System mLegitymacji szkolnych pozwala na kradzież tożsamości uczniów szkół podstawowych i średnich

mLegitymacje funkcjonują od kilku lat. Jako pierwsi pobrać je na telefon mogli studenci. Miało pójść jak burza, ale edukacja zdalna wszystko przystopowała. Studenci są dorośli, mają dowody osobiste, a zniżki gwarantuje im legitymacja elektroniczna. Online aplikacja z mLegitymacją studencką jest praktycznie nieprzydatna.

Z perspektywy uczniów może być bardziej atrakcyjna. Zniżki oraz tożsamość mogą oni udowadniać tylko przy pomocy starożytnego kartonika z pieczątkami. Jakiekolwiek cyfrowe rozwiązanie bardzo by się przydało. Mamy 2021 rok, supermarkety wykorzystują bardziej zaawansowane rozwiązania, rozdając zniżki na zakup płynów do spryskiwaczy. Przygotowane przez NASK dokumenty elektroniczne do użytku na urządzeniach mobilnych mają ten stan rzeczy zmienić.

Niestety, nie jest to takie proste, a system mLegitymacji w obecnej formie nie nadaje się do wydawania dokumentów tożsamości przez szkoły. Głównym powodem są niedostatki rozwiązań informatycznych, którymi dysponują te instytucje. System mLegitymacje połączony z uczelnianymi USOS jest bezproblemowy, ale szkoly podobnego rozwiązania nie mają. Nie mogłyby też korzystać z czegoś identycznego, ponieważ obrót danymi osobowymi uczniów jest inny, niż studentów. mLegitymacje szkolne nie mogą być wydawane na podstawie ścieżki szkoła – właściciel tożsamości, tylko szkoła – opiekun prawny właściciela tożsamości. To duża różnica.

Kto może korzystać z mLegitymacji szkolnych?

Żeby pobrać mLegitymacje, trzeba być uczniem szkoły, która uczestniczy w programie mLegitymacji pod kuratelą NASK. Aktualnie w programie mLegitymacje bierze udział ponad 7 000 szkół podstawowych, średnich, zawodowych i policealnych. Od września będzie ich nawet ponad 50 000. Tyle NASK na stronie OSE oznaczyła taskiem „Szkoła zarejestrowana w systemie mLegitymacje”. Choć wszystko wygląda bardzo optymistycznie, to funkcjonowanie systemu w szkołach pozostawia wiele do życzenia.

Sam dokument mLegitymacji jest odpowiednio zabezpieczony i jego podrobienie byłoby bardzo trudne.

Używany jest także w odpowiedniej do tego celu aplikacji mObywatel. Nic dziwnego, bo może służyć do potwierdzenia tożsamości, niczym dowód osobisty. Sposób wydawania dokumentów, do którego zaangażowano kompletnie nieprzygotowane szkoły to zupełnie inna bajka.

Formalnie o mLegitymację wnioskuje opiekun prawny ucznia. Tak być musi, osoby poniżej 18 roku życia nie mogą w pełni decydować o obrocie swoimi danymi osobowymi. Niestety, w tej konkretnej sytuacji nie sprzyja to ich bezpieczeństwu.

Nie każdy rodzic chce wyposażać dziecko w telefon tylko dlatego, że poszło do pierwszej klasy. Kilkulatkom legitymacja szkolna jest bardzo rzadko potrzebna. Do tego stopnia, że i tak notorycznie ich dokumenty przetrzymuje rodzic. Dlatego z inicjatywy opiekunów część uczniów szkół podstawowych może wogóle mLegitymacji nie wyrobić.

Ogrom zniszczeń, do których mogło już dojść, dopełnia fakt, że mLegitymacje są dodatkiem, z którego można korzystać, ale nie trzeba. Nie zastąpią papierowych legitymacji z pieczątką do zdobycia raz w roku. Uczniowie, którzy chcą mieć mLegitymacje, muszą najpierw dostać wersję papierową dokumentu. Mając ją w rękach łatwo odpuścić sobie wyrabianie mLegitymacji.

