A távoktatás egy kész adatvédelmi rémálom

• A koronavírus-járvány miatt hirtelen a magyar közoktatásra szakadt a digitális távoktatás terhe. Az új helyzet nemcsak módszertanilag érhette felkészületlenül az iskolákat, adatvédelmi szempontból is rengeteg a buktató.
• Tévhit, hogy a diákok már úgyis tudnak mindent a netről, valójában a felnőtteknél is több veszélynek vannak kitéve. A távoktatásos átállás sietségében azonban a gyerekek online védelmére kevés energia jut.
• A tanárok egy része sincs tisztában azzal, melyik általuk használt szolgáltatás milyen kockázatot hordoz, és hogy lehetne biztonságosabban használni.
• Itthon is a Zoom vált az egyik legnépszerűbb szolgáltatássá, de számos komoly probléma van vele, amit maga a fejlesztőcég is elismert.
• Mit tehet a szülő, hogy segítse ebben helyzetben a gyereke biztonságát? Mihez van joga az iskolának? És milyen adatvédelmi kötelezettséget rótt rá az új helyzet?

A koronavírus-járvány az élet minden terén komoly kihívások elé állítja a társadalmat. A közösségi távolságtartás melléktermékeként a bevásárlástól a kapcsolattartásig az életünk egyre nagyobb része költözik az online térbe, ami új veszélyekkel is jár. Arról már írtunk, hogy az egyre gyakoribb home office különösen termékeny talaja a kibertámadásoknak, de az egyik hétről a másikra bevezetett távoktatás is rengeteg problémát hozott magával.

Amikor Orbán Viktor miniszterelnök március 13-án váratlanul bejelentette, hogy néhány nappal később minden általános és középiskolának távoktatásra kell átállnia, egy csapásra digitalizálódott az oktatás, amit a szakértők már régóta szorgalmaztak, de persze nem pont így képzelték el, hogy egyszer megvalósul.

A villámként becsapó távoktatás minden résztvevőt egy egész országra kiterjedő kísérlet kényszerű alanyává tett. Nem egy gondosan kiválasztott és alaposan előkészített eszközkészletet kellett hosszú tesztelés után élesben is bevetni, hanem az épp elérhető és szembejövő szolgáltatásokból volt kénytelen minden iskola, tanár összeeszkábálni egy virtuális oktatási platformot, ami ennek megfelelően meglehetősen recseg-ropog még. Ez az új helyzet a pedagógiai problémák, a módszertani felkészületlenség mellett adatvédelmi szempontból is kihívás elé állít minden érintettet: tanárt, diákot, szülőt.

A tanároknak volt elég gondjuk azzal, hogy minél gyorsabban működő, könnyen használható, ingyen elérhető eszközöket találjanak, jó eséllyel és érthető módon arra már nem feltétlenül maradt kapacitás, hogy arra is figyeljenek, hogy csak biztonságos szolgáltatások használatát írják elő a gyerekeknek, arra meg pláne nem, hogy a biztonságos használatukra is felkészítsék őket – vagy ne adj' isten saját magukat.

Arról nem is beszélve, hogy olyanok is sokan vannak, akik örülnének, ha az adatvédelem lenne a legnagyobb gondjuk a távoktatással kapcsolatban. Egyes becslések szerint a magyar diákok ötödéhez el sem jut a digitális távoktatás, mert nincs hozzá megfelelő eszközük, ami állami beavatkozás hiányában még tovább növelheti a már amúgy is jelentős egyenlőtlenségeket, és akár meg is sokszorozhatja a bukások arányát.

Sok veszély, kevés idő

Ha a kiskorúak netezni kezdenek, nyilván ők is ugyanúgy ki vannak téve a szokásos online veszélyeknek, például az adathalász próbálkozásoknak, mint bárki más, illetve az ezzel kapcsolatos tapasztalatlanságuk miatt még inkább.

Az tévhit, hogy mivel a mai gyerekek már szinte okostelefonnal a kezükben születnek, nincs szükségük segítségre a digitális eszközök használatában. Maga a kütyük irányítása lehet, hogy készségszinten megy nekik, de éppen az adatvédelmi, biztonsági kockázatokkal, a netes csalásokkal vagy akár a félrevezető információk szűrésével, a forráskritika fontosságával egyáltalán nem biztos, hogy maguktól tisztában vannak. Plusz az internet kinyílásával a cyberbullying, azaz az online zaklatás esélye is megnő, akár idegenekkel, akár a saját társaikkal összetalálkozva a virtuális térben.

