Gæstebloggen

Folkeskoler i vildrede om it-sikkerhed

Staten står over for at investere 500 millioner kroner på at opgradere it i folkeskolen. Men flere centrale
spørgsmål omkring it-sikkerhed er uafklarede, hvilket gør det sværere for skolerne at vælge, hvordan de
får mest it for pengene uden at komme på kant med loven. Dilemmaet er, at det er dyrt at investere i it-
sikkerhed, men at det kan blive endnu dyrere at investere for lidt eller forkert.

Helt konkret overvejer flere skoler at lade eleverne bruge computere uden at skulle logge på ved timens
begyndelse for at få mere tid til reel undervisning i stedet for at bruge 5-10 minutter af hver time med
login-problemer.

Men kan skolen overhovedet tillade, at skolens netværk bliver benyttet, uden at brugeren først logger på?
Svaret på det spørgsmål bliver for alvor interessant, hvis en terrorist eller hacker ligeledes bruger skolens
netværk uden at logge sig på med brugernavn og adgangskode.

Og hvem er ansvarlig, hvis en person installerer piratsoftware på en af skolens maskiner, og skolen ikke
efterfølgende kan forklare myndighederne, hvem der brugte computeren, eller hvis eleverne uden at være
logget på misbruger hinandens private data f.eks. på Facebook?

Og gælder der de samme sikkerhedsregler, hvis eleverne arbejder på skolens computere i forhold til elever,
der har deres egen computer med hjemmefra?

Da flere skoler har spurgt mig om, hvilke regler der gælder, spurgte jeg en kontorchef fra Kontor for styring
af folkeskolen i Uddannelsesstyrelsen. Kontorchefen svarede, at folkeskoleloven ikke indeholder regler om
edb-sikkerhed eller lignende, samt at regler for behandling af personoplysninger fremgår af de generelle
regler i Persondataloven, som hører under Datatilsynet.

Kontorchefen tilføjede, at edb-sikkerhedsforanstaltninger skal træffes lokalt og anbefalede mig derfor
at kontakte skolens ledelse eller kommunens skoleforvaltning for at få oplysninger om de lokale
sikkerhedsregler. Men skolerne havde jo netop spurgt mig om det samme!

Bedømt ud fra myndighedernes svar er der et hul i lovgivningen eller i forvaltningen af den, som bør
afklares, så folkeskolerne kan finde det rette niveau for sikkerhedsinvesteringer.

Læs mere om it i folkeskolen på dette diskussionsforum: http://easyedu.teaming.dk/

Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anonym

Persondataloven må være bestemmende, for den valgte løsning. På trods af, at det går ud over undervisningen.

Det gælder i alle tilfælde, at hvis Skolens net har været brugt til f.eks. identitetstyveri, så er det skolens ansvar, med mindre skolen kan henvise til en videre opklaring, f.eks. gennem data fra en log.

I forbindelse med medbragte apparater, er der ingen forskel på om det er skolen eller ens eget apparat, der skal gælde samme regel for at være logget ind.

Og, da der er tale om maskiner der betjenes af børn, så bør der være en form for automatisk log af, i henhold til et eller andet regelsæt.

Er det hele mere besværligt en som sådan, tager det mere end et par sekunder at logge på ?

  • 0
  • 0
#2 Maciej Szeliga

Og hvem er ansvarlig, hvis en person installerer piratsoftware på en af skolens maskiner, og skolen ikke efterfølgende kan forklare myndighederne, hvem der brugte computeren...

Den er ansvarlig som ikke har beskyttet systemet... bl.a. ved at forhindre uvedkommende i at installere software. Alternativt kan det gøres med VDI så man ved hver boot får et frisk system og systemerne tvangsbootes mindst en gang i døgnet.

  • 1
  • 2
#5 Jonas Finnemann Jensen

Login kan være en god idé for at give eleverne et netværksdrev at gemme ting på. Men hvis man ellers opsætter en sandkasse så folk ikke kan installere ting (uden login), er der ingen grund til at kræve login.

Argumenter som 1. Nogen kunne gemme pirate kopirede ting, eller 2. Folk ("terrorister") for anonymt adgang til internet er helt galt.

Skolerne skal ikke overvåge computer brug for at 1. beskytte kommercielle interesser, og 2. internet adgang er til farer for nationens sikkerhed!

Hvis man sjælen har brug for netværksdrev eller gemmer alt på USB nøgler (det er nemmere). Er det da oplagt ikke at lave et login system.

Det hurtigere og billigt at vedligeholde, så hvorfor ikke?

  • 0
  • 0
#6 Anonym

@ Jonas Finnemann Jensen.

Mener du, at der ikke skal være adgang til netværksdrev på skolen, og de faciliteter der ellers er i forbindelse med skolens IT ? Ellers lader det sig jo ikke rigtigt gøre.

Det du foreslår, er ret enkelt at lave. Og jeg kan godt se det smarte i den ide. Men kun hvis man udelukkende tilbyder internet adgang, og kun med private bruger apparater.

  • 0
  • 0
#8 Jesper Lund

Offentlige uddannelsesinstitutioner er undtaget fra logningsbekendtgørelsen. Det fremgår meget klart af bekendtgørelsen.

