Neznanci, podpisani kot TeeSpoon team, so nas opozorili na možnost zlorabe slabo varovanih spletnih strani, "za katere se zdi, da pripadajo slovenskemu regionalnemu izpitnemu centru".

Pismu so priložili osupljiv dokaz o upravičenosti svojih trditev: seznam vseh slovenskih osnovnih in srednjih šol ter centrov za izobraževanje odraslih skupaj s šiframi in gesli, ki posamezni šoli omogočajo vstop na tako imenovani eric - interni spletni sistem Državnega izpitnega centra (RIC).

Danes notranji nadzor

Kako so neznani hekerji prišli do teh načeloma strogo varovanih šifer in gesel - z vdorom v računalniški sistem RIC ali pa je te podatke odtujil kdo od zaposlenih - včeraj še ni bilo jasno. Direktor RIC mag. Darko Zupanc nam je včeraj zvečer, potem ko smo RIC seznanili z vsebino elektronskega pisma, povedal, da prekinja svoj dopust in se vrača v Ljubljano. Danes bo odredil notranji nadzor, ki naj bi prinesel odgovore na ta in druga vprašanja.

Potegavščina?

Ko smo si v spletnem uredništvu včeraj ogledovali seznam šifer in gesel, pripetih na konec pisma neznanega informatorja, smo najprej mislili, da gre za potegavščino. Toda ko smo v okenček na spletni strani http// eric.ric.si vtipkali šifro in geslo posamezne šole, smo se znašli na spletnih straneh, do katerih imajo načeloma dostop le pooblaščene osebe. Na srednjih šolah so to tajniki šolskih maturitetnih komisij in ravnatelji, v osnovnih šolah ravnatelji, na centrih za izobraževanje odraslih pa direktorji.

Surfanje po naključno odprtih datotekah je pokazalo, da si lahko poleg navodil za izvedbo matur ali NPZ-jev lahko svobodno ogledujemo tudi nekatere osebne podatke in da lahko kar v imenu šol pošiljamo sporočila na Ric. Potrdili smo denimo, da smo prejeli tajno gradivo, nakar nam je sistem javil napako, ker včeraj z Rica šolam niso dostavili nobenega tajnega gradiva. V datotekah, do katerih smo prišli s pomočjo šifre neke osnovne šole, smo naleteli na seznam prijavljenih učencev, ki so nacionalno preverjanje znanja opravljali v naknadnem roku; ob imenih in priimkih smo lahko prebrali tudi pripadajoči EMŠO. V datoteki, v katero smo vstopili s pomočjo šifre neke gimnazije, pa smo naleteli na seznam maturitetnih kandidatov s posebnimi potrebami, ki opravljajo maturo po prilagojenih pravilih. Po spletnih straneh erica smo surfali, dokler niso v RIC - po našem obvestilu - erica blokirali.

Za pojasnila o tem, kateri podatki vse so bili ogroženi zaradi možnosti nepooblaščenega dostopa do erica in kaj ta škandal pomeni z vidika varovanja izpitne tajnosti in osebnih podatkov učencev in dijakov, smo se najprej obrnili na Državni izpitni center.

Kaj nam omogoča eric

Dobili smo tak odgovor: "RIC komunicira s šolami elektronsko na različne načine. Vsak način ima različne stopnje varovanja. Način prenosa maturitetnih podatkov po šolah in kandidatih je bolj varovan in ne poteka prek erica, zasnovan je na drugi tehnologiji in na bolj oziroma višje vrovanih strežnikih. Preko erica poteka komunikacija s srednjimi šolami, osnovnimi šolami, izvajalci NPZ in izvajalci izpitov za tuje jezike. Na ericu so objavljene elektronske okrožnice, izpitne pole spomladanskega roka, ko so posamezni izpiti že odpisani, prijava števila ustnih kompletov, iz česar se ne da razbrati identitete kandidatov, izvedbeni akti. Del informacij je dostopen na šolah in tudi na spletni strani Rica, del informacij je namenjen učiteljem šole, ki so s časovnim zamikom tudi javno objavljene na spletu Rica. Tretji del maturitetnih podatkov pa je namenjen lažji in hitrejši komunikaciji med šolami in Ricem.

Z odgovorom nismo bili zadovoljni

Ker z odgovorom nismo bili zadovoljni - mogoče ga je namreč razumeti tako, da osebni podatki niso bili ogroženi - smo vztrajali pri nadaljnjih pojasnilih. Tik pred zaključkom redakcije smo se po telefonu lahko naposled pogovarjali z direktorjem Državnega izpitnega centra mag. Darkom Zupancem. Zupanc nam je pojasnil, da je stopnja varovanja podatkov, ko gre za maturo, višja kot na osnovnih šolah pri nacionalnem preverjanju znanja. Za sistem posredovanja podatkov, ki zadevajo maturo, so odgovorni zgolj v RIC, za osnovne šole pa je nad računalniškim sistemom prijavljanja učencev bdel novi izvajalec - kdo je to, nam včeraj ni hotel povedati - s katerim je pogodbo podpisalo MŠŠ.

Direktor RIC: Hekerji morda hitrejši od nas

Mag. Zupanc priznava, da so se ob imenih učencev znašle tudi EMŠO. "To, kar s eje zgodilo, kaže, da to ni bila najboljša odločitev oziroma da za varovanje teh podatkov nismo zadostno poskrbeli." Zakaj smo lahko kljub boljšemu varovanju v zvezi z maturitetnimi podatki na ericu dostopali do imen kandidatov s posebnimi potrebami, nam Zupanc včeraj ni znal pojasniti. Kot je dejal, službi za informatiko th podatkov ni uspelo odkriti. Na vprašanje, kako so nekateri hekerji prišli do strogo varovanih šifer in gesel šol, nam Zupanc prav tako včeraj ni znal odgovoriti. "Morda smo bili v RIC žrtev hekerskega vdora, kar pomeni, da so nas hekerji prehiteli. Ali pa je te podatke kdo odtujil; to bi bila najslabša možnost."

Do zaključka redakcije odziva šolskega ministra Milana Zvera nismo dobili.