Ta rozbieżność paraliżuje skuteczność interwencji, o których wspominaliśmy w kontekście bezpieczeństwa w social mediach. Co gorsza, 23% polskich rodziców nigdy nie rozmawiało z dziećmi o bezpieczeństwie, a urządzenia są często oddawane najmłodszym „dla świętego spokoju”.

Infrastruktura IT: Dziurawe strony i brak procedur

Badania pokazują, że problemy szkolnego IT wykraczają daleko poza „słabe Wi-Fi”. Analiza tysięcy stron internetowych polskich szkół ujawniła krytyczne podatności: na stronach opartych na systemach Joomla i WordPress wykryto łącznie ponad 14 000 luk bezpieczeństwa. Prawie 95% witryn nie posiadało poprawnie skonfigurowanych nagłówków bezpieczeństwa ani mechanizmów DNSSEC.

W sferze procedur brakuje zharmonizowanego systemu. Nauczyciele deklarują brak jasnych wytycznych „co zrobić” w konkretnej sytuacji kryzysowej. Aby to zmienić, konieczny jest trzystopniowy model:

• Poziom Minimalny: Firewall, szyfrowanie WPA2/WPA3, aktualne systemy CMS (Joomla/WP).
• Poziom Podwyższony: Bezwzględna segmentacja sieci. Odseparowanie sieci administracyjnej (RODO) od sieci dydaktycznej.
• Poziom Profesjonalny: Systemy IDS/IPS, MDM oraz bezpieczna polityka BYOD (Bring Your Own Device).

Labirynt prawny: Obowiązki KRI i SZBI 2024

Dyrektor szkoły, jako kierownik jednostki publicznej, ponosi pełną odpowiedzialność prawną za bezpieczeństwo danych. Rozporządzenie w sprawie Krajowych Ram Interoperacyjności (KRI) z dnia 21 maja 2024 r. (Dz.U. 2024 poz. 773) nakłada obowiązek utrzymywania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).

Każda placówka musi posiadać:

• Politykę Bezpieczeństwa Informacji (PBI).
• Rejestr incydentów oraz plany ciągłości działania (backup).
• Procedury nadawania uprawnień do systemów.

Ważne: Zgodnie z § 19 KRI, dyrektor musi zapewnić obiektywny audyt wewnętrzny bezpieczeństwa informacji nie rzadziej niż raz na 2 lata. Zaniechanie tego obowiązku może nieść za sobą konsekwencje dyscyplinarne.

Czynnik ludzki i kompetencje (DigCompEdu)

Polska znajduje się w grupie czterech najsłabszych państw UE pod względem ogólnych kompetencji cyfrowych (indeks DESI). Wiedza nauczycieli o cyberzagrożeniach jest często powierzchowna i niesystematyczna. Nauczyciel musi jednak stać się „liderem bezpieczeństwa” zgodnie z ramami DigCompEdu, aby skutecznie walczyć z:

• Phishingiem: Wzrost o 58% incydentów. Tylko 39% użytkowników stosuje 2FA, o czym pisaliśmy w podstawach bezpieczeństwa.
• AI i Deepfake: 70% nastolatków korzysta z narzędzi AI bez nadzoru, co naraża ich na manipulację, opisaną w poradniku o phishingu.
• Cyberprzemocą: Ponad połowa uczniów doświadczyła agresji online.

Polska na tle UE: Potrzeba zmian systemowych

W krajach takich jak Wielka Brytania czy Australia edukacja o cyberbezpieczeństwie zaczyna się już od 11. roku życia. W Polsce te elementy dodano dopiero w 2022 r. jako fragment przedmiotu Edukacja dla Bezpieczeństwa (EDB). Aby dogonić liderów, rekomenduje się odejście od teorii na rzecz metod interaktywnych: gier poważnych (serious games) oraz konkursów typu Capture the Flag, które skuteczniej budują realne umiejętności.

Strategiczne rekomendacje: Jak zacząć?

• Zaudytuj system zgodnie z KRI: Przeprowadź profesjonalny audyt SZBI (wymagany co 2 lata). Koszt dla szkoły to zazwyczaj 1 500 – 2 500 zł netto. To polisa ubezpieczeniowa dla dyrektora.
• Powołaj Zespoły ds. Bezpieczeństwa: Dyrektor, IOD i Informatyk muszą współpracować, a nie działać w izolacji.
• Wdrażaj interaktywną edukację: Wykorzystaj bezpłatne narzędzia (OSE IT Szkoła, Cyberlekcje 3.0) i włącz rodziców poprzez warsztaty online.
• Zadbaj o standardy techniczne: Regularne przeglądy podatności stron WWW i wdrożenie DNSSEC.

W kolejnym artykule przejdziemy od teorii do czynów i przedstawimy plan wdrożenia cyberbezpieczeństwa krok po kroku.