En arbejdsgruppe under Justitsministeriet arbejder på en rapport som vil foreslå en kraftig udvidelse af logningsbekendtgørelsen, således at alle bliver omfattet (alt fra skoler til hvis du lader naboen låne dit internet) http://www.itpol.dk/notater/logningspakke2

Men der er ikke noget officielt forslag om dette, og de politiske vinde for tiden går næppe i retning af mere logning.

  • 1
  • 0
#9 Jonas Finnemann Jensen

Mener du, at der ikke skal være adgang til netværksdrev på skolen, og de faciliteter der ellers er i forbindelse med skolens IT ?

Jo, det er nok en godt ide :) Men nu snakkede artiklen at undgå login, og hvorfor ikke? (Jeg gætter på at elever der glemmer deres login ofte tager 5-10 min)

Hvis man vil have netværksdrev kan man bare montere det senere. Evt. med et ikon på skrivebordet, som spørger om login.

De fleste anvender sikkert USB nøgler, så det er nemt at tage ting med hjem. Og ofte har de sikkert ikke brug for at gemme noget, men skal bare på nettet.

  • 0
  • 0
#10 Anonym

@ Jonas Finnemann Jensen.

I det omfang, at der er tale om at eleverne bruger private PC'er, så er din ide fin med mig. Man kan sagtens lave et "fjern-login", som også fungerer imens man er hjemme.

Problemet med en stationær PC på skolen er, at man bliver nød til at skabe en ny PC fra scratch, hver gang en elev skal på, ellers ligger der alt muligt pis, fra en eller anden tidligere elev. Det har man tidligere leget lidt med, men det fungerede vist ikke i praksis.

Såååå.... Gi dem hver en lappi... Det må være den nemmeste løsning.

  • 1
  • 0
#11 Jonas Finnemann Jensen

Problemet med en stationær PC på skolen er, at man bliver nød til at skabe en ny PC fra scratch, hver gang en elev skal på, ellers ligger der alt muligt pis, fra en eller anden tidligere elev.

Hmm, lås PC'en ned (så man kun kan gemme på skrivebordet) og slet filer på skrivebordet, når PC'en genstartes. - Computerne slukkes forhåbentlig om natte :)

Såååå.... Gi dem hver en lappi... Det må være den nemmeste løsning.

Ja, jeg ser det heller ikke som en dårlig løsning. Men kan godt se support problemet, folk spilder cola, taber den eller putter ærter i netværkstikket :)

@Jesper:

Offentlige uddannelsesinstitutioner er undtaget fra logningsbekendtgørelsen. Det fremgår meget klart af bekendtgørelsen.

Okay, jeg troede kun logningsbekendtgørelsen var for ISP'er, og derfor overhovedet ikke relevant her. Men det er da rart at vide at der er undtagelser for uddannelsesinstitutioner.

En arbejdsgruppe under Justitsministeriet arbejder på en rapport som vil foreslå en kraftig udvidelse af logningsbekendtgørelsen, således at alle bliver omfattet (alt fra skoler til hvis du lader naboen låne dit internet)

Skræmmende...

  • 1
  • 0
#13 Michael Nielsen

Det her er kendte problemer ca 40år gamle, og løsningen er næsten lige sá gammelt.

Ved ikke hvordan man gør det i et windows miljø.

Men på linux, tager en re-deploy med programmer, og et netværks drev mellem 2-5minutter for at deploye en lille maskine - kunne man bekvemmeligt gøre hver nat, eller hvis en maskine opfører sig underligt.

Private eller shared drev, håndteres fuld automatisk i systemet, hvis man gider sætte det op..

Så hvad er problemet ? not invented here ? Eller ønsket om et specifikt styre system, der ikke har styr på grundlæggende sikkerheds infrastruktur?

Hvis folk bringer deres egne maskiner, drejer det sig jo kun om at komme på et shared drev, en gang oprettet, sker det automatisk der efter?

Hvad er problemet ?

Tager man en unix baseret maskine, så som feks en unix, kan man meget strikt stoppe for installationen af privat software, og løsningen for at nulstille en maskine er kendt, og gennemtestet - for ikke at nævne billig.

  • 2
  • 0
#16 Klavs Klavsen

Hvor kommer problemet med at der bruges 5-10 minutter på login fra? Er der brugerne der småsnakker istedet for at logge ind, eller er det fordi der går 5 til 10 minutter fra login er skrevet, til maskinen er brugbar?

Hvis det er det sidste, Hvorfor pokker løser man ikke bare problemet med at login tager 5-10 minutter?

Hvis man logger op imod alt andet end et windows AD - har jeg aldrig set det tage over 1 minut (i værste tilfælde).

Jeg har ikke testet LDAP plugin'et til windows ( se http://pgina.org/ ) - men min erfaring med andre Linux klienter der autentikerer sig op imod ldap/kerberos er at det ikke tager mere end et par sekunder.

