykład tego, jak “czynnik białkowy” pozostaje najsłabszym ogniwem cyberbezpieczeństwa. Nauczyciele używający prywatnych laptopów do przetwarzania danych wrażliwych to systemowa luka, której nie załata żaden firewall. Z biznesowego punktu widzenia, wydarzenia te mogą być początkiem końca duopolu Librus-Vulcan, dając rządowi polityczne paliwo do nacjonalizacji cyfrowej infrastruktury szkół.