De ezeknél kevésbé nyilvánvaló digitális veszélyeket is hordoz a távoktatás. Például hogy a hirtelen beállt új helyzetben magukra hagyott tanárok jóhiszeműen olyan, egyébként praktikus szolgáltatások használatát kötik ki a diákoknak, amelyek begyűjthetik vagy máshová továbbíthatják a személyes adataikat, esetleg sebezhetővé teszik magát az eszközüket is.

Az ilyesmi sokszor már körültekintőbb beállítások használatával is kiküszöbölhető lenne, de most mindenkinek kisebb baja is nagyobb annál, hogy a netre lépő kiskorúak adataira vigyázzon – miközben ez lenne az a pillanat, amikor elő lehetne segíteni, hogy tudatos felhasználóvá váljanak. Csak ehhez mínusz egy világjárványra, és plusz jó pár hónapnyi vagy akár évnyi előkészítő munkára lett volna szükség.

Zoom: botrányokkal övezett sikersztori

Minderre jó esettanulmányt kínál a Zoom nevű videócsetplatform, amely a botcsinálta magyar távoktatásban is gyorsan nagy népszerűségre tett szert, ezért érdemes kicsit alaposabban is megnézni a példáját.

A Zoom azon kevés cég közé tartozik, amelyeket a járvány nem válságba taszított, hanem gazdasági értelemben még nyertek is rajta. A szolgáltatás napi aktív felhasználói száma márciusra 200 millióra ugrott, ami elképesztő mértékű, 2000 százalékos növekedés a decemberi 10 millióhoz képest.

Összehasonlításként, a rivális Skype szintén nagyot nőtt ebben a mutatóban, egyetlen hónap alatt 70 százalékot, de ezzel is csak napi 40 millió aktív felhasználójuk van. A Skype-ot előbb-utóbb feltehetően teljesen kiváltó Teams négy hónap alatt 110, ezen belül egyetlen hét alatt 37 százalékot növekedve már 44 millió napi aktív felhasználónál tart, de a két Microsoft-termék együtt se éri el a Zoom napi felhasználószámának felét. Nem csoda, hogy kiszivárgott videók szerint a Microsoft egyre nagyobb fenyegetést lát a Zoomban.

A Zoomot cégek, kormányzati intézmények és magánemberek mellett 20 ország több mint 90 ezer iskolája is használja. Előnyei közé tartozik, hogy könnyen és rugalmasan használható, illetve az ingyenes verziója is viszonylag nagy mozgásteret ad, pláne mióta a járvány miatt több országban fel is oldottak az iskoláknak bizonyos ingyenes korlátozásokat, több riválisukhoz hasonlóan.

Az elmúlt hetekben azonban sorra derültek ki újabb és újabb biztonsági hibák, adatvédelmi aggályok, megkérdőjelezhető gyakorlatok a szolgáltatásról, amelyekre biztonsági szakértők mellett például az FBI is felhívta a figyelmet. A fejlemények hatására el is kezdődött némi lemorzsolódás, New York-i iskoláktól a SpaceXen, a Google-ön és az amerikai kormányzati szerveken át a Magyar Ügyvédi Kamaráig több szervezet is megtiltotta vagy ellenjavalttá tette a Zoom használatát.

Na de mi a baj a Zoommal? A leglátványosabb probléma a zoombombing nevű jelenség, amelynek a lényege, hogy idegenek csatlakoznak egy védtelen beszélgetéshez, és elkezdik teleszemetelni pornóval vagy más oda nem illő tartalommal. A zoombombing egyébként nem teljesen új jelenség, az Apple vezeték nélküli fájlmegosztó szolgáltatását, az AirDropot például már évekkel ezelőtt is használták idegenek kibervillantásra, azaz arra, hogy a péniszükről küldjenek fotókat a közelben tartózkodó idegenek telefonjára.

