Η φιλόδοξη και πολυδιαφημισμένη λειτουργία μιας ενιαίας Τράπεζας Θεμάτων από την οποία θα αντλούσαν οι διευθυντές Λυκείων της χώρας τα θέματα εξετάσεων δυστυχώς προσέκρουσε σε τοίχο παρωχημένης ασφάλειας ή για να ακριβολογούμε ανασφάλειας!

«Θυμίζουμε ότι η τράπεζα θεμάτων είχε καταρρεύσει πανελλαδικά χθες το πρωί και τελικά άρχισε να υπολειτουργεί μετά τις 9:30 το πρωί, με αποτέλεσμα να καθυστερήσει δύο ώρες η έναρξη των εξετάσεων της πρώτης βάρδιας, πράγμα που παρέσυρε και τη δεύτερη βάρδια που θα ξεκινούσε κανονικά στις 10:30.
Το αποτέλεσμα ήταν ή να αναβληθούν εξετάσεις –ακόμα και της Γ΄ λυκείου σε κάποια σχολεία, ή να παραβιαστεί όχι μόνο το ωράριο των μαθητών, αλλά και το εργασιακό ωράριο των εκπαιδευτικών, τη στιγμή μάλιστα που πολλοί από αυτούς ήταν στα σχολεία τους από τις 7:00 το πρωί», όπως διαβάζουμε στο alfavita.gr και είναι απολύτως προφανής η ανετοιμότητα στην υποστήριξη μιας τέτοιας διαδικασίας.

Σε κοινή ανακοίνωση τους τα Υπουργεία Παιδείας και Ψηφιακής Διακυβέρνησης αναφέρουν ότι το σύστημα δέχτηκε κακόβουλη επίθεση με μαζικές επισκέψεις προς την πλατφόρμα (έως και 280.000 συνδέσεις ανά sec) ενώ παράλληλα διαβεβαιώνουν ότι οι παραπάνω επιθέσεις δεν αποτελούν παραβίαση του συστήματος, ούτε διαρροή στοιχείων και δεδομένων. Αν και ειδικά για τις τελευταίες διαβεβαιώσεις καλό είναι να είμαστε ιδιαίτερα σκεπτικιστές, ας δούμε ποια είναι η πραγματικότητα και οι ορθές πρακτικές.

Μια που η πρόσβαση στην Τράπεζα Θεμάτων απαιτείται για πολύ συγκεκριμένο χρονικό διάστημα και από συγκεκριμένο αριθμό ατόμων είναι προφανές πως οι προετοιμασίες ασφαλείας δεν ήταν οι ενδεδειγμένες. Διαβάζουμε λοιπόν περί της διαδικασίας:

«Η κλήρωση (από τα θέματα της Τράπεζας Θεμάτων) διενεργείται ως εξής:

α) Είσοδος της σχολικής μονάδας στην ιστοσελίδα της ΤΘΔΔ με τη χρήση των κωδικών που διαθέτει στο Πανελλήνιο σχολικό δίκτυο (ΠΣΔ).

β) Επιλογή της τρέχουσας εξεταστικής περιόδου (Μαΐου-Ιουνίου 2022 ή Σεπτεμβρίου 2022), της Τάξης και του Μαθήματος.

γ) Επιλογή Κλήρωση: Ανάλογα με το εξεταζόμενο μάθημα κληρώνονται με τυχαία επιλογή έξι (6) θέματα από τα οποία τρία (3) για το 2ο και τρία (3) για το 4ο ερώτημα ή τρείς (3) ενότητες θεμάτων.

δ) Οι διδάσκοντες/-ουσες επιλέγουν τα θέματα ένα (1) για το 2ο και ένα (1) για το 4ο ερώτημα ή μία ενότητα θεμάτων στην οποία θα εξεταστούν οι μαθητές/-τριες. Στη συνέχεια, με ευθύνη του/της Διευθυντή/ντριας, καταχωρίζουν την επιλογή τους στην ΤΘΔΔ.»

Όπως αντιλαμβάνεστε η σύνδεση που απαιτείται είναι με απλή χρήση κωδικών εισόδου, χωρίς πρόβλεψη για Multifactor authentication για διασφάλιση της διαδικασίας και των δεδομένων. Κι όμως οι 1900 περίπου Διευθυντές των Λυκείων θα μπορούσαν εύκολα να διαθέτουν ένα κλειδί ασφαλείας YubiKey πέραν του προσωπικού κωδικού τους, τον ασφαλέστερο τρόπο επαλήθευσης ταυτότητας, ώστε να είναι θωρακισμένο το σύστημα από εξωτερικές παραβιάσεις.

Είναι εύκολα αντιληπτό πως μια τέτοια μαζική προμήθεια από τα Υπουργεία Παιδείας και Ψηφιακής Διακυβέρνησης θα στοίχιζε πολύ λιγότερο από το τελικό κόστος χαμένων εργατοωρών, επανάληψης της διαδικασίας, απωλεσθέντων προσωπικών στοιχείων και απομείωσης του κύρους της προσπάθειας για ψηφιοποίηση.

Στη Smart Management αποκλειστικό αντιπρόσωπο των YubiKeys για τη Νότια Ευρώπη πιστεύουμε ότι στο 2023 δεν υπάρχουν δικαιολογίες για «τρύπες ασφαλείας» σε κανένα πεδίο της δημόσιας και ιδιωτικής ζωής, όταν η τεχνολογία μας δίνει τα απαραίτητα εργαλεία για να διασφαλίζουμε δεδομένα και συναλλαγές. Ειδικά ο βέλτιστος συνδυασμός προσωποποιημένων κωδικών και φυσικού κλειδιού ασφαλείας YubiKey προσφέρει σύγχρονη ασφάλεια για Τράπεζες Θεμάτων που ένα σύγχρονο Κράτος διαφημίζει αλλά πρέπει ταυτόχρονα και να θωρακίζει.