Home Escola “A escola não pode ser a Gruta do Ali Babá e dos...

“A escola não pode ser a Gruta do Ali Babá e dos Quarenta ladrões” – Jorge Braga

A escola não pode ser a Gruta do Ali Babá e dos Quarenta ladrões, em que saber onde é a gruta e a palavra-passe “Abre-te Sésamo” são suficientes para entrar. As salas-de-aula virtuais também não.

358
1

Abre-te Sésamo!

Nos últimos dias, temos assistido à vandalização das “salas de aula virtuais”. Tal é, de facto, um crime que deve ser ativa e severamente punido.

Este vandalismo vem facilitado porque a infraestrutura de identidades digitais dentro da escola é algo que, por vezes, não existe. Um aluno, para entrar na escola física, precisa de se inscrever, os pais precisam de assinar diversas autorizações, é-lhe emitido um cartão impresso pela própria escola que indica o seu nome, contém a sua fotografia e que deve ter na sua posse para poder entrar e sair da escola. Esta foi uma medida implementada pelo Simplex em 2007. Há 13 anos!

Pelo contrário, para se entrar nalgumas “aulas-virtuais” são apenas necessários, no caso particular de alguns fabricantes de software, um ID e uma palavra-passe – comum e partilhada entre todos os alunos. É o equivalente a saber a morada da escola e uma palavra-passe para se dizer ao funcionário que está ao portão que somos alunos daquela escola. Se, na vida real, o processo de segurança da entrada na escola fosse similar, um qualquer cidadão que soubesse onde é a Escola (!) e de alguma forma obtivesse a palavra-passe poderia entrar por ali adentro, porque o funcionário do portão não tem outra forma de verificar quem ele é. Claro que, na vida real, ver um senhor de 30 anos entrar por uma EB23 adentro levantaria imediatamente suspeitas! É seguramente demasiado novo para ser professor, diriam!

A escola não pode ser a Gruta do Ali Babá e dos Quarenta ladrões, em que saber onde é a gruta e a palavra-passe “Abre-te Sésamo” são suficientes para entrar. As salas-de-aula virtuais também não. A gestão de identidades digitais de alunos e professores é algo absolutamente fundamental para a existência digital de uma escola. Mas tal é algo que já deveria estar feito há muito tempo e deveria ser obrigatório em todas as escolas, tal como o pretende ser o cartão de aluno eletrónico desde 2007. Este devia ter sido o primeiro passo.

Uma parte das escolas já disponibiliza aos alunos e professores credenciais digitais adequadas que identificam o utilizador sempre que este acede a recursos digitais disponibilizados pela escola, num ambiente seguro. Tal é uma medida de segurança ativa para professores, alunos, encarregados de educação e restantes colaboradores. A Comissão Nacional de Proteção de Dados já avisava para esta necessidade em 2014, em Webinar na DGE.

A identidade digital dentro da escola vai muito para lá do simples e-mail. Pode também passar por sistema de apoio à aprendizagem, integração com cartão de estudante, etc. Tal como numa empresa, numa escola o acesso a um conjunto de recursos deverá estar condicionado por essa identidade digital, gerida pela escola. A existência desta identidade digital gerida e administrada pela escola, tal como o cartão de aluno, permitiria prevenir uma parte significativa dos problemas que, entretanto, surgiram.

Há, contudo, outro enorme problema de confusão entre contas pessoais e contas profissionais. Geralmente, quando não há uma solução proposta pela escola, há uma tendência a usar emails pessoais. Há professores e alunos a usar contas pessoais de email para criar soluções de ensino à distância porque simplesmente a sua entidade patronal/ escola não resolve o problema. Seria como um bancário guardar em sua casa o dinheiro dos clientes, porque o banco não lhe fornece um cofre para a sua agência bancária. Que acontece ao bancário se a sua casa for assaltada? O bancário era bem-intencionado, mas não é banqueiro. O estado não tem ativamente promovido, no ensino básico e secundário, a existência desta identidade digital, nem tão pouco uma promoção ativa das ferramentas que lhe podem estar associadas. As escolas podem e devem fazê-lo precisamente para proteger todos os envolvidos. Da mesma forma que, para entrar numa escola, é necessária uma identificação. Da mesma forma que o bancário não guarda o dinheiro em casa…. supostamente!

Num momento em que a privacidade é valorizada e o Regulamento Geral de Proteção de Dados (RGPD) vem balizar muito claramente o que pode e não pode ser feito, a contratualização de soluções tem de passar, obviamente, pela escola. Os professores não podem usar as suas identidades digitais pessoais para tratar de assuntos de escola, especialmente aqueles que envolvam dados pessoais dos alunos, simplesmente porque a entidade patronal não cumpre a mais básica das funções que lhe compete: fornecer aos seus trabalhadores as condições para a execução do trabalho. As escolas devem dar aos seus colaboradores uma solução fechada e protegida para comunicação com os seus alunos e desenvolvimento da atividade pedagógica. Uma solução contratualizada pela escola e que respeite a legislação nacional e europeia. Uma solução que cumpra os mais elevados requisitos de segurança, de preferência com autenticação multifatorial. A utilização de contas pessoais para resolver assuntos profissionais pode privar alunos e encarregados de educação de vários direitos fundamentais consagrados no RGPD: os direitos ARCO – Direito de Acesso à Informação, Direito à Retificação, Direito ao Cancelamento ou Esquecimento e Direito de Oposição.

