Ministra Nauki i Szkolnictwa Wyższego z dnia 14 września 2011 r. w sprawie dokumentacji przebiegu toku studiów). Student traci prawo do posiadania legitymacji i zobowiązany jest ją zwrócić niezwłocznie w przypadku: - prawomocnej decyzji o zawieszeniu w prawach studenta, - prawomocnej decyzji o skreśleniu z listy studentów, Scenariusz 1. Student został przyjęty na kierunek wspólny. Jest rejestrowany na 1 semestr na uruchomieniu I kierunku A przez uczelnię prowadzącą. Co semestr jest przez nią przypisywany do kolejnego semestru. Po obronie, w systemie zostaną mu dodane informacje o zakończeniu studiów - w tym o dyplomie ukończenia studiów. Zapoznaj się ze ścieżką rejestracji danych po Przeniesienie danych doktorantów z jednej szkoły doktorskiej do drugiej pomiędzy podmiotami wymaga wskazania osób, których dane powinny zostać przeniesione. Najszybciej dokonasz tego za pomocą filtrów zestawienia. Wskazywanie danych doktorantów do przeniesienia Analogicznie jak w przypadku migracji doktorantów między szkołami doktorskimi twojej jednostki, przeniesienie do szkoły Scenariusz 1. Student po pierwszym roku studiów chce zmienić kierunek studiów. Zostaje skreślony z uruchomienia I kierunku A po 2 semestrze. Student zostaje zarejestrowany na 3 semestr na uruchomienie I kierunku B. Dwa pierwsze semestry zostają mu zaliczone. Scenariusz 2. Student jest rejestrowany na 1 semestr na uruchomienie I kierunku A. Po złożeniu ślubowania zmienia decyzję Aby dokonać korekty lub zarejestrować nową podstawę przyjęcia i kształcenia odszukaj studenta w wykazie, korzystając z filtrów zestawienia. Przejdź do danych studenta, a następnie wybierz zakładkę „Podsumowanie przebiegu studiów”. Kliknij w nazwę studiów na kierunku, która jest linkiem aktywnym do informacji o studiach. Bazy danych i źródła informacji. Bazy są dostępne ze wszystkich komputerów na terenie Uczelni Łazarskiego, przez Lazarski Wi-fi oraz poza Uczelnią dla posiadaczy aktywnego konta bibliotecznego. Drodzy Użytkownicy, w związku z ostatnią aktualizacja przeglądarki Google Chrome pojawiają się problemy z dostępem do baz danych zarówno . Jeżeli wy bądź wasi znajomi borykacie się z widmem skreślenia z listy studentów warto pamiętać, że od decyzji Uczelni przysługuje skarga do Sądu Administracyjnego. Jak stwierdził WSA w Opolu (II SA/Op 413/18) wydanie decyzji w przedmiocie skreślenia z listy studentów musi być poprzedzone dokładnym wyjaśnieniem okoliczności sprawy w zakresie zaistnienia, bądź nie - przesłanek do skreślenia studenta z listy studentów oraz oceną tych przesłanek, znajdującą następnie odzwierciedlenie w treści uzasadnienia wydanej decyzji. Uzasadnienie decyzji o skreśleniu studenta z listy studentów powinno odpowiadać dwóm kryteriom, a mianowicie pozwolić studentowi na obronę jego interesów, zaś sądowi na przeprowadzenie skutecznej kontroli sądowoadministracyjnej. Co to oznacza? W sytuacji gdy uzasadnienie decyzji jest lakoniczne a ponadto z akt waszej sprawy wynika, że Uczelnia nie zbadała należycie wszystkich okoliczności prowadzących do skreślenia z listy studentów to warto walczyć o swoje studenckie prawa przed Sądem Administracyjnym. Na mojej stronie internetowej już wkrótce pojawi się podcast z którego dowiecie się jakie elementy powinna zawierać decyzja administracyjna o skreśleniu z listy studentów i na co powinniście jako Studenci zwrócić uwagę aby móc obronić swoje prawa. Zgodnie z Ustawą Prawo o szkolnictwie wyższym i nauce Art. 108. [Skreślenie z listy studentów] Jaka jest różnica pomiędzy "skreśla się" a "może być skreśloby"? W przypadkach określonych w ust. 1 art. 108 Uczelnia zobligowana jest aby studenta skreślić z listy studentów zaś w przypadkach określonych w ust. 2 może tego dokonać lecz nie musi. Każdorazowo jednak sytuacja, która doprowadziła do próby podjęcia takiej decyzji powinna zostać szczegółowo zbadana i wyjaśniona w toku postępowania administracyjnego. Decyzja o skreśleniu z listy studentów podejmowana w przypadkach określonych w ust. 2 w/w przepisu podejmowana jest w ramach tzw. uznania administracyjnego co nakłada na organ uczelniany szczególny obowiązek zgromadzenia i wszechstronnego zbadania materiału dowodowego i uzasadnienia takiej decyzji przekonującego dla strony zainteresowanej (wyrok WSA w Warszawie z r., I SA/Wa 1710/08, LEX nr 554840). Podkreślić nalezy, że jeżeli student z przyczyn obiektywnych, potwierdzonych zaświadczeniem lekarskim, nie może przystąpić do egzaminu w wyznaczonym terminie, to nie można na gruncie przyjąć, że nie zaliczył semestru, i w konsekwencji wydać decyzji o skreśleniu go z listy studentów (wyrok NSA w Warszawie z r., I OSK 1560/11, LEX nr 1149197). Ustalenie, że student nie zaliczył semestru w określonym terminie wymaga wyjaśnienia, jakie terminy zostały przewidziane lub wyznaczone w decyzjach dziekana i czy student został prawidłowo o nich powiadomiony. Stwierdzenie braku postępów w nauce stanowić może podstawę do skreślenia z listy studentów, jeżeli studentowi nie przysługuje już prawo zaliczenia danego przedmiotu w innym terminie. Przepisy art. 108 nie zawierają terminów i innych wymagań odwołania od decyzji o skreśleniu (w ogóle nie wzmiankują o możliwości odwołania), lecz decyzja o skreśleniu jest decyzją administracyjną (ust. 3) – zatem mają do niej w pełni zastosowanie przepisy Kodeksu postępowania administracyjnego, w tym art. 7, 77, 107 czy 127, 128 i 129 – czyli termin 14 dni do wniesienia odwołania od daty otrzymania decyzji, a w przypadku decyzji o skreśleniu wydanej przez rektora przysługuje nie odwołanie, lecz wniosek o ponowne rozpatrzenie sprawy w terminie także 14 dni od daty otrzymania decyzji o skreśleniu. Jest przy tym oczywiste, że decyzja o skreśleniu powinna być doręczona, a doręczenia nie zastępuje indywidualne czy tym bardziej zbiorowe (w ramach listy) ogłoszenie na tablicy ogłoszeń czy w systemie internetowym uczelni. Przykładowe podanie o skreślenie z listy studentów. Przykładem tym można się dowolnie wzorować tworząc swój dokument. Nasz wzór może służyć jako inspiracja, ale może też zostać wykorzystany metodą "kopiuj-wklej" . Poniżej wzór dokumentu do pobrania w plikach .doc i .pdf. ……………….……………………… (imię i nazwisko) ……………….……………………… (adres do korespondencji) ……………….……………………… ……………….……………………… (kierunek studiów / specjalność ) ……………….……………………… (studia stacjonarne / niestacjonarne) Nr albumu ……………….…………………………….…………………….. (miejscowość i data) ……………….……………………… (nazwa uczelni) ……………….……………………… ……………….……………………… ……………….