I to jest największy błąd, jaki możemy popełnić. Nawet jeśli nie widzimy potrzeby, dla której nasze dziecko ma mieć mLegitymację, to bezpieczniej jest wyrobić ten dokument tylko dlatego, że szkoła zdecydowała się na jego wydawanie.

Bardziej szczegółowe instrukcje znajdziesz w artykule jak pobrać mLegitymację szkolną i studencką?

Kiedy system mLegitymacje dopuszcza do wycieku danych?

Najsłabszym ogniwem całego procesu wydawania mLegitymacji szkolnych jest przesyłanie wniosków i zdjęć oraz przekazywanie kodów do aktywacji. Zamiast wykorzystywać istniejące rozwiązanie komunikacyjne, większość szkół uczestniczących w programie, uznała, że wniosek i zdjęcie może być wysłane mailem (przy użyciu dowolnego adresu), a kod będzie odsyłany w odpowiedzi.

mLegitymacje wymagają złożenia w szkole ręcznie wypełnionego i podpisanego wniosku oraz zdjęcia w formie cyfrowej. Chociaż wydaje się, że najprościej jest wykonać skan wniosku i rzeczywiście wszystko wysłać mailem, to chodzi o dokumenty potwierdzające tożsamość.

Takie rozwiązanie ma szanse być bezpieczne tylko, jeśli szkoła ma możliwość weryfikacji adresów e-mail i potwierdzenia, że należą do uczniów lub ich opiekunów. W każdej innej sytuacji odesłanie kodu jest wyciekiem danych osobowych. Do tego właśnie dochodzi do nich od ponad 3 lat.

Można mieć co tego pewność, ponieważ szkoły, szczególnie publiczne, nie mają narzędzi do weryfikacji adresów e-mail takich zgłoszeń. Nie mówiąc już o narzędziach do weryfikacji tożsamości uczniów na podstawie zdjęć dostarczanych w ten sposób.

Być może małe szkoły, w których wszyscy znają się twarzą w twarz, mają szanse wyłapać, że wniosek lub zdjęcie nie należą do ucznia, któremu mają wydać dokument. mLegitymacje wydają jednak też szkoły, które mają po tysiąc podopiecznych.

Dlaczego szkoły nie weryfikują skąd wpływają wnioski o wydanie mLegitymacji?

Szkoły nie tyle nie weryfikują wniosków, ile brak narzędzi zmusza je do szukania własnych rozwiązań. Chociaż większość ma bardzo niebezpieczne pomysły w tej kwestii, to zdarzają się takie, które wpadły na całkiem bezpieczne rozwiązania. Czasem kłopotliwe w realizacji, ale jednak bezpieczne.

Na przykład wszystkie panie zza paprotki, które wymagają audiencji z wnioskiem w zębach i dowodem osobistym w dłoni, ograniczają niebezpieczeństwo wycieku danych. Bardzo rzadko mają jednak dobry sposób na przesyłanie zdjęć. Udało mi się znaleźć tylko jedną szkołę, która wymagała, aby wniosek dostarczył uczeń osobiście po wcześniejszym przesłaniu zdjęcia. Choć nie ma to nic wspólnego z przyjaznymi usługami online, to przynajmniej nie jest katastrofalne w skutkach.

Jedynym kanałem komunikacji, a którym szkoła może być pewna (przynajmniej formalnie), że dokumenty przesyłane online pochodzą od ucznia lub jego opiekuna, jest dziennik elektroniczny. W polskich szkołach są dwa popularne programy tego typu: Vulcan i Librus. Żaden z nich nie ma funkcji przesyłania załączników w wiadomości. W Vulcanie rodzic może dodać lub zmienić zdjęcie ucznia, ale tak samo jak w Librusie, wysyłając wiadomość, plików nie doda inaczej, niż linkując je z chmury. Takie zadanie do wykonania byłby morderczym egzaminem z obsługi dzienników elektronicznych dla wielu rodziców i tylko pojedyncze szkoły ten sposób próbowały wykorzystywać.