A legtöbbet a zoombombingról lehetett hallani az elmúlt hetekben, pedig jó pár további adatvédelmi és biztonsági aggály is felmerült a Zoommal kapcsolatban:

• Az iOS-app adatokat küld a Facebooknak, akkor is, ha a felhasználónak nincs is Facebook-fiókja.
• A Windows-appon keresztül egy sebezhetőség miatt jelszavak lophatók és távolról programok futtathatók a gépen.
• A Mac-app felhasználói interakció nélkül települ, ami sebezhetővé teszi az operációs rendszert.
• A Mac-app egy biztonsági hibája lehetővé teszi, hogy egy támadó hozzáférjen a gép webkamerájához és mikrofonjához.
• Szintén a Mac-app a felhasználó tudta nélkül telepített egy komponenst, amellyel visszaélve idegenek kikényszeríthették a csatlakozást egy videóhíváshoz, ezzel távolról bekapcsolva az illető webkameráját.
• A szolgáltatás egy tervezési hiba miatt több ezer felhasználó emailcímét fedte fel más, idegen felhasználóknak.
• A cég azt állította, hogy a hívások végpontok között titkosítottak (azaz csak a felhasználók férhetnek hozzájuk, és még maga a cég sem), de erről kiderült, hogy csúsztatás, és valójában a Zoom beleláthat a beszélgetések tartalmába.
• A tényleg alkalmazott titkosítási eljáráshoz viszont egy kifejezetten problémás módszert használnak.
• Ráadásul kiderült, hogy a beszélgetések akkor is átfuthatnak kínai szervereken, amikor egyik résztvevő sincs Kínában, és ilyenkor a titkosítási kulcsokat is kínai szerverek generálhatják. Ezek átadására pedig a kínai kormány elvileg kötelezheti a céget, így beleláthat a hívások tartalmába, ami kellemetlen egy olyan program esetében, amelyet többek között az amerikai és a brit kormány is használt.
• A cégnek a homályos adatvédelmi tájékoztatója szerint lehetősége volt felhasználni a beszélgetéseket hirdetések célzására.
• Kritika érte azt a funkciót is, amellyel a videóhívás gazdája láthatja, ha egy résztvevő előtt több mint fél perce másik ablak aktív, nem a Zoomé; bár ez az adatvédelmi szempontból megkérdőjelezhető alapbeállítás tanítási környezetben akár előny is lehet.
• És persze a szokásos netes átverések is megjelentek, amelyekben a cég nem hibás, hanem maga is áldozat, de a Zoom kapcsán felmerülő veszélyek sorában érdemes ezeket is megemlíteni: csalók a Zoom nevével visszaélve, a honlapjához hasonló oldalakat létrehozva próbálják rávenni a felhasználókat, hogy a Zoom appja helyett a saját, kártékony kódot tartalmazó programjukat töltsék le.

Egyszer megjavulok én

A kritikák áradatára a Zoom is lépett, elismerték a hibákat, és ígéretet tettek az orvoslásukra. Bejelentették, hogy minden más fejlesztést félretesznek, és minden erőforrásukat a felmerült problémák megoldására fordítják, amihez külső szakértők segítségét is kérik, hibavadász programot indítanak, és felállítanak egy adatbiztonsági tanácsot.

Bizonyos hibákat, például a facebookos adattovábbítást már javították is, illetve szigorítottak az adatvédelmi szabályzatukon, hogy egyértelművé tegyék, hogy nem használnak felhasználói adatokat hirdetéscélzásra. Azt is megígérték, hogy többé nem fog kínai szerveren keresztülmenni olyan kommunikáció, amelynek egyik résztvevője sincs Kínában, a fizetős felhasználók pedig ki is választhatják, melyik országban található szervert akarnak használni.

A zoombombing kivédésére az ingyenes felhasználóknak is lehetővé tették a Várószoba nevű funkciót, amellyel a beszélgetés gazdája előszűrheti, kit enged be; illetve alapértertelmezetté tették, hogy a beszélgetések jelszóval legyenek védve, és ezt az ingyenes felhasználóknál, így az iskolák esetében, ezentúl ki se lehet kapcsolni.

A lépéseket a szakértők is üdvözölték. Szingapúrban pedig, ahol korábban megtiltották a tanároknak a Zoom használatát, néhány napja újra engedélyezték a szolgáltatást, bizonyos központi szigorítások bevezetése után:

• Az oktatási minisztérium központilag fogja menedzselni a tanárok alapértelmezett biztonsági beállításait.
• A könnyű kezelhetőség kedvéért egyetlen gombba sűrítették az összes biztonsági beállítást,
• Korlátozták a tanárok által elérhető funkciókat az appban. Ezeket a terv szerint később fokozatosan újra elérhetővé teszik, ahogy garantált lesz a biztonságos használatuk, illetve a tanárok is jobban beleszoknak az app használatába.
• A tanároknak alá kell írniuk, hogy tisztában vannak a szolgáltatás biztonságos használatát lehetővé tevő protokollokkal.

Ez a megközelítés jelzi, hogy a problémák ellenére sem feltétlenül kell teljesen megválni az egyébként hasznos eszköznek bizonyuló Zoomtól, de a biztonságos használathoz nem árt valamiféle szervezettség és előkészítés.

