ok. 4 minuty czytania – polub, linkuj, komentuj!

Dziś trudno jest uczyć bez żadnego wsparcia technologii. Platformy, aplikacje, systemy LMS potrafią być naprawdę pomocne w procesie. Często jednak wiąże się to z działaniami zupełnie nie związanymi z edukacją jako taką. Najbardziej banalny przykład to konieczność założenia konta w jakimś. Czasem jest to uczelniany Teams, a innym razem choćby Miro czy Canva. W pierwszym przypadku z pomocą pospieszą nam administratorzy uczelni, a pozostałych - musimy sobie radzić sami. A to już sprawia, że warto dokładniej przyjrzeć się wytycznym i obalić popularne mity. 

Dlaczego? Ponieważ poproszenie studentów czy uczestników naszych szkoleń czy warsztatów o założenie sobie choćby bezpłatnego konta w dowolnym systemie przenosi choćby częściowo odpowiedzialność na nas za konsekwencje. 

^{Photo by Jakub Żerdzicki on Unsplash}

Mit 1: Regularna zmiana haseł jest zalecana

Znamy to praktycznie z każdej rozwiniętej organizacji. Polityka bezpieczeństwa zazwyczaj jest prosta: hasła należy zmieniać regularnie. Niektóre instytucje, szczególnie uczelnie, stosują zasadę wymuszania zmiany haseł co 30, 60 lub 90 dni. Tymczasem powinno być dokładnie odwrotnie: haseł nie należy zmieniać bez powodu. Wymuszanie częstych zmian haseł kończy się tym, że prędzej czy później są one zapisywane w notatniku w telefonie czy na żółtych karteczkach. 

Według Amerykańskiego Narodowego Instytutu Standaryzacji i Technologii (NIST) hasło powinno być zmienione tylko wtedy, gdy istnieje podejrzenie jego ujawnienia lub wypłynięcia, a nie „na wszelki wypadek”. Zalecenie to jest obowiązujące dla amerykańskiej administracji publicznej i coraz częściej stosowane także w sektorze prywatnym w Stanach Zjednoczonych. 

Mit 2: Duże platformy online od znanych dostawców są bezpieczne

Wielu użytkowników zakłada, że korzystanie z dużych i popularnych platform jest bezpieczniejsze, niż z tych bardziej niszowych. Zakładamy, poniekąd słusznie, że duża firma to duży zespół, gdy dba o bezpieczeństwo tysięcy (a może milionów) użytkowników, a nie kilkudziesięciu czy kilkuset. 

W praktyce jednak nawet największe platformy, takie jak Facebook, Google, Amazon czy TikTok, regularnie padają ofiarą ataków hakerskich, wycieków danych. Pomijam już to, że są masowo wykorzystywane do działań dezinformacyjnych i manipulacji faktami. 

Mit ten oczywiście nie daje prawa do nieomylności małym dostawcom czy deweloperom działającym jako jednoosobowe działalności.  Po prostu warto pamiętać, że rozmiar nie ma znaczenia, jeśli chodzi o bezpieczeństwo działania systemu. Jeśli będę chciał popracować ze studentami na wspólnej wirtualnej przestrzeni to oczywiście zaproszę ich do tablicy na Miro, a nie będę wynajdywał proch na nowo. Jednak gdybym chciał zaprojektować wielomiesięczny proces rozwojowych, który będzie wymagał zakładania kont i pracy w konkretnym środowisku na konkretnych danych (nawet, jeśli to “tylko” edukacja), to minimum przyzwoitości byłoby sprawdzenie, jak wygląda historia danego dostawcy pod względem wycieków danych. 

Mit 3: Wieloskładnikowa autoryzacja (MFA) jest zbyt trudna i stanowi barierę dla uczestników szkoleń

MFA to ta sytuacja, gdy po wpisaniu hasła musisz jeszcze dodatkowo kliknąć coś na telefonie czy przepisać jednorazowy kod SMS. Jest to uciążliwe i często postrzegane jako zbyt techniczne. Jednocześnie jest to działanie bardzo skuteczne. 

Wszelkie incydenty bezpieczeństwa, w tym ataki hakerskie, przypominają trochę grę, w której ci źli muszą zebrać określone artefakty (loginy, hasła, maile itd.), aby wykonać niebezpieczne dla nas działania. Autoryzacja wieloskładnikowa rozprasza te artefakty i sprawia, że działanie sił zła jest bardzo utrudnione. Oprócz hasła należałoby również przejąć SMS-y, a to już znacznie trudniejsze. 

Zdarza się jednak, że MFA jest projektowane w sposób zawiły technicznie i niejasny dla odbiorcy. Konto organizacji jest zintegrowane z Google czy Microsoft? To w pewnym sensie ułatwia sprawę, ale bywa też powodem irytacji. Do jednych systemów logujemy się za pomocą emaila i hasła, do innych - specjalnego tokena, a jeszcze inny wymaga potwierdzenia SMS-em. Tymczasem dobra integracja z SSO (jednokrotnym logowaniem do wszystkich usług) może pomóc nam upiec dwie pieczenie na jednym ogniu. 

Słówko na dziś: podatność

Podatność to słabe miejsce w systemie, aplikacji lub procedurze, które może zostać wykorzystane przez osobę niepowołaną do wyrządzenia szkody lub uzyskania nieautoryzowanego dostępu np. zbyt skomplikowane i często zmieniane hasła sprawiają, że ludzie zapisują je sobie na karteczkach. I to nie słabe hasło jest problemem lecz ciągłe jego zmienianie generuje podatność na błędy natury ludzkiej. 

Patrzenie na swoje narzędzia i środowisko cyfrowe przez pryzmat podatności pozwala uruchomić wyobraźnię i przewidywać potencjalne zagrożenia, nawet jeśli nie jesteśmy specjalistami od IT. Dzięki temu możemy szybciej zauważyć niepokojące sygnały, ponieważ jesteśmy często jedynymi osobami, które za to odpowiadają. 

Piotr Maczuga – pisze, nagrywa, szkoli i występuje publicznie, przybliżając temat nowych technologii w edukacji dorosłych. Na co dzień produkuje treści edukacyjne i cyfrowe eventy oraz buduje i modernizuje studia multimedialne. Współzałożyciel Fundacji Digital Creators. Ambasador EPALE.

Zobacz także:

Kuratela treści, czyli nie wszyscy muszą tworzyć

Warto rozmawiać. Techniczne aspekty podcastingu na odległość

Szkolenie jako podcast

Podkast - kiedy warto (a kiedy nie) wykorzystać to narzędzie w praktyce trenera

Podkasting dla trenerów