Różnorodność pomysłów, jakie szkoły mają w kwestii przyjmowania wniosków, oznacza też, że tysiące z nich nie dostały od NASK wskazówek jak to robić bezpiecznie. Pewnie dlatego, że brakuje wygodnego rozwiązania uwierzytelniającego obrót dokumentów szkoła – opiekun ucznia. Jeśli jednak NASK chce implementować mLegitymacje w szkołach, to powinien je dostarczyć.Tymczasem szkoły dostają Internet z OSE (Ogólnopolska Sieć Edukacyjna), możliwość generowania kodów oraz obowiązek przyjmowania wniosków. W jaki sposób mają to robić?

Ostateczne szkoły kombinują metodą zrób to sam, chociaż nie powinny być do tego zmuszane. Oczywiście, w tym układzie odpowiedzialność w przypadku kradzieży tożsamości uczniów spadanie na nie. Są przecież przez kogoś zarządzane. Ale to NASK dysponuje kompetencjami, żeby ten problem wyłapać. mLegitymacje szkolne są wydawne od 2018 roku, a wcześniej system był testowany w warunkach produkcyjnych. Co w tym czasie się działo, skoro nikt szkołom nie zwrócił uwagi, że wniosków nie mogą przyjmować ze niezweryfikowanych adresów e-mail?

Na dodatek chodzi o bezpieczeństwo danych ludzi w wieku od 6. do 19. roku życia. To półtora pokolenia, które nie ma prawa głosu w kwestii swoich danych osobowych. Mieliśmy zadbać o nie lepiej, niż oni sami. Jedyne, co te dzieciaki robią, to realizowanie obowiązku szkolnego. W NASK powinny polecieć głowy, bo zagrożenie, do którego dopuszczono, to jakiś dramat.

Jak można wejść w posiadanie danych wykorzystując system mLegitymacji szkolnych?

Szkoły publikują wyniki egzaminów, listy przyjętych oraz imiona i nazwiska uczniów przy okazji różnych konkursów. Muszą to robić ze względów dydaktycznych i wychowawczych. Z takich informacji wynika maksymalnie, że Jan Kowalski jest uczniem danej szkoły, dobrze gra w kosza i ma 14 lat. mLegitymacja uwzględnia jego PESEL i nie można dopuścić do sytuacji, kiedy dostanie się w niepowołane ręce. A jest to możliwe i bardzo proste, dzięki systemowi mLegitymacje.

Załóżmy, że akurat szkoła wspomnianego Janka wydaje mLegitymacje na podstawie wniosku i zdjęcia wysłanego mailem. Chłopak praktycznie nigdy nie używał tej tradycyjnej legitymacji, więc mLegitymacji też nie pobrał. Wolał grać w kosza, niż zajmować się głupotami. Ma 14 lat i jego zachowanie jest w pełni uzasadnione.

Nazwiska Janka i całej drużyny można było usłyszeć na zawodach międzyszkolnych. Lista zawodników była też w gablotce obok sali gimnastycznej i wystarczyło zrobić zdjęcie. Drużynie idzie nieźle i w sieci można ich bliżej poznać. Jakiś Mirosław Kowalski, w jakimś komentarzu rzucił, że jest dumny, więc próbujemy. 

Pobieramy wniosek, wypełniamy, pospisujemy M. Kowalski i wysyłamy do szkoły Janka. Trochę to ryzykowne, ale wiemy, że nie robimy legalnej rzeczy i raczej nam zależy.

Przykładowy wniosek o mLegitymacje

Szkoła odsyła nam kody QR i numeryczny. Bierzemy do ręki telefon z aplikacją mObywatel, dodajemy dokument i mamy wszystkie dane Janka.