Tippek távoktatásra (is)

A Zoom biztonságos használatánál tehát arra érdemes figyelni, hogy – ha nem olyan fiókot használunk, ahol most már megváltoztathatatlanul jelszót kell megadni a csoportos beszélgetésekhez – állítsunk be jelszót; kapcsoljuk be a Várószobát, kapcsoljuk ki a házigazda érkezése előtti becsatlakozás lehetőségét, és esetleg tiltsuk le a többi résztvevőnél a képernyőmegosztást és a fájlmegosztást, hacsak nincs ezekre szükség. És persze mindig telepítsük az elérhető frissítéseket, ahogy az minden más programnál is ajánlott.

Ha már általános ajánlások: a biztonságos netezésre vonatkozó legalapvetőbb tanácsok a gyerekek esetében is érvényesek.

• Érdemes mindenhol erős jelszót megadni, azaz kerülni az 1234, a jelszo, a név+születésnap és hasonló, könnyen kitalálható megoldásokat. Legalább ilyen fontos, hogy ugyanazt a jelszót ne használják több különböző szolgáltatásnál.
• Alapesetben ajánlott valamilyen jelszókezelő használata is, gyerekeknél ez talán kevésbé jön szóba, de adott esetben a szülő segíthet ebben. A másik lehetőség a nehezen kitalálható, de azért még megjegyezhető jelszavak alkotása, erre ebben a cikkünkben található néhány konkrét tipp is.
• Ahol van erre lehetőség, ott mindenképp érdemes bekapcsolni a két tényezős hitelesítést, hogy a jelszó mellett egy plusz biztonsági réteggel is védve legyenek a fiókok.
• Kényelmes megoldás már létező Facebook- vagy Google-fiókkal bejelentkezni új szolgáltatásokba külön regisztráció helyett, de adatvédelmi szempontból érdemes kerülni a különféle fiókok összekötését.
• Ha az iskola elvárja, hogy a gyerek egy addig nem használt szolgáltatásra regisztráljon, érdemes venni a fáradságot, és még az elején együtt átnézni az adatvédelmi beállításokat. Így egyrészt későbbi kellemetlen meglepetéseknek is elébe lehet menni (például hogy a gyerek olyasmit osszon meg nyilvánosan, amit nem a nagyvilágnak szánt volna), másrészt jó alkalom ez a tudatos felhasználói attitűd kialakulásának támogatására – illetve a szülőnek arra, hogy megismerje, milyen szolgáltatást használ a gyereke.

Kisebbeknél jó alkalom lehet a mostani helyzet valamilyen szülői felügyeleti megoldás beállítására. A legtöbb szolgáltatásnál bizonyos életkor alatt úgyis csak szülői engedéllyel lehet regisztrálni, így a szülői közreműködés már adott. Ilyen szolgáltatás a Microsoft Családi csoportja vagy a Family Link a Google-től, de sok hasonló, részben ingyenes vagy fizetős app is található.

Hogy aztán ezeket egy élelmes gyerek mennyire tudja kicselezni, ha akarja, az más kérdés. Bár pusztán egy app amúgy sem oldja meg a problémát, még ennél is fontosabb, hogy a szülő elmagyarázza a gyereknek, milyen veszélyekre kell odafigyelnie a neten – már ha ő maga tudja.

Az iskolának joga van adatot kérni...

A diákok adatainak védelme jogi kérdéseket is felvet. Ezekről április elején a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is kiadott egy állásfoglalást [pdf] egy hozzájuk beérkező beadványra válaszul.

A hatósághoz arról érkezett kérdés, hogy adatvédelmi szempontból rendben van-e, hogy gyakorlati, például testnevelésórákon a tanár a feladatok teljesítésének igazolásához videófelvételt kér a diákoktól, amelyet aztán emailben vagy Messengeren el kell küldeniük, anélkül, hogy ehhez előzetes szülői hozzájárulást kérnének, vagy legalább tájékoztatást adnának az adatkezelésről.

A NAIH álláspontja szerint a diákok ilyen videói, fotói valóban személyes adatnak minősülnek az uniós adatvédelmi rendelet, a GDPR értelmében, ráadásul a kiskorúak személyes adatait fokozott védelem illeti. A tanár azonban – az adatokra vonatkozó titoktartási kötelezettség, illetve a vonatkozó etikai szabályok betartása mellett – jogszerűen kérheti akár videó feltöltését is. Ehhez előzetes hozzájárulásra sincs szükség, mivel ebben az esetben az adatkezelés jogalapja nem hozzájárulás, hanem közfeladat ellátása.