Til det kan man jo tilføje, en anden løsningsmulighed, tynde terminaler f.ex. har Sun har en løsning bl.a. læger bruger, hvor login sker ved at indsætte sit personlige ID kort på tynde terminaler - hvor brugerens session følger der hvor man er logget ind - så programmer osv. man har kørende, stadig kører, selvom man flytter rundt.

Det samme kan laves med LTSP - og bruger man almindeligt login istedet for er kort, spares der en del på den konto.

Og som andre siger, kan man sagtens løse problemet med andres "leftovers" - det burde man også sagtens kunne på en nyere windows klient.

Så problembeskrivelsen skal vist specifices lidt, hvis der skal leveres nogle mere præcise forslag.

  • 1
  • 0
#17 Anonym

Hvordan vil du logge på disse remote desktops ? Man skal jo have noget i hånden til at arbejde på.

I forbindelse med egen-pc, er det udemærket at kunne logge på en remote desktop, og på den måde arbejde. Men det kræver fortsat en egen-pc. Tilsvarende, så fjerner det ikke problemet i selve klassen, skal man så også logge på en remote desktop der ? Det vil blive til en form for dobbelt konfekt. Ellers ret mig....

Jeg vil igen slå et slag for Jonas's ide, hvor man helt undlader at gøre noget, men simpelthen anvender de muligheder internettet almindeligvis stiller til rådighed. Så slipper Skolen helt for at foretage andet, end at stille et system til rådighed for lærerne. Et sådant system, kan oprettes på en simpel server, uden de store drifstomkostninger, evt. lejer skolerne sig bare ind på et almindeligt web-hotel. Anden kommunikation, kan ske over et helt almindeligt SD-kort, eller en USB-stick. Herunder kan alle skolebøgerne udgives papirløst.

Kigger man fremad, så er det klart, at alt bliver mobilt. Det vil blive sådan, at man kan ligge på stranden med sit apparat og skrive stil eller lave andre opgaver. Det kan man jo allerede. I det omfang, at man ønsker at gemme en sådan opgave, så kan det ske på elevens eget apparat, med backup på en stick eller et kort. Skal der afleveres, så sender man bare en mail, og får en kvittering for afleveringen.

Kyl de skolebøger ud, i det omfang det er muligt, og giv ungerne en lappi eller en pad. Stil net til rådighed på skolen, så ungerne kan komme på nettet imens de er i skole.

Er der nogen der vil lidt mere, f.eks. have pad med sim, guldkant og båthorn, så kan de jo bare bruge noget andet end det udleverede apparat. Man skal blot stille nogen krav til formatkompatibilitet, så er det løst.

Økonomisk, sparer man bøgerne væk, og alle de investeringer der i øvrigt ligger i det eksisterende statiske system, samt langt størstedelen af det administrative der ligger i at drive et netværk. Skal man ikke spare de 500 millioner, så kan man købe apparater til ungerne. For 500 millioner, får man 250.000 apparater af 2000 kr. stykket.

For børnene, så sparer de en dårlig ryg af at slæbe rundt på alle de bøger, foruden at de lærer at bruge IT til andet end legetøj.

Og, hvor fedt må det ikke være for ungerne. En let, eller måske slet ingen skole-rygsæk. Er der noget man ikke lige har fattet, så kan man ligge på stranden, og gennemgå stoffet igen og igen, for skolebogen ligger jo på ens skole-apparat. I bedste fald, så ligger det som en lektion, og man kan se det som et filmklip.

Det må være den rigtige vej, hen mod et papirløst samfund, der fungerer dynamisk med de muligheder der udvikles.

  • 0
  • 0
#18 Maciej Szeliga

Tilsvarende, så fjerner det ikke problemet i selve klassen, skal man så også logge på en remote desktop der ? Det vil blive til en form for dobbelt konfekt. Ellers ret mig....

Man logger også på remote desktop i klassen og bruger en tynd klient til det... ekstra bonus: tynde klienter er ikke interressante for tyve da det er begrænset hvad man kan bruge dem til uden en eller anden terminalserver. Normalt vælger man så at lægge en Citrix XenApp oven på RDP men man kan køre uden.

  • 0
  • 0
#19 Kristian Christensen

Jeg har faktisk lige lavet en costum udgave af Ubuntu 11.10 med gnome2 look hvor brugere BÅDE logger ind med Windows AD samt får adgang til deres privat og fællesmapper. Login vil jeg så påstå er hurtigere end tilsvarende i Windows. Dog skal det så lige siges at Windows får deployet printere osv som de ikke gør i Linux men alligevel. Som det er nu har jeg godt 15 maskiner der både er forskellige og gamle. De kører linux ganske fint. Med Likewise-Open køres de fint op imod Windows AD. Og med lidt fuskeri i .profile opretter de hvergang en ny elev logger på en genvej til deres eget drev samt fællesdrev. Så det kan sagtens lade sig gøre.

Med elevers egne maskiner har du bare noget MSCHAP V2 og PEAP kørende der snupper et brugernavn og password til auth. Så kommer de ingensteder på netværket uden deres brugernavn og password fra skolen.

Det funger ganske fint her ihvertfald og det tror jeg ikke koster mange basseører.

  • 0
  • 0
Log ind eller Opret konto for at kommentere