As escolas são os fiéis depositários dos dados de alunos, professores, encarregados de educação e restantes colaboradores, mas não são donos desses dados. Esses dados não podem andar a ser desbaratados pela internet em videoconferências realizadas com contas gratuitas pessoais, em murais associados a contas pessoais, em servidores que não correm sobre HTTPS, etc. Parafraseando João Traça – “Nem o COVID nem o estado de emergência puseram a proteção de dados de Quarentena.”

Toda esta confusão é ainda mais estranha quando se considera que o Estado teve mais dois anos do que o sector privado para implementar o Regulamento Geral de Proteção de Dados e precaver todos estes problemas na sua infraestrutura, tendo até o Conselho de Ministros emitido orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais.

Os professores devem, pois, proteger os seus dados e os dos seus alunos e, evitar confundir a sua identidade digital pessoal com a profissional, por muito sozinhos que a sua entidade patronal os deixe. A entidade patronal deverá dar aos seus trabalhadores as condições para exercerem a sua atividade em segurança com todo o respeito pela lei e pela privacidade de todos os envolvidos. Professores, pais e encarregados de educação devem estar vigilantes de que o estado cumpra aquilo que regulamentou, exigindo que algo mais complexo que um simples “Abre-te Sésamo” proteja os dados pessoais de todos, mas em particular das crianças.

Jorge Sottomaior Braga

Professor na EPRAMI – Escola Profissional do Alto Minho Interior

Fonte: Observador

1 COMMENT

  1. Boa noite,

    Entendo perfeitamente o que aqui foi relatado. Mas todas as situações que refere funcionam de forma, diria, perfeita numa empresa onde o sistema de log in está arquitetado para estabelecer todas essas formas de segurança. E essa segurança instalada é proporcional aos conteúdos de informação mais ou menos privilegiada que circula na intranet ou na internet. São sistemas caros. O sistema de logs é registado e apenas é possível haver numa determinada sala virtual o mesmo número de ID registados nesse espaço virtual. Para além disso, essas empresas, mesmo utilizando software que está a ser utilizado por muitas das nossas escolas no chamado ensino à distancia(teams, webex), também recorrem a vpn, ou seja, onde todos os pacotes de dados são encriptados, reduzindo imenso a possibilidade de intrusão por estranhos.
    Mas mesmo assim, estas empresas também seriam alvos fáceis se os seus empregados não respeitassem um código de conduta exemplar na utilização que fazem do seu equipamento informático. Dou o exemplo da minha esposa que trabalha numa multinacional farmacêutica, onde o esquema de segurança montado, diria que é quase tão robusto como o de um sistema bancário. Mas nenhum sistema se torna tanto mais robusto se não temos o fator humano a colaborar, isto é, os trabalhadores da empresa. Ai de alguém que se ponha a ter comportamentos de utilização da infraestrutura de software e hardware de forma menos correta, pois os administradores que gerem toda esta infraestrutura darão imediatamente conta de padrões de utilização não estarem de acordo com as normas, e o empregado será chamado à atenção e, mediante o comportamento de maior ou menor gravidade que levou a “abrir” uma possível brecha de segurança pode em último caso ser despedido.
    Agora as escolas…
    Com os casos que se passaram recentemente nas plataformas utilizadas por muitas escolas, diria que não há segurança possível que resista, se os alunos transmitem as suas passwords a um mais ou menos conhecido. Ao contrário do que diz na peça, e falo no meu agrupamento, as passwords e e a identificação de utilizador gerados não são comuns. E na primeira utilização, no teams o sistema pede para alterar a password. Admito que algumas escolas não estabeleceram algumas regras de segurança, quer na gestão das passwords, quer depois na configuração das salas de video conferência, evitando a possibilidade de acesso a funções que só o professor deveria ter. No entanto, a entrada em salas virtuais, por estranhos à turma, torna-se um quebra-cabeças,
    impossível de evitar se o fator humano (alunos) não tiverem uma certa maturidade que os leve a perceber que aquele é um espaço seu, de trabalho e não um lugar para institucionalizar a “galhofa”.
    Diria, então, que a segurança informática e a sua implementação segura, é proporcional ao uso e comportamento que as pessoas dela fazem.
    Se recuarmos uns bons tempos, e conhecermos a história de Kevin Mitnick, um dos maiores hackers de todos os tempos, ele, pessoalmente não se considerava um hacker, dizia ser um “engenheiro social”, isto porque ele para entrar nos sistemas informáticos da época (nada semelhantes aos que existem hoje) ele encarnava várias personagens, dirigindo-se pessoalmente às empresas que queria comprometer, fazendo-se passar por técnico de telefones., estafeta, etc, etc. Enganando, as pessoas que teriam alguma informação privilegiada para depois, junto do seu computador e linha telefónica construir o seu exploit.
    Enquanto tivermos alunos que levam a privacidade deles e dos outros de forma completamente leviana, qualquer sistema de segurança, morrerá sempre à nascença, se o comportamento dos utilizadores não mudar, e este não for de facto responsabilizado de forma severa.

LEAVE A REPLY

Please enter your comment!
Please enter your name here