Az adatkezelő azonban ebben az esetben nem a tanár, hanem az iskola, amelynek a nevében eljár. Ebből következik, hogy az iskola feladata “az adatkezelésről megfelelő tájékoztatás nyújtása és az egyéb adatvédelmi követelményeknek való megfelelés biztosítása”.

A NAIH kiemeli azokat a főbb elveket a GDPR-ból, amelyeket az iskoláknak is figyelembe kell venniük a diákok adatainak kezelésekor:

• Elszámoltathatóság: az adatkezelést úgy kell dokumentálni, hogy utólag is bizonyítható legyen a jogszerűsége.
• Adattakarékosság: csak olyan adatot lehet kezelni, amely a cél, tehát itt a feladatok elvégzésének igazolása érdekében elengedhetetlen. Ez konkrétan olyasmit jelenthet, mint hogy csak arról készüljön videó, ami szorosan a számonkérés tárgya, a felvételen más ne látszódjon, ahogy a diák otthoni privát teréből is csak annyi, amennyinek muszáj.
• Korlátozott tárolhatóság: az adatokat csak addig szabad megőrizni, amíg feltétlenül szükség van rájuk, azaz a diákokról készült videókat az értékelés után azonnal törölni kell.
• Bizalmasság: biztosítani kell, hogy harmadik fél ne férhessen a videóhoz, azaz a tanár nem küldheti azt el másnak, illetve nem teheti közzé.

A fentieket tekintetbe véve a NAIH szerint videók megosztására a fájl átküldözgetésénél alkalmasabb lehet, ha a diák vagy a szülő saját tárhelyre, nem nyilvános módon tölti fel a videót, amelynek csak a linkjét küldi el a tanárnak, amely vagy automatikusan lejár egy idő után, vagy az értékelést követően manuálisan törölhető. De a felvétel helyett az élő videócset is kíméletesebb a magánszférával a hatóság szerint.

...de vigyáznia is kell rá

Ha egy tanár a felvétellel bármilyen módon visszaél, például a közfeladat ellátásától eltérő célra használja, másokkal megosztja, közzéteszi, a kelleténél tovább tárolja, bűncselekményt követ el, illetve a NAIH is kiszabhat az iskolára közigazgatási bírságot. Úgyhogy nemcsak a diákok, de a saját érdekében is érdemes odafigyelnie, hogy bánik az adatokkal.

Az iskolának mint adatkezelőnek pedig részletes adatkezelési tájékoztatót kellene kidolgoznia, amely arra is kitér, hogy milyen digitális eszközöket kell alkalmazni, és ennek során milyen adatfeldolgozókat vesznek igénybe (ha például a Zoomon folyik egy óra, a Zoom számít az adatfeldolgozónak), illetve biztosítania kell az olyan GDPR által garantált jogokat, mint az adatok hozzáféréséhez vagy a törlésükhöz való jog.

Kérdés, hogy mennyire várható el akár az iskoláktól, akár a tanároktól, hogy a fentieknek meg tudjanak felelni ebben a helyzetben, amelybe váratlanul és felkészületlenül kényszerítették bele őket a járványügyi intézkedések. Nem tűnik reálisnak, hogy míg az iskolák menet közben, nagyrészt magukra hagyva próbálják kiépíteni a digitális távoktatás technikai és módszertani feltételeit, adatvédelmi tájékoztatók írására is maradjon kapacitásuk.

Pláne, hogy a helyzet nemcsak nekik új, de jogilag is tisztázatlan még. Erre a NAIH is felhívja a figyelmet, amikor az állásfoglalásában azt írja, “a digitális távoktatás kereteit és részletszabályait jelenleg jogszabály nem rendezi, ugyanakkor a koronavírus járvány miatt előidézett helyzet ténye és várhatóan hosszabb időtartama okán a közeljövőben [...] indokolttá válhat a jogalkotás e területen.”

Az iskoláknak az is feladatuk lenne, de annak a realitása is kérdéses, hogy jelen körülmények között az egyre idősödő pedagógustársadalom minden tagját megfelelően felkészítsék az adatvédelmi szempontok szem előtt tartására – vagy akár csak maguknak a digitális eszközöknek a megfelelő használatára.

(Borítókép: Egy pedagógus távoktatásban tanít 2020. március 23-án. Fotó: Komka Péter / MTI)