……………………… PODANIE O SKREŚLENIE Z LISTY STUDENTÓW Niniejszym zwracam się o wykreślenie mnie z listy studentów w roku akademickim ………………. / ……………… . Prośbę swym motywuję tym, iż podjęłam pracę w zmianowym wymiarze godzinowym. Studia kolidowałyby z moim grafikiem pracy, nie chcąc opuszczać zajęć jestem zmuszona zrezygnować ze studiów. Proszę o pozytywne rozpatrzenie mojego wniosku. ………………………………………. (czytelny podpis studenta) [kkstarratings] Uniwersytety, politechniki i akademie są dużymi i złożonymi instytucjami. Odbija się to w ich systemach informatycznych, które mogą być liczne, nie zawsze modernizowane, a czasem są wręcz zapomniane. W czerwcu pisaliśmy o związanych z nimi problemach, a teraz kontynuujemy temat incydentów w polskim światku akademickim. W tym odcinku przedstawiamy wam 13 incydentów z różnych uczelni, a także opiszemy dwa przypadki niebędące incydentami, ale zasługujące na wspomnienie. Dowiedziecie się jak nie publikować list studentów, dlaczego API jest złe (w mniemaniu pracowników pewnej uczelni) oraz jak łatwo odgadywać hasła studentów i hakować im pralnię w akademiku. Post jest długi, dlatego od razu zespoilujemy, że incydenty dotyczą następujących uczelni. Uniwersytet Pedagogiczny w Krakowie, Wyższa Szkoła Zarządzania i Administracji w Opolu, Uniwersytet Medyczny w Białymstoku, Uniwersytet w Białymstoku, Wyższa Szkoła Biznesu i Nauk Medycznych w Łodzi, Uniwersytet Łódzki, Politechnika Wrocławska, Politechnika Warszawska, Uniwersytet Przyrodniczo-Humanistyczny w Siedlcach, Uniwersytet Ekonomiczny w Krakowie Akademia Górniczo-Hutnicza w Krakowie. Poza tym opisujemy jeden dobry przykład dotyczący reakcji uczelni na nasze zgłoszenie (Uniwersytet Śląski) oraz opisujemy jedną historyjkę z aplikacją AGH (nie jest ona opisem wpadki, ale z pewnego powodu jest ciekawa). Nawet jeśli nie nie jesteście studentem czy pracownikiem powyższych uczelni, to i tak czytajcie dalej. Śmiechom nie będzie końca… ;) 1. PESELE studentów niepełnosprawnych Nasz Czytelnik przeglądając strony kilku uczelni trafił na stronę Biura ds Osób Niepełnosprawnych (BON) działającego przy Uniwersytecie Pedagogicznym w Krakowie. Na stronie biura znalazł się komunikat o studentach, którym przydzielono miejsce w akademiku za pośrednictwem BON. Komunikat linkował do pliku PDF, który wyglądał tak. Numerki zasłoniliśmy, bo były to numery PESEL. Samo ujawnienie tych numerów mogłoby budzić wątpliwości, ale w tym przypadku było szczególnie nierozsądne. To były PESELe osób niepełnosprawnych (tj. takich, które starały się o akademik przez Biuro ds. Osób Niepełnosprawnych) a więc można traktować ten przypadek również w kategoriach ujawnienia wrażliwych danych o zdrowiu. Zwróciliśmy na to uwagę Uniwersytetowi Pedagogicznemu. Szybko zareagowano na nasze zgłoszenie i zapowiedziano wyjaśnienie sytuacji. Później dostaliśmy następujące oświadczenie od rzeczniczki Uniwersytetu pani Doroty Rojek-Koryzny. Chciałam Pana poinformować, że po Państwa informacji oprócz (tak jak pisałam w poprzednim mailu wysłanym z telefonu ) natychmiastowego usunięcia listy ze strony internetowej i wprowadzenia innego sposobu informowania studentów o uzyskanych miejscach w akademikach w kolejnych dniach podjęliśmy także działania naprawcze. W Biurze Osób Niepełnosprawnych, gdzie pracują osoby z dysfunkcjami przeprowadzono dokładną analizę zaistniałej sytuacji, znaleziono przyczynę-był to niestety “błąd ludzki”, ponownie przeszkolono wszystkich pracowników. Dodatkowo, w przypadku tej szczególnej komórki organizacyjnej podobne sytuacje nie miały miejsca w przyszłości, podjęto decyzję o wzmocnieniu bezpośredniego monitoringu Biura Osób Niepełnosprawnych i dodatkowym nadzorze ze strony osób bezpośrednio odpowiedzialnych za ochronę informacji osobowych na całej uczelni. Mamy szczerą nadzieję, że podobny incydent się nie powtórzy, jednocześnie dziękujemy za szybką interwencję portalu Czy pracownicy Twojej firmy lepiej chronią dane klientów? Czy na pewno wiedzą jak poprawnie się z nimi obchodzić i jak bezpiecznie korzystać z służbowego komputera oraz telefonu komórkowego aby ograniczyć wycieki i nie dać się cyberprzestępcom? W ciągu 2017 roku polskie firmy były celem tysięcy ataków. Niektóre z nich zakończyły się sukcesem włamywaczy. W innych przypadkach, tylko poprawne reakcje pracowników uchroniły firmę przed chcesz nauczyć pracowników jak wykrywać i poprawnie reagować na współczesne ataki skierowane na polskie firmy, zamów jeden z 7 cyberwykładów. Przyjedziemy do Twojej firmy i na żywo pokażemy kilka ataków, w kontrolowany sposób okradając Twoich pracowników z ich firmowych danych. Opad szczęki gwarantowany! Ale bez obaw, wszystko co ukradniemy, oddamy, a w dodatku powiemy jak poprawnie wykrywać i reagować na tego typu ataki. Wiedzę przekazujemy sprawie, konkretnie i z poczuciem humoru, czyli tak, aby każdy był w stanie zrozumieć jak poprawnie zachowywać się w sieci i chronić zarówno samego siebie, jak i swoją firmę przed stratami. W 2017 roku przeszkoliliśmy kilkanaście tysięcy pracowników polskich spółek. W niektórych z nich, nasze szkolenie stało się regularnym i obowiązkowym szkoleniem dla nowozatrudnianych pracowników. Dołącz do grupy naszych zadowolonych i zabezpieczonych klientów i zamów szkolenie “Bezpieczny Pracownik” lub jeden z 7 cyberwykładów dla swojej firmy. 2. PESELE i numery albumu 2,3 tys. studentów Z kolei na stronie Wyższej Szkoły Zarządzania i Administracji w Opolu dało się znaleźć katalog !!!-baza a w nim plik o nazwie ws Wspomniany plik ważył ponad 80 MB i zawierał różne dane osobowe, numery albumów, nazwiska i PESEL-e ponad 2,3 tys. studentów. Na szczęście uczelnia zareagowała błyskawicznie gdy to zgłosiliśmy. Informatyk zaczął przeglądać cały serwis by się upewnić, że nigdzie przypadkiem nie pozostawiono innych plików. Pouczono pracowników odpowiedzialnych za tę sprawę i zapewniono nas, że taka sytuacja już się nie powtórzy. 3. PESELE i numery telefonów kandydatów Przenosimy się do Białegostoku. Na stronie tamtejszego Uniwersytetu Medycznego dało się znaleźć plik XLS z wynikami testów. Na pierwszy rzut oka dokument wyglądał niewinnie. Wystarczy spojrzeć na sam dół by zauważyć, że jest jeszcze drugi arkusz o nazwie “All”. Tam znalazły się dane wszystkich osób, które uczestniczyły w teście predyspozycji. Imiona, nazwiska, drugie imiona, numery telefonów i numery PESEL. Wystarczająco dużo, by się przejmować. W sumie w dokumencie były dane 75 osób. W takich sytuacjach zwykle wysyłamy do uczelni maila i natychmiast dzwonimy. Rzecznik prasowy UMB Marcin Tomkiel zadziałał szybko i dostęp do pliku został zablokowany kilka minut po naszej rozmowie telefonicznej. W przesłanym później oświadczeniu Marcin Tomkiel napisał. Plik został zamieszczony omyłkowo w formacie xls jako druga zakładka, zamiast w formacie pliku PDF z niewidocznymi danymi osobowymi. Mając świadomość ochrony danych osobowych staramy się rzetelnie przestrzegać litery prawa i dbać o ich poufność. Zaistniała sytuacja była wynikiem ludzkiego błędu. Kierownik działu przeprowadził rozmowę dyscyplinującą i uczulił swoich podwładnych na zachowanie należytej staranności przy zamieszczaniu dokumentów dostępnych publicznie. Mamy zamiar niezwłocznie poinformować studentów, których dane zostały upublicznione o zaistniałej sytuacji. Redakcji portalu jeszcze raz dziękujemy za zwrócenie nam uwagi na zamieszczenie nieodpowiedniego pliku. Dopełnimy wszelkich starań, aby w przyszłości podobna sytuacja nigdy się nie powtórzyła. Pogrubiliśmy zdanie o informowaniu studentów gdyż jest to bardzo ładny gest ze strony uczelni. Zazwyczaj o wyciekach muszą informować przedsiębiorcy telekomunikacyjni, natomiast inne firmy i instytucje unikają tego. Cieszy nas to, że Uniwersytet Medyczny w Białymstoku chce być w tej kwestii przejrzysty. 