Jak na bezpečnost online výuky pro pedagogy

Mnohé ze změn, které se nedařilo implementovat řadu let, najednou byly v důsledku pandemie ve školách realizovány v řádech dnů či týdnů. Pandemie se stala pro školství obrovskou výzvou. Odkryla řadu nedostatků, se kterými se náš školský systém potýká už léta (např. koncepce vzdělávacího obsahu, jeho předimenzovanost i odklon od reálných potřeb společnosti, materiální a technickou podvybavenost škol atd.) a zviditelnila tyto problémy také pro širokou veřejnost – proto doufejme, že otázky, které vyvolala, s koncem pandemie neutichnou a že i po ní se na ně společnost bude snažit hledat odpovědi. Ukázala ale také to, v čem jsou silné stránky našeho školství, a těmi jsou zejména pedagogové, kteří v době pandemie ukázali svou flexibilitu, odbornosti nadšení, když byli ze dne na den postaveni do situace, kdy v podstatě začali vykonávat úplně jinou práci, než na jakou byli připravováni. Vzhledem k tomu, že výuka byla prakticky kontinuálně převedena do online světa, nejmarkantnější změny ve školství samozřejmě souvisely s digitalizací výuky. Pandemie tak nasměrovala naše školství k digitální revoluci, o kterou se MŠMT snaží už několik let (zatím především proklamacemi v různých strategiích). Přesun k online výuce pochopitelně nebyl jednoduchý, spíše naopak, ale právě díky profesionalitě učitelů a jejich odhodlání nerezignovat a pokračovat v práci se povedlo mnoho dobrého. Pozitivní zkušenosti z online výuky budou učitelé určitě využívati dále, nicméně digitalizace školství je obrovská výzva s řadou složitých aspektů, které je potřeba vyřešit. V tomto článku se budeme věnovat některým z nich, především pak bezpečnosti online výuky.

Na úvod je třeba upozornit na to, že abychom mohli online výuku skutečně zabezpečit, je nutné mít k dispozici , který je schopen online vzdělávací systémy bezpečně nakonfigurovat, nastavit systém uživatelských účtů a rolía zajistit případnou podporu v situacích, kdy dojde k bezpečnostnímu incidentu. Tuto úlohu může hrát např. ICT koordinátor či další pracovník disponující IT znalostmi a dovednostmi. Ne každá škola však takového pracovníka k dispozici má, řada škol dokonce expertní pracovníky sdílí s jinými školami a zaměstnává tyto osoby pouze na částečný úvazek či dokonce dohodou o provedení práce.

V první pandemické vlně velká část škol zvolila pro synchronní komunikaci (= videokonference) v rámci e-learningových forem vzdělávání takové nástroje, které znali(a používali) buď samotní učitelé, nebo jejich žáci. K frekventovaným nástrojům využívaným pro komunikaci pak patřily především Facebook Messenger, WhatsApp, Skype, Zoom či u žáků oblíbený Discord. Školy však často nerespektovaly, že tyto nástroje mají definován – a to zpravidla 13 let, u WhatsApp dokonce 16 let. Navíc od roku 2019 je v České republice (v souladu s opatřeními GDPR) posunuta hranice pro využívání těchto služeb dokonce na 15 let věku (Zákon č. 110/2019 Sb.).

Tyto nástroje by tak bez souhlasu rodičů . Omezení používání těchto nástrojů má své důvody – v těchto prostředích poskytujeme osobní údaje dětí třetím stranám (jméno, příjmení, email či dokonce telefonní kontakt…), řada z těchto nástrojů má přístup k telefonnímu seznamu v mobilu dítěte, dítě může kontaktovat kdokoli zvenčí (např. dospělý uživatel stejné služby), škola nemá pod kontrolou správu uživatelského účtu dítěte apod. Další problém, který se s využíváním těchto služeb pojí, je podvádění – pro registraci do dané služby žák podvrhne (často i na pokyn učitele) své datum narození apod. A asi nemůžeme považovat za žádoucí učit dítě lhát.

Podle školského zákona má škola povinnost zajistit, aby byli žáci (a pedagogové) v rámci výuky v , proto by měla volit co nejbezpečnější systémy, ve kterých má účty žáků a přístup do vzdělávacího prostředí pod kontrolou. Proto by měly využívat zejména takové systémy, které opatření spojená s GDPR dodržují a které poskytují škole jednotné vzdělávací prostředí (dále jen „JVP“) s jednotným přístupem ke vzdělávacímu obsahu a komunikaci. V tomto případě je pak vhodnou volbou používání produktů Google GSuite či Microsoft (Teams, Office365).

Základem bezpečnosti výuky je dodržování minimálních bezpečnostních standardů v kombinaci se a pravidel pro celé JVP. V praxi to znamená, že oddělíme uživatelské role učitele a žáka, pro které nastavíme přístupová práva.

Jedním z problémů využívání videokonferenčních systému bylo, že žáci mohli díky nesprávně nastaveným rolím např. sdílet nevhodný obsah, vypínat mikrofon učitele (mute), případně ho dokonce vyhodit z výuky (kick). Tyto problémy nastávaly také v situaci, kdy žáci vstoupili do dané videokonference dříve než učitel – získali pak vyšší oprávnění a opět mohli narušovat výuku, či dokonce zakázat učiteli do místnosti vstoupit. Z tohoto důvodu doporučujeme používat : žáci před samotnou videohodinou zůstávají ve virtuálním předsálí a do hodiny se dostanou teprve tehdy, až jim učitel povolí přístup.

Pro zajištění bezpečné online výuky je velmi důležité správně nastavit uživatelské účty žáků, totiž v souladu s bezpečnostními standardy . Název účtu např. „karelnovak@ebezpecnaskola.cz“ je tedy z hlediska bezpečnosti zvolen chybně. Toto opatření je důležité proto, aby nemohl být žák kontaktován uvnitř vzdělávacího prostředí osobami zvenčí, např. pomocí e-mailové komunikace (GMail, Outlook), ale také např. přímo prostřednictvím vzdělávacího prostředí (např. z MS Teams mimo doménu školy). Proto je také vhodné omezit komunikace s žáky na komunikaci uvnitř školní domény – osoby z vnějšího světa tak nebudou moci žáky tímto způsobem kontaktovat. Toto opatření je obdobné, jako když zakážeme cizím osobám přístup do školní budovy a školních tříd.

Při generování uživatelských účtů školy svým žákům ve většině případů vygenerovaly bezpečné . Bohužel však řada z nich také svým žákům umožnila, aby si heslo změnili a nastavili si místo něj heslo jiné, např. univerzální (které žáci využívají mj. pro vstup do oblíbené hry Fortnite či do prostředí Steam). Tím se samozřejmě zabezpečení účtu snížilo a v několika případech máme zdokumentováno, že se přes žákovský účet do vzdělávacího prostředí skutečně přihlásila jiná osoba. Je tedy důležité vysvětlit žákům, proč by měli mít pro přístup k různým službám různá hesla (splňující bezpečnostní standardy, tj. minimálně 8 znaků, používat fráze, kombinovat písmena, číslice apod.). K logickým bezpečnostním standardům také patří, že bychom neměli své přihlašovací údaje prozrazovat dalším osobám.

V případě online výuky je velmi užitečné využívat cloudových řešení (často integrovaných přímo do jednotných vzdělávacích prostředí), která umožňují např. pravidelně zálohovat data spojená s výukou a zajistit jejich obnovuv případě bezpečnostního incidentu (např. malware, ransomware apod.). Pozor: spojené s žáky, např. zprávy z pedagogicko-psychologických poraden či další podobné materiály o dítěti (zdravotní dokumentace, vyšetření apod.).

Z hlediska bezpečnosti online výuky je také důležité zajistit, aby byly chráněny osobní údaje žáků i pedagogů. Ty mohou z online prostředí unikat celou řadou cest:A. Školy zveřejní záznam z online výuky na školním webu (video, screenshot)V první vlně přechodu na online výuku řada škol sdílelav dobré víře záznamy z výuku na svých školních webech. Školy tím chtěly především ukázat, že se jim přechod na e-learning daří a že se např. aktivně naučily využívat nástroje Google či Microsoftu. Bohužel prostřednictvím záznamů z výuky unikaly také osobní údaje žáků – např. jméno a příjmenív kombinaci s tváří dítěte a dalšími informacemi, třeba o ročníku, který dítě navštěvuje. Zde je třeba opět upozornit na to, že (např. propojení tváře a jména a příjmení dítěte u fotografií tříd).

B. Záznam z výuky unikne např. od žáků či prostřednictvím dalších osob. Druhá vlna uzavření škol s sebou přinesla řadu fenoménů, ke kterým patří např. trollování výuky (tzv. video bombing) jinými osobami, kterým se podařilo proniknout do výuky. Trollové pak výuku narušovali, provokovali učitele, sdíleli nevhodný obsah, nadávali či uráželi jak učitele, tak i ostatní studenty apod. Hodiny si aktivně nahrávali a záznamy pak sdíleli prostřednictvím sociálních sítí (především pak prostřednictvím služby YouTube a TikTok).

Do výuky se tito trollové dostávali především díky samotným žákům, kteří jim dobrovolně poskytovali přihlašovací údaje do videolekcí, nešlo tedy o žádné složité hackerské útoky, u kterých dochází k prolomení zabezpečení. Řada trollů dokonce na svých profilech v rámci sociálních sítí sdílela výzvy pro žáky, aby jim poskytli přihlašovací údaje do online hodin.

Samozřejmě je také nutné chránit pedagogy, a to především jasně definovanými pravidly výuky (tj. jasně definovat zákaz nahrávání výuky, průběh realizace výuky, případné sankce apod.). Technicky bohužel pedagogy chránit nelze (možností je omezit využívání webové kamery učitelem, což ale snižuje efektivitu výuky a motivaci žáků).

Znovu tedy opakujeme: . Existují stovky nástrojů, které umožňují nahrávat celou obrazovku či její výřez, a pokud snad nemáme k dispozici daný program, vždy můžeme nahrát obrazovku třeba mobilním telefonem či tabletem. Můžeme však vypnout funkci nahrávání přímo v daném vzdělávacím prostředí, a to právě vhodným nastavením.

Z hlediska bezpečnosti je také velmi důležité a podporovat pozitivní vztahy jak mezi samotnými žáky, tak i mezi žáky a pedagogy. Minimalizujeme tím riziko vážnějších útoků a omezíme tím nežádoucí aktivity žáků. Žáci, kteří budou mít se svými pedagogy dobré vztahy, nebudou aktivně usilovat o narušování online výuky. Stejně tak je důležité dodržovat doporučení MŠMT pro online výuku, které limituje množství synchronní e-learningové výuky na 3 hodiny denně a které obsahuje řadu doporučení (např. s ohledem na množství a důležitost učiva, hodnocení žáků apod.). Omezíme tak rozvoj frustrace, která může být jedním ze spouštěčů kyberšikany a dalších forem agrese.

Nesmíme zapomenout ani na , ke kterým patří mj. pravidelné aktualizace, aktivní antivirový program a funkční firewall, neotvírání podezřelých e-mailových příloh z neznámých zdrojů (téměř čtvrtina pedagogů v rámci výzkumu Český učitel ve světě technologií 2020 realizovaného Univerzitou Palackého v Olomouci a společností O2 potvrdila, že jejich škola zažila útok pomocí ransomware, při kterém došlo k zašifrování školních dat), neotvírání podezřelých flashdisků bez antivirové kontroly, nereagování na žádosti o přihlašování se do různých podvodných stránek (phishing), nepřeposílání kódů potvrzujících finanční transakce (mplatby) apod. Samozřejmostí je také případně přímo dvojfázové či vícefázové ověřování přihlášení (např. pomocí mobilního telefonu).