Po cichu i skutecznie system system mLegitymacje dostarcza nam coś takiego, ale z danymi Janka i naszym zdjęciem:

Wzór mLegitymacji szkolnej z przykładowymi danymi osobowymi

Chłopak za 10 lat może dowidzieć się, że ma alternatywne życie, w którym jest zadłużony, poszukiwany przez policję i ma trójkę dzieci. To wszystko tylko dlatego, że chodził do szkoły i grał w kosza w wieku 14 lat.

Jak zadbać o swoje bezpieczeństwo w szkole, w której działa system mLegitymacji?

Na dzień dzisiejszy jedyny sposób, w jaki uczniowie mogą się ochronić przed dziurawym systemem, to pobranie mLegitymacji. Powinien to zrobić każdy, kogo szkoła uczestniczy w programie. Szczególnie jeśli sposób dostarczenia dokumentów pozostawia wiele do życzenia. 

Brzmi paradoksalnie, ale jeśli mLegitymacja jest zapisana w telefonie, do którego mamy dostęp, dane są pod naszą kontrolą. Szkoła może tylko zablokować mLegitymacje, ale wtedy się o tym dowiemy. Jeśli ktoś ją pobrał bez naszej wiedzy, możemy zorientować się po fakcie, być może za wiele lat.

Możemy też sprawdzić, czy mLegitymacja była w przeszłości wydawana nam lub naszemu dziecku. Takich informacji muszą nam udzielić szkoły, z którymi mieliśmy do czynienia w ostatnich 3 latach lub dłużej, jeśli któraś brała udział w pilotażu. mLegitymacja jest wydawana dla konkretnego urządzenia. Jeśli nie jest nam znane, musimy zgłosić to na policję. Wbrew pozorom dalszy scenariusz i tak może nie być różowy. Takie przygody mogą się ciągnąć za człowiekiem latami.

W przypadku, kiedy sposób obiegu dokumentów, który proponuje szkoła, budzi nasze wątpliwości, warto też zwrócić jej na to uwagę. Chociaż nie jest to nasza robota, to szkoły mogą nie mieć wystarczającego wsparcia i często nie wiedzą, że nie robią coś bardzo niebezpiecznego. W wielu sytuacjach możliwe, że temat nadaje się tylko do zgłoszenia dalej. 

Co na to wszystko NASK?

NASK zapytany mailowo o to, jak wygląda instrukcja składania wniosków, otrzymywana przez szkoły, nie odpowiedział nic. Udało mi się jednak porozmawiać z dyrektorem szkoły, która do programu się zapisała, ale nie będzie go realizować z powodów administracyjnych: jeśli muszą wydawać legitymacje papierowe, to nie mogą dodawać sobie pracy dublowaniem dokumentów.

Szkoła ta ma cały czas dostęp do instrukcji wprowadzania mLegitymacji i temat sposobu dostarczania wniosków jest w niej praktycznie pominięty. Dyrektor przyznaje, że narzędzi do automatycznej weryfikacji wniosków nadawanych pocztą elektroniczną nie ma, a na pewno nie ma go sekretariat szkoły. Weryfikacji nie można też zrobić szybko, jeśli wniosek jest dokumentem PDF lub zdjęciem.

Dziennik elektroniczny niby wchodzi w grę, ale nie przy obecnych funkcjonalnościach. Wykorzystywanie zewnętrznych usług chmurowych to kolejne zagrożenie wyciekiem danych. Można jeszcze dać wnioski i zdjęcia wychowawcom do weryfikacji. Choć pewnie nie odmówią, to powinni. Taka weryfikacja to odpowiedzialność, która nie jest w kompetencjach żadnego pracownika szkoły.

Źródło: NASK, OSE, gov.pl, informacje od pracownika szkoły,który woli zachować anonimowość