4. PESELE i numery albumów… i jeszcze coś. Podobny problem jak wyżej miała inna uczelnia o profilu medycznym – Wyższa Szkoła Biznesu i Nauk Medycznych w Łodzi. Na jej serwerze dało się znaleźć publicznie dostępny plik zawierający – na pierwszy rzut oka – PESELe i numery albumów. Już sama informacja łącząca PESEL z numerem albumu może stanowić zagrożenie dla prywatności studenta. Niestety pełne nazwiska też znalazły się w tym dokumencie, tylko były niewidoczne. Aby je odczytać należało zaznaczyć obszary w tabelce, skopiować je i wkleić gdzie dusza zapragnie. Wypada jeszcze dodać, że dane z dokumentu były zindeksowane w Google. Zgłosiliśmy ten problem uczelni i reakcja była szybka. Komentarza w tej sprawie udzieliła nam Aleksandra Mysiakowska, Pełnomocnik Kanclerza ds. Relacji Zewnętrznych. Przede wszystkim dziękuję w imieniu Uczelni za zwrócenie uwagi na zaistniały problem. Wskazany plik został niezwłocznie usunięty z serwera, obecnie prowadzimy wewnętrzne postępowanie wyjaśniające i sprawdzające, które ustali okoliczności zdarzenia, w tym przyczyny zamieszczenia pliku we wskazanej postaci. Podejrzewamy, że mógł to być jednostkowy i nieumyślny błąd ludzki – nieprawidłowo przygotowany plik. Do takiej sytuacji doszło pierwszy raz i dołożymy wszelkich starań, aby podobne zdarzenie nie miało więcej miejsca. Dokonujemy przeglądu wszystkich naszych publikacji na stronie internetowej i procedur zabezpieczenia danych osobowych. Na cyklicznym szkoleniu pracowników w zakresu ochrony danych osobowych ten przypadek zostanie szczegółowo zdiagnozowany i omówiony, w celu zminimalizowania prawdopodobieństwa popełnienia błędów w przyszłości. Jeszcze raz dziękujemy za udzielona pomoc. 5. PESELE wykładowców :) Do tej pory zawsze opisywaliśmy wycieki danych studentów. Politechnika Wrocławska postanowiła zrobić w tym trendzie C-C-C-Combo Breaker. Uczelnia korzysta z rozwiązania Pozwalało ono osobom niezalogowanym na przeglądanie informacji o pracownikach uczelni. To oczywiście żaden problem i fakt zatrudnienia kogoś na uczelni nie jest tajemnicą. Dane na zrzucie powyżej zaczerniliśmy właściwie niepotrzebnie. Prawdziwy problem dało się znaleźć po kliknięciu w “Szczegóły”. Karty pojedynczych pracowników ujawniały ich PESELe i numery rachunków bankowych, ale było to widoczne po zajrzeniu w źródło strony. Dane nie były widoczne w przypadku każdego pracownika. W większości przypadków w kodzie były puste miejsca, ale zidentyfikowaliśmy kilku pracowników, u których ujawniono sam PESEL lub PESEL i numer konta. Zespół Bezpieczeństwa Informacji PWr szybko zareagował na nasze zgłoszenie i udzielił poniższej odpowiedzi. Wskazany problem został zgłoszony do dostawcy systemu odpowiedzialnego za kod źródłowy. Źródłem problemu było najprawdopodobniej nieskuteczne usunięcie danych z katalogu (elementy zostały usunięte z widoczności, ale pozostały w kodzie) – czekamy na dokładne wyjaśnienie ze strony dostawcy. Do czasu poprawy błędu katalog nie będzie udostępniany. Pozostałe elementy portalu zawierające dane osobowe, zostaną zweryfikowane pod kątem podobnych podatności 6. “Mocne” hasła na Politechnice Warszawskiej Politechnika Warszawska zapewnia swoim klientom konta e-mailowe w formacie nralbumu@ Na konta można się dostać wpisując pozornie mocne hasło, złożone z cyfr, liter i znaków specjalnych. Problem w tym, że hasła są generowane według reguły, która jest wszystkim doskonale znana. Są to pierwsze litery miejsca urodzenia, ostatnie 3 cyfry numeru albumu, znak specjalny (zależny od cyfry numery albumu), pierwsze litery imion rodziców. Pamiętacie pierwszy odcinek z cyklu przygód hakera Janusza? Złamanie takich haseł nie wydaje się szczególnie trudne. Dodajmy, że studenci naprawdę korzystają z tych skrzynek, bo preferują to niektóre wydziały, a poza tym dzięki skrzynce da się korzystać za darmo z pakietu office i microsoftowej chmury. Pewien nasz Czytelnik twierdzi, że haseł nie da się zmienić. Strona PW twierdzi, że jest to możliwe. Nawet jeśli, to trudno uznać domyślnie proponowane hasła za mocne, a procedura zmiany hasła powinna być w takiej sytuacji wymuszona. Poza tym nasz Czytelnik dodał: Jakieś pół roku temu pisaliście o systemie SJO PW. Pan [tu nazwisko pracownika PW] okazał się słowny tylko połowicznie: faktycznie zapisy na uczelniane egzaminy przeniesiono do sysetmu USOS, jednak nadal przez portal sjo można na przykład wypisać kogoś z zapełnionego lektoratu i zająć jego miejsce. Mam nadzieję, że kiedyś coś się w końcu ruszy 7. Mam tu Pana hasło! Politechnika Warszawska ewidentnie ma problem z hasłami nie tylko w przypadku kont e-mail. Studenci PW zwrócili nam uwagę na dwie ciekawostki. Jedną z nich była poniższa historyjka, nie wymagająca chyba dodatkowego komentarza” Kończąc studia inżynierskie, należało wypełnić obiegówkę. W tym celu należało również udać się do Biblioteki Głównej, po wpis. Tam Pani mi powiedziała, że jako, że kontynuuję studia na magisterskich, może mi od razu przedłużyć ważność konta bibliotecznego. Zgodziłem się. Zapytała mnie potem o to, czy pamiętam swoje hasło do systemu bibliotecznego (…). Powiedziałem, że nie, a Pani mi odpowiedziała, że jest to hasło X znakowe (w sensie powiedziała mi dokładnie ile znaków ma moje aktualne hasło). Policzyłem na palcach liczbę znaków w haśle, które przypomniało mi się, że mogłem mieć ustawione jako hasło w systemie bibliotecznym, no i liczba się zgadzała. Zdziwiony zapytałem: “czy wyświetla się Pani moje hasło na monitorze”. Ona odpowiedziała, że tak, mają możliwość podglądu haseł kont w systemach bibliotecznych (WOW). Dalej mnie zapytała, czy chcę ustawić nowe hasło, odpowiedziałem, że tak. No i podała mi kartkę i powiedziała, żebym napisał jej hasło, jakie sobie chcę ustawić… Temat systemów bibliotecznych wałkowaliśmy już kilkakrotnie i wyjaśnialiśmy, że wiele zależy od sposobu wdrożenia tych rozwiązań, które są dostępne na rynku. 8. Logowanie na nr albumu i …inicjały ujawnia numer telefonu i adres Na Uniwersytecie w Białymstoku logowanie do katalogu biblioteki odbywało się poprzez taki formularz. Według naszego Czytelnika numer karty bibliotecznej jest taki sam jak numer albumu, więc odgadnięcie danych logowania innej osoby nie było trudne. Po zalogowaniu się, można było zobaczyć adres i numer telefonu danej osoby. Zgłosiliśmy sprawę władzom UWB i po kilku dniach otrzymaliśmy taką odpowiedź. Szanowny Panie Redaktorze, przede wszystkim dziękujemy za zwrócenie uwagi na problem związany z bezpieczeństwem danych w systemie bibliotecznym Aleph Biblioteki Uniwersyteckiej w Białymstoku. Po sygnale od Państwa redakcji pracownicy BU bezzwłocznie podjęli prace mające na celu zwiększenie bezpieczeństwa użytkowników i ich danych, polegające na wprowadzeniu usługi centralnego uwierzytelniania (CAS). Jednocześnie do czasu zakończenia tych prac: – wszelkie wrażliwe dane (adres, nr telefonu jeżeli był podany) zostały ukryte z widoku po zalogowaniu się na konto czytelnika, – dodatkowo z bazy prac dyplomowych usunięte zostały numery legitymacji. Zatem obecnie, po zalogowaniu do usług katalogowych systemu bibliotecznego Aleph, czytelnicy – w tym studenci – nie mają dostępu do wrażliwych danych osobowych. Nie możemy natomiast zrezygnować z tzw. historii wypożyczeń, bo jest to informacja przydatna, a w pewnych wypadkach niezbędna dla użytkowników – np. w celu przedłużenia terminu zwrotu publikacji. Jak najbardziej stoimy na stanowisku, że sposób logowania powinien wykorzystywać bardziej unikalny login i hasło. W tym celu pracownicy BU, we współpracy z naszym Działem Aplikacji Komputerowych, rozpoczęli już prace w celu umożliwienia studentom logowania się do katalogu w Aleph bezpiecznymi technikami opartymi o system CAS współdzielony z innymi aplikacjami studenckimi, np. USOS. Jeszcze raz przypomnimy, że w poprzednim tekście o uczelnianych wpadkach pisaliśmy o systemie ALEPH. Przewidziano w nim rozwiązania istotne dla bezpieczeństwa, ale niestety w poszczególnych wdrożeniach nie zawsze są one stosowane. 9. USOS niczym Facebook Studenci pisali do nas także w sprawie systemu USOS Uniwersytetu Łódzkiego. Można w nim było wpisać numer indeksu studenta, żeby pojawił się podgląd jego profilu (z imieniem, nazwiskiem i przedmiotami). Samo wyszukiwanie studentów wymagało bycia zalogowanym do systemu, ale przecież studentów jest sporo i niekoniecznie wszyscy muszą chcieć, aby ich profil był dostępny dla wszystkich innych. Na pytania o system USOS odpowiedział nam Tomasz Boruszczak, rzecznik prasowy Uniwersytetu Łódzkiego. USOS jest systemem stworzonym przez MUCI (Międzyuniwersyteckie Centrum Informatyzacji) i jako gotowy produkt jest wdrażany na poszczególnych uczelniach. Informacje jakie podaje USOS o innych studentach po zalogowaniu to: imię, nazwisko, nr indeksu, kierunek i status studiów, adres mailowy oraz informacje o wspólnych grupach. Nie można przejrzeć wszystkich przedmiotów innego studenta. W założeniach katalog miał pomagać studentom w kontakcie z kolegami i wykładowcami. Uniwersytet Łódzki ma świadomość, że część informacji jest nadmierna np. kierunek studiów i jego status. Problem ten został zgłoszony do MUCI na początku roku. Czy jest to zbytnia ingerencja w prywatność studenta? To trudne pytanie. Z jednej strony studenci oczekują poszanowania prywatności, z drugiej dla wygody kontaktu tworzą grupy zajęciowe na Facebooku i łączą się prywatnymi profilami. Większość z nich na portalu społecznościowym chwali się kierunkiem studiów i zaliczeniem sesji. Można oczywiście rozważać czy taki katalog w USOSie jest potrzebny. Obecnie może on funkcjonować w takiej formie lub zostać wyłączony. Ze względu na brak zastrzeżeń ze strony studentów funkcjonalność jest nadal utrzymywana choć nie wykluczamy zamknięcia tej usługi. Odczuwamy potrzebę polemizowania. Nawet jeśli studenci mają konta na Facebooku to wcale nie oznacza domyślnej zgody na publikowanie ich danych w innych systemach. Posiadanie konta na Facebooku jest wyborem danej osoby, natomiast profil w USOS najwyraźniej jest domyślnym dodatkiem do statusu studenta uczelni. To ogromna różnica. Jeśli jesteście studentami UŁ i to wam przeszkadza, powinniście zacząć to zgłaszać. 10. Hasło = login! Spróbuj! Uniwersytet Przyrodniczo-Humanistyczny w Siedlcach też ma system USOS, a strona logowania do tego systemu jest… hmmm… zastanawiająca (żółte podświetlenie tekstu zostało dodane do obrazka). Choć wygląda to niepokojąco to rzecznik UPH dr hab. Adam Bobryk zapewnił nas, że użytkownicy logują się do usług UPH za pomocą loginu i hasła, które są od siebie różne i muszą spełniać określone wymagania. Niestety nie wyjaśniono nam dlaczego strona logowania podpowiada inaczej. 11. Zaświadczenie dla kumpla Pewien student Uniwersytetu Ekonomicznego w Krakowie doniósł nam, że udało mu się pobrać z dziekanatu “zaświadczenia dla kumpli”. Podaj tylko numer albumu (jawnie dostępny), nie musisz nawet udawać kogoś innego, śmiało dali mi ostatnio 6 szt dla kolegów – Na zaświadczeniu, imię, naziwsko, pesel, adres zamieszkania (dane już poufne)ale co tam. – Miej numer albumu i pesel – Zaloguj się do wirtualnego dziekanatu – miej dostęp do wszystkich ocen (może nie przypałowe) – Jak ktoś składał wniosek o stypendium socjalne mniej dane wszystkich członków rodziny, łącznie z zarobkami, zaświadczeniami z US etc – Miej wgląd do wszystkich wniosków typu “Ze względu na ciężą sytuację~~ razem z dokumentacją) – Oczywiście bądź w 100% anonimowy :) bo nikt nie weryfikuje kto pobiera zaświadczenie. Zgłosiliśmy uczelni ten problem. Rzecznik uczelni Paweł Kozakiewicz zapowiedział, że niezwłocznie “zostało wszczęte postępowanie sprawdzające w zakresie bezpieczeństwa informacji, w tym w szczególności w zakresie przestrzegania zasad i wymagań dotyczących ochrony danych osobowych. W trakcie tego postępowania zostaną zweryfikowane wskazane przez Pana Redaktora okoliczności.” Najprawdopodobniej teraz trudniej będzie uzyskać zaświadczenie dla kumpli. Przepraszamy, że wam to utrudniliśmy :>. 12. i 13. Rekrutacja na Uniwersytet Warszawski i pralki na AGH W naszej redakcyjnej szufladzie są jeszcze historyjki o ludziach, którzy znaleźli ciekawe podatności w uczelnianych systemach. Jeden z naszych Czytelników znalazł błąd w systemie IRK Uniwersytetu Warszawskiego, który pozwalał wykradać dane kandydatów na studia. Luka została ujawniona odpowiedzialnie i załatana. Uczelnia potwierdziła dla nas, że problem istniał. Być może opiszemy to dokładniej w przyszłości. Inny z naszych Czytelników zdobył dostęp do danych studentów z miasteczka AGH. Powodem były ogólnie dostępne panele zarządzania oraz ich wersje testowe pracujące na oryginalnej bazie. Po e-mailowym kontakcie naszego Czytelnika z uczelnią wstawiono logowanie i wymagane certyfikaty SSL. Rzeczniczka AGH Anna Żmuda-Muszyńska wyjaśniła nam, że ten incydent dotyczył… systemu samoobsługi studentów w zakresie dokonywania rezerwacji pralni (więc i coś takiego może mieć uczelnia!). Informacje, do których był dostęp, to imię i nazwisko mieszkańca akademików, i dostępne były tylko do odczytu. Luka wynikała z braku ograniczenia liczby zapytań do bazy danych za pomocą API, które to API – według uczelnia – wymagało zalogowania i nie było zupełnie ogólnodostępne. Na pocieszenie dodajmy, że systemy informatyczne miasteczka studenckiego były audytowane przez zewnętrzną firmę, na zlecenie Prorektora ds. Nauki, w marcu 2015, wraz z kilkoma innymi systemami. Z AGH związany jest jeszcze jeden z naszych akademickich przypadków. 13. Aplikacja AGH i rozważania o API (nie incydent, ale ciekawe) Pewna osoba poinformowała nas, że ma zastrzeżenia do aplikacji mobilnej Wirtualny Dziekanat AGH. Aplikacja nie została przygotowana przez uczelnię, ale przez studenta Jana Pogockiego, choć później uczelnia “zaakceptowała aplikację”. Nasz informator twierdził, że aplikacja “nie ma żadnych tokenów, nie korzysta z żadnego API”, a zatem władze uczelni nie są w stanie sprawdzić, czy jej twórca nie loguje się na konta innych osób. Informator zasugerował też, że uczelnia nie ma dostępu do kodu źródłowego. Rozmawialiśmy o tej sprawie zarówno z Janem Pogockim jak i z uczelnią. Okazało się, że AGH ma wgląd w kod źródłowy i to po każdej aktualizacji (przez dostęp do repozytorium na GitHubie). Akceptacja samej aplikacji odbyła się przy udziale Uczelnianego Centrum Informatyki (UCI), w którym — i wiemy o tym z autopsji — nie pracują przypadkowi ludzie. Władze uczelni przyznały jednak, że aplikacja nie korzysta z żadnego API (studenci muszą podać swoje prawdziwe hasło do systemu i aplikacja to hasło wykorzystuje do logowania, a zatem możliwe jest, aby jej autor wszedł w jego posiadanie — dop. redakcji). Jan wyjaśnił nam, że aplikacja jest w sumie czymś w rodzaju przeglądarki dla strony Wirtualnego Dziekanatu (niezbyt przyjemnej w oryginalnej formie, o czym wiemy od kilku studentów). Zapewnił też, że aplikacja nie wysyła prywatnych danych i haseł poza oficjalne serwery AGH, a komunikacja z serwerem Dziekanat AGH przebiega w oparciu o bezpieczny protokół HTTPS. Nie wątpimy w dobrą wolę Jana i nie chcemy złośliwie krytykować jego aplikacji i pozytywnego wkładu w studenckie życie. Niemniej pozwoliliśmy sobie na odrobinę teoretyzowania i zadaliśmy uczelni następujące pytanie. Czy uczelnia nie sądzi, że tego typu aplikacja powinna funkcjonować w oparciu o API? Od kogoś z UCI, za pośrednictwem pani Anny Żmudy-Muszyńskiej dostaliśmy taką odpowiedź. Przy funkcjonowaniu w oparciu o API mamy ten sam problem o ile nie większy, zawsze jest moment, że trzeba zapamiętać hasło w aplikacji. Przy dostępie przez API jest dodatkowe ryzyko, że API może udostępniać więcej informacji niż przeglądarka, tutaj mamy stronę internetową przeglądniętą i wielokrotnie zweryfikowaną użytkowników. Co!? Zabrakło nam słów, żeby to skomentować, ale każdy student pierwszego roku na AGH, nawet socjologii, powinien wiedzieć, dlaczego to powyższa krytyka API jest błędna. Z Janem też rozmawialiśmy o API. On przyznał nieco rozsądniej niż uczelnia, że “API z pewnością bardzo by się przydało“. Powtórzymy jeszcze raz, że nie mamy żadnych zastrzeżeń do Jana, autora aplikacji. Zrobił on aplikację najlepiej, jak było można w obecnych warunkach i chciał nią rozwiązać pewien studencki problem. To jest fajne. Natomiast również Jan w e-mailu do nas zauważył, że każdy mógłby zrobić konkurencyjną aplikacje z backdoorem i ten ktoś “uzyskałby dane tych, których udałoby mu się przekonać do swojej aplikacji“. I tutaj się z Janem w 100% zgodzimy dodając, że jego aplikacja uzyskała wsparcie AGH, co znacznie ułatwia przekonywanie do niej ludzi. Wszystkim użytkownikom aplikacji Jana sugerujemy — na wszelki wypadek — ustawienie do Wirtualnego Dziekanatu hasła niewykorzystywanego w żadnym innym miejscu. Ba! Zawsze wszystkim zalecamy stosowanie różnych haseł do różnych serwisów! 15. Uniwersytet Ślaski w Katowicach – dobry przykład Pewien student Uniwersytetu Śląskiego w Katowicach odkrył, że będąc zalogowanym w USOSWeb może wpisać w wyszukiwarkę osób losowy, sześciocyfrowy numer. W wynikach wyszukiwania pojawi się osoba przypisana do tego numeru. Nasz Czytelnik nie wiedział czy jest to zagrożenie dla bezpieczeństwa, ale na wszelki wypadek dał nam znać. Poinformowaliśmy o tym uczelnię. Przy okazji spytaliśmy, czy jej zdaniem wyszukiwanie studentów w USOS w ogóle jest potrzebne? Nasza wiadomość została potraktowana poważnie. Rzecznik Uczelni Jacek Szymik-Kozaczko napisał: Szanowni Państwo, z założenia jednym z zadań systemu USOSWeb jest umożliwienie komunikacji pomiędzy członkami społeczności akademickiej. W tym też celu został zaimplementowany katalog, na który zwróciliście Państwo uwagę, umożliwiający wyszukiwanie pracowników i studentów. Uważamy bowiem, podobnie jak inne uczelnie wykorzystujące system USOSWeb, iż jednym z istotnych czynników wpływających na proces studiowania jest możliwość interakcji z innymi członkami społeczności akademickiej. Zwracamy uwagę, że wyszukiwanie studentów możliwe jest tylko dla osób zalogowanych do systemu. Nie jest to więc funkcjonalność dostępna „wprost” z Internetu dla osób innych niż członkowie społeczności akademickiej. Zakres zwracanych w katalogu danych obejmuje tylko podstawowe dane kontaktowe. Nie znajdują się tam dane np. dotyczące statusu studenta na programie studiów, zaliczenia przedmiotów, itp. Identyfikatory USOS ID oraz indeks są wykorzystywane wewnętrznie do identyfikowania osób. Można by powiedzieć, że pełnią funkcję techniczną. Żaden z tych identyfikatorów nie umożliwia według naszej wiedzy uzyskania dostępu do danych innych, niż wskazane w katalogu. Jakkolwiek wskazane numery mogą wskazywać na dane osób, to dostęp do tych danych wymaga zawsze autoryzacji, której bezpieczeństwo opiera się o inne składniki niż wspomniane numery USOS ID i indeks. Jakkolwiek zwykle zapytania takie jak Państwa burzą spokój służb odpowiedzialnych za bezpieczeństwo danych w niejednej organizacji, to my jesteśmy wdzięczni za Państwa uwagi. Od lat staramy się podchodzić starannie do kwestii bezpieczeństwa. Jest to kwestia wymagająca ciągłej uwagi. Jakkolwiek uważamy, że wskazane przez Państwa zachowanie systemu nie stwarza dużego ryzyka dostępu do nieuprawnionych danych, będziemy tą kwestię dalej analizowali. Przekażemy Państwa list do twórców systemu USOSWeb, tak aby tam również dokonano takiej analizy. Chcieliśmy pokazać ten przykład dobrej obsługi zgłoszeń bezpieczeństwa (i zrozumienia dla nas). Nie zawsze nasze obawy się potwierdzą, ale cieszymy się gdy ktoś rozumie, że nie sprawdzamy takich tropów dla przyjemności. Miło jest widzieć współpracę po tej drugiej stronie. Nie. To nie koniec! Mamy na tapecie kilka innych spraw okołouczelnianych dotyczących bezpieczeństwa, ale na dziś już zakończymy. Niebawem kolejny multipost. PS. Jeśli na waszej uczelni zauważyliście podobne (lub co gorsza poważniejsze) problemy, dajcie nam znać — gwarantujemy anonimowość. O tym serwisie i o innych sposobach na ochronę swoich danych w sieci podczas korzystania z różnych serwisów internetowych, w tym sieci społecznościowych, sklepów i bankowości opowiadamy w ramach naszych cyberwykładów, które są dedykowane firmom oraz w ramach naszych otwartych spotkań pt. “Jak nie dać się zhackować“, na które przyjść może każdy. Najbliższe tego typu spotkania odbędą się WARSZAWA: Czwartek, 18 stycznia 2018r., godz. 18:00. Miejsce: Kinoteka w Pałacu Kultury i Nauki. KRAKÓW: Poniedziałek, 22 stycznia 2018r., godz. 18:00 Miejsce: Tauron Arena Na powyższe wykłady możecie się zarejestrować w tym miejscu. Śpieszcie się, zostały ostatnie wolne miejsca! Przeczytaj także: Nie tylko wątroba może ucierpieć w czasie studiów. Dane osobowe studentów również. Uczelnie gromadzą informacje na temat studentów w różnych systemach i świadczą dla nich e-usługi, które nie zawsze są odpowiednio zabezpieczone. Niefrasobliwość ujawnia się w systemach bibliotecznych, ale i poza nimi także zdarzają się poważne wpadki. Oto kompilacja kilku incydentów dotyczących polskich uczelni jakie w analizowaliśmy w ostatnich miesiącach. Problemy uczelnianych bibliotek W kwietniu pisaliśmy, że loginy i hasła do kont na serwerze biblioteki Politechniki Wrocławskiej były przewidywalne. Każdy mógł się zalogować się na konto studenta i pozyskać jego dane osobowe, a nawet odciąć studenta od korzystania z usług biblioteki. Po opisaniu sprawy napisali do nas studenci innych uczelni, którzy dostrzegli podobne problemy na swojej Alma Mater. Adrian napisał do nas w sprawie Politechniki Rzeszowskiej. Chciałbym opisać bardzo podobną sytuację, która dotyczy na pewno studentów, którzy podjęli studia do roku 2015 (włącznie) na Politechnice Rzeszowskiej. Czy ten stan rzeczy jest obecny również wśród studentów, którzy podjęli studia po roku 2016, nie wiem. (…) Otóż dane logowania do systemu bibliotecznego (system ALEPH) wyglądają następująco: Login: Nr albumu Hasło: Nr albumu Kompromitacja, prawda? Sprawa jest o tyle ciekawsza, że numery albumów są przypisywane kolejno, np.: 140000, 140001, 140002, 140003 itd. wśród studentów danego kierunku. (…) Jestem pewien, że za przysłowiowy czteropak, jakiś student chętnie podeślę nam listę studentów swojego kierunku. (…) Każda szanująca się instytucja wymaga zmiany domyślnego lub tymczasowego hasła podczas pierwszego logowania. System ALEPH tego nie robi. Adrian zasugerował, że problem tkwi w systemie bibliotecznym (Aleph) używanym zarówno we Wrocławiu jak w Rzeszowie. Tylko czy jest to wina samego systemu czy konkretnego wdrożenia? Aby mieć lepszy ogląd na sprawę zwróciliśmy się do firmy Aleph Polska, która jest dystrybutorem popularnego systemu bibliotecznego. Odpowiedzi udzielił nam prezes Maciej Dziubecki. Czy system ALEPH posiada funkcje, które wymuszałyby zmiany haseł na kontach osób wypożyczających ujętych w systemie biblioteki? To zależy od jego konfiguracji. Może być tak, że wymusza i może nie wymuszać. (…) Stosowanie łatwych do odgadnięcia loginów i haseł NIE wynika z funkcjonalności systemu Aleph. Biblioteka sama decyduje o tym jaki to będzie login, czy będzie on przypadkowy lub unikalny. Mają dowolność w tej kwestii. (…) Również kwestie takie jak kontrola jakości hasła, wygasanie haseł, potwierdzanie przez e-mail lub SMS — wszystkie te funkcje są aktualnie dostępne. (…) Wielokrotnie na etapie wdrożenia i szkoleń spotykaliśmy się z taką odpowiedzią na propozycję włączenia LDAP-a: “A wiecie państwo, kiedyś ten LDAP wejdzie, więc wtedy wrócimy do tematu”. Tylko, że później ten LDAP nigdy nie występował. Nawet gdy później o to pytaliśmy, odpowiadano że administratorzy nie są gotowi. Temat się rozmywał. (…) Zdając sobie sprawę z występowania tego typu problemów szukamy jakiegoś rozwiązania. Być może będę w stanie powiedzieć coś o tym w przyszłości. Czyli problem nie tkwi w systemie ALEPH. Pozostało nam tylko spytać przedstawicieli Politechniki Rzeszowskiej, czy zdają sobie sprawę z problemu w tej konkretnej bibliotece. Właściwie nie musieliśmy pytać, gdyż Monika Zub, dyrektor Biblioteki Politechniki Rzeszowskiej, napisała do nas z własnej inicjatywy już w reakcji na tę wcześniejszą publikację o systemach bibliotecznych: Dziękujemy za zwrócenie uwagi na problem związany z systemem bibliotecznym Aleph w Politechnice Rzeszowskiej. Podjęliśmy niezwłocznie działania zmierzające do zwiększenia poziomu bezpieczeństwa naszych użytkowników. Warto też dodać, że choć Politechnika Rzeszowska umożliwiała logowanie się numerem albumu, to jednak logowanie takie było możliwe po osobistej aktywacji konta, w czasie którego podobno informowano o potrzebie zmiany hasła. Po 28 kwietnia 2017 roku dokonano zmian, które polegały na wymuszeniu zmiany hasła po pierwszym logowaniu i zastosowaniu jednorazowego pierwszego hasła składającego się z losowego ciągu znaków. Politechnika Rzeszowska zdecydowanie naprawiła sytuację i zrobiła to z własnej inicjatywy. AGH i zapomniana wyszukiwarka Problemy z systemami uczelnianymi wykraczają poza biblioteki. Od czasu do czasu ktoś poszpera i nagle znajdzie ciekawy uczelniany serwer, nierzadko z danymi osobowymi. W wrześniu nasz Czytelnik Dawid poinformował nas, że na stronie Akademii Górniczo-Hutniczej w Krakowie dostępna była wyszukiwarka studentów i pracowników uczelni. Wyglądała tak. Tajemnicza wyszukiwarka AGH Jeśli wpisało się do wyszukiwarki jedną literę lub sylabę, dostawało się listę studentów na tę literę lub sylabę. Wśród zwracanych danych były imiona, nazwiska, kierunek studiów, semestr i numer albumu. I już wiedzieliśmy kto gdzie studiuje! Gdy to zobaczyliśmy zadaliśmy sobie proste pytanie. Po co? Po co komu taka wyszukiwarka? Ujawnianie numerów albumów może mieć znaczenie. Pisaliśmy już, że dane krakowskich studentów dało się wyciągnąć z systemów MPK właśnie na podstawie numeru indeksu. Opisany wyżej przypadek Politechniki Rzeszowskiej też pokazuje, że ujawnianie takich danych jest ryzykowne. O sprawie został powiadomiony Bartosz Dębiński — rzecznik prasowy AGH. Krótko po otrzymaniu pytań odpowiedział nam tak: Wyszukiwarka została wyłączona i tak już zostanie (…) Przyznamy, że niewiele osób o niej wiedziało i również niewiele jej używało (…) Po przeanalizowaniu pańskiego zgłoszenia doszliśmy do wniosku, że ta wyszukiwarka po prostu nie ma sensu, nikt tego nie potrzebuje. Dziękujemy za zgłoszenie sprawy. Dzięki temu możliwe było usunięcie problemu. Wszystkich 3 użytkowników tej wyszukiwarki bardzo przepraszamy :) Politechnika Warszawska i SJO Kolejny przykład z cyklu “stare lub dziwne systemy uczelniane” pochodzi z Politechniki Warszawskiej. Tamtejsze Studium Języków Obcych ma swój system, do którego logujemy się przez taką oto stronę. Nikt nie prosi o hasło? Aby się zalogować wystarczy podać wydział, nazwisko i numer albumu. Żadnego hasła. Nasz Czytelnik opisał problem w takich słowach. Zalogowałem się właściwie pierwszy raz w czasie studiów, do tej pory nie było mi to potrzebne, więc zdziwiłem się, że żeby zalogować się na konto wystarczy podać wydział, imię, nazwisko i numer albumu — czyli właściwie wszystkie te informacje o dowolnym studencie zna połowa jego wydziału i niby nie byłoby w tym nic niebezpiecznego, poza faktem że można w ten sposób odwołać swoje uczestnictwo w egzaminie, więc kilkadziesiąt osób z mojego kierunku może w dowolnej chwili zrobić mi psikusa i wypisać mnie chwilę przed deadlinem, a potem bujaj się człowieku, chodź po dziekanatach, a SJO też do najprzyjemniejszych miejsc nie należy. Gdy spytaliśmy o sprawę PW. Przedstawiciel uczelni przedstawił nam takie stanowisko. Nie uważamy za w pełni bezpieczne to rozwiązanie. Jednak w systemie mamy pełną historię dotyczącą zapisów i odwołań, także w przypadku gdyby ktoś zgłosił, że został wypisany z zajęć moglibyśmy na szybko zareagować i zbadać konkretny przypadek. W każdym razie to były ostatnie takie zapisy, kolejne zapisy będą oparte na CAS (Central Authentication Service) tak jak to jest np. w USOS WEB a niektóre z nich zostaną włączone bezpośrednio do USOS. Kojarzy się to z problemami bibliotecznymi (“Wiemy, że korzystamy z niebezpiecznego rozwiązania i kiedyś je poprawimy” — w przypadku PW to “kiedyś” ma nastąpić następnym razem) Uniwersytet Wrocławski i 11000 CV w “głębokim ukryciu” Problemem serwisów uczelnianych jest również to, że są one rozwijane przez różne podmioty, nie zawsze z dbałością o bezpieczeństwo. Takiej sytuacji dotyczy ostatni przykład, zdecydowanie najpoważniejszy ze wszystkich. W czerwcu 2016 roku nasz Czytelnik Antoni szukał w internecie informacji o pewnej osobie. Wyszukał jej CV, które znajdowało się wśród 11 tysięcy innych CV i listów motywacyjnych. Były one dostępne publicznie pod adresem czyli były to CV przekazane do biura karier uczelni. Autentyczność dokumentów można było potwierdzić sprawdzając Facebooka, ale my dodatkowo zadzwoniliśmy do kilku osób. Potwierdziły one, że faktycznie składały CV do biura karier i nie miały pojęcia, że ich dane osobowe są upublicznione w ten sposób. O “wycieku” powiadomiliśmy Uniwersytet Wrocławski. Początkowo nie uzyskaliśmy komentarza bo służby uczelni skupiły się na załataniu wycieku. Dzień po zadaniu pytania otrzymaliśmy następującą wiadomość: zgodnie z umową świadczenia usługi hostingowej zawartą w dniu roku oraz aneksem nr 1 z dnia roku firma Internet Center Polska sp. z świadczy usługę hostingową danych Biura Karier UWr. Do jej obowiązków należy przetwarzanie i właściwe zabezpieczenie znajdujących się na portalu Biura Karier danych osobowych. Po uzyskaniu informacji od Państwa JM Rektor UWr zwrócił się do usługodawcy o jak najszybsze zabezpieczanie danych i pilne wyjaśnienia: w jaki sposób i kiedy doszło do wycieku, jakie działania naprawcze podjęła firma w tej sprawie, jakie działania podjął usługodawca w celu uniemożliwienia osobom postronnym dostępu do danych, które wyciekły z serwera firmy. Po uzyskaniu wyjaśnień Rektor podejmie ewentualne, dalsze kroki prawne. Z poważaniem dr Jacek Przygodzki Na marginesie warto wspomnieć, że zabezpieczenie dostępu do systemów z danymi osobowymi nie jest tylko rozsądnym wyborem. To jest wymóg prawny wynikający z rozporządzenia ministra spraw wewnętrznych w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Rozporządzenie mówi o trzech poziomach bezpieczeństwa. Poziom wysoki (najwyższy) stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego połączone jest z siecią publiczną. Na poziomie wysokim system musi być chroniony przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń. Zabezpieczenia logiczne obejmują kontrolę działań inicjowanych z sieci publicznej oraz kontrolę przepływu informacji między systemem administratora danych a siecią publiczną. Ale już na poziomie podstawowym istnieje wymóg, by dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Uroki studenckiego życia Już przed laty pisaliśmy o niefrasobliwym podejściu różnych uczelni do danych. Sztandarowym przykładem były indeksy wyłożone na korytarzu bez żadnego nadzoru. Oczywiście takie zachowanie mogło wynikać z założenia, że studenci to grzeczni ludzie i taka okazja nie uczyni z nikogo złodzieja. Niestety studenci mogą odczuć pokusę wykorzystywania błędów nawet po to, aby dać władzom uczelni prztyczka w nos, albo po prostu, jak to studenci, dla jaj. AKTUALIZACJA Przepraszamy i chwalimy Politechnikę Rzeszowską Ten tekst w swojej pierwotnej wersji sugerował, że wypowiedź Moniki Zub (dyrektor Biblioteki Politechniki Rzeszowskiej) została nam przesłana jako odpowiedź na nasze pytania. Był to błąd, bowiem Pani Monika Zub napisała do nas z własnej inicjatywy, reagując na jeszcze wcześniejszy tekst o sytuacji na Politechnice Wrocławskiej. Politechnika Rzeszowska podjęła istotne działania by naprawić sytuację i zrobiła to bez związku z naszymi publikacjami, jeszcze przed ich opublikowaniem. Tekst został poprawiony, aby te kwestie nie budziły wątpliwości. Politechnika Rzeszowska przesłała do nas pismo, w którym zwróciła uwagę na tę kwestię, a także odniosła się do komentarza użytkownika “oskar”. Politechnika wyjaśnia, iż hasła udostępniane czytelnikom od maja br. nie są hasłami zapisanymi w systemie, ale hasłami jednorazowymi, wygenerowanymi w celu zresetowania hasła. Dziękujemy Politechnice za zwrócenie uwagi na nieścisłości i przepraszamy. AKTUALIZACJA #2 ( Jeden z naszych Czytelników napisał do nas, że termin “osobista aktywacja konta” nie był całkiem adekwatny do tego, co działo się na politechnice Rzeszowskiej. Tak przynajmniej było w roku 2015. Otóż po spotkaniu otwierającym rok akademicki dla studentów pierwszego roku odbywa się 10-15 minutowe spotkanie w bibliotece uczelnianej, gdzie bardzo uprzejme Panie organizują szybki kurs z obsługi systemu ALEPH. Wspomniana jednak “osobista aktywacja konta” ogranicza się (jeżeli mnie pamięć nie myli) do podpisania zgody na przetwarzanie danych osobowych. Faktycznie pojawia się również informacja, że po pierwszym logowaniu będzie trzeba zmienić hasło. W rzeczywistości jednak konta aktywowane są “hurtowo”. Koledzy z roku, którzy na spotkaniu nie byli i zgody nie podpisywali również mieli konta aktywne. Natomiast wymagana zmiana hasła była raczej dobrowolna. Do dzisiaj pamiętam moje zdziwienie, gdy system o żadną zmianę hasła mnie nie poprosił (…) Zastanawia mnie również dlaczego, w ogóle ktoś zmusza do korzystania z oddzielnych danych logowania do systemu bibliotecznego, skoro systemy USOS oraz SIR korzystają z tych samych zestawów danych logowania, tak samo jak poczta uczelniana czy system EDUROAM do łączenia się z uczelnianą siecią Wi-Fi. Podkreślamy – Czytelnik opisywał sytuację, jaka miała miejsce w roku 2015. Teraz Politechnika wprowadziła lepsze zabezpieczenia. Przeczytaj także: Na czym polega wyrównanie szans edukacyjnych? Studia na każdym kierunku obwarowane są wieloma regułami. W ich toku konieczne jest zaliczenie konkretnych zajęć, dopełnienie terminów i zdanie egzaminów. Będąc osobą z niepełnosprawnością ruchową lub sensoryczną, możesz w tym procesie napotykać różnorakie przeszkody. Zadaniem uczelni jest usuwanie ich w taki sposób, by w miarę możliwości wszyscy studiujący mogli podołać oficjalnym wymaganiom. Dzięki temu każdy otrzymuje zbliżone szanse zdobycia wiedzy. Pomocne mogą okazać się np. indywidualne ustalenia, konsultacje oraz dostosowanie reguł do potrzeb danego studenta. Konieczność wyrównania szans edukacyjnych w instytucjach akademickich ma swoje podstawy w międzynarodowej Konwencji ONZ o Prawach Osób Niepełnosprawnych. W razie wątpliwości dotyczących podjęcia studiów, zwróć się do specjalnie w tym celu powołanych organów i instytucji: Biuro ds. Osób Niepełnosprawnych przy wybranej przez ciebie uczelni Rada Studentów z Niepełnosprawnością przy Samorządach Studenckich Akademickie Centra Wsparcia i Doradztwa Stowarzyszenia i zrzeszenia studentów z niepełnosprawnościami Zanim rozpoczniesz studia, zorientuj się, czy powyższe organizacje działają przy wybranej przez ciebie uczelni. Nawiąż kontakt z ich przedstawicielami i poinformuj ich o swoich indywidualnych potrzebach i życzeniach. Doświadczeni doradcy pomogą ci w mgnieniu oka zorientować się w dostępnych formach wsparcia, a także w najlepszy możliwy sposób przygotować do podjęcia nauki. W ten sposób nie przegapisz też żadnego terminu składania wniosków o stypendia i zapomogi. W kolejnych akapitach opisujemy dokładniej poszczególne możliwości pomocy dla niepełnosprawnych studentów. Kandydaci z niepełnosprawnościami – rekrutacja na studia Z założenia, osoby z niepełnosprawnościami mają na uczelni takie same prawa i obowiązki, jak pozostali studenci. Dotyczy to również procesu rekrutacji, którego zasady są jednolite dla wszystkich kandydatów. Placówki edukacyjne mogą jednak wyjść ci naprzeciw, w przypadku, gdy zmiany w procedurach przyczynią się do wyrównania twoich szans jako osoby niepełnosprawnej. Dostosowanie rekrutacji często polega na: Zmianie formy egzaminu wstępnego z pisemnej na ustną lub odwrotnie. Możliwości korzystania ze specjalistycznego sprzętu (np. oprogramowania wspomagającego). Przystosowaniu materiałów egzaminacyjnych (np. przygotowaniu dokumentów w brajlu lub druku powiększonym). Wydłużeniu czasu trwania egzaminu lub rozmów kwalifikujących na studia. Tak jak wszyscy inni kandydaci, do dokumentów rekrutacyjnych musisz dołączyć zaświadczenie lekarskie o braku przeciwwskazań do podjęcia studiów wyższych na wybranym kierunku. W teczce powinna znaleźć się też kopia orzeczenia o stopniu niepełnosprawności, która stanowi podstawę prawną udzielenia większości form wsparcia. Studia dla osób niepełnosprawnych – wyrównanie szans w codziennym studenckim życiu Miejsce na wymarzonym kierunku masz już w kieszeni? Teraz czas na organizację bieżących spraw na uczelni. Większość szkół wyższych wyciąga do niepełnosprawnych studentów pomocną dłoń w ustaleniu przyjaznej cotygodniowej rutyny, dopasowanej do potrzeb konkretnych pierwszoroczniaków. Osoby z niepełnosprawnościami lub chorobami przewlekłymi mogą liczyć na zatwierdzenie indywidualnej organizacji studiów (IOS). Umożliwia ona stworzenie skrojonego na miarę planu tygodniowych zajęć. W ten sposób poszczególne seminaria i wykłady nie będą kolidowały np. z ważnymi wizytami lekarskimi lub rehabilitacją. Przy dobrej współpracy ze strony wykładowców pozwoli ci to ukończyć studia dzienne w przewidywanym terminie. Jeśli jednak zauważysz, że pogodzenie ze sobą wszystkich obowiązków przychodzi ci z wielkim trudem, nie bój się rozważyć decyzji o rozciągnięciu nauki na kilka dodatkowych semestrów lub przejściu na tryb zaoczny. Dobrze jest mierzyć siły na zamiary i zaliczać kolejne etapy studiów we własnym tempie. Wiele uczelni wprowadziło dodatkowe ułatwienia, pomocne niepełnosprawnym studentom w organizacji studiów: Pierwszeństwo przy wyborze zajęć: w przypadku seminariów z ograniczoną liczbą uczestników, osoby z niepełnosprawnościami mają często pierwszeństwo wyboru grupy. Otrzymują tym samym większe pole manewru do stworzenia elastycznego planu tygodnia. Nieobecności: czasami niepełnosprawnym studentom trudniej jest dotrzeć na wszystkie ćwiczenia czy wykłady w semestrze. Mogą oni ubiegać się wtedy o zmianę zasad uczestnictwa w zajęciach. Najczęściej polega ona na zwiększeniu dopuszczalnej liczby nieobecności. Formy zaliczenia: zajęcia praktyczne, laboratoryjne lub terenowe są często integralną częścią programu studiów, niezbędną do ukończenia danego roku. Studenci z niepełnosprawnościami lub chorobami przewlekłymi mogą starać się o ich przełożenie lub rozłożenie na kilka semestrów, by umożliwić im łatwiejsze pogodzenie ze sobą wszystkich obowiązków. W szczególnych przypadkach wykładowcy mogą zaproponować ci też alternatywny sposób zaliczenia zajęć. Biblioteki uniwersyteckie stanowią ważne ogniwo w zwiększaniu dostępności kampusów. W wielu z nich zainstalowano rampy dla niepełnosprawnych oraz specjalnie wyposażone stanowiska pracy, z drukarkami brajlowskimi, syntezatorami mowy lub odpowiednim oprogramowaniem. W niektórych czytelniach istnieje możliwość zarezerwowania stałego miejsca do pracy, wyposażonego we wszystkie potrzebne ci ułatwienia. Niepełnosprawni studenci podczas sesji egzaminacyjnej Zaliczenia i egzaminy zwieńczające każdy semestr to bez wątpienia najbardziej wymagający element studiowania. Na szczęście, również w tym napiętym okresie skorzystasz z wielu form wsparcia, które nieco wyrównają twoje szanse na osiągnięcie najlepszych możliwych wyników. Dowiedz się, czy na twojej uczelni możesz ubiegać się o indywidualny tryb zdawania egzaminów. Każda szkoła wyższa posiada własny zestaw stosowanych udogodnień. Za standard przyjmuje się jednak: wydłużenie czasu zdawanych egzaminów zapewnienie pomocy asystenta przy czytaniu pytań i zaznaczaniu odpowiedzi dostosowanie materiałów egzaminacyjnych (większa czcionka, forma elektroniczna, dokumenty w brajlu) możliwość zdawania egzaminu w osobnym pomieszczeniu zmianę formy z pisemnej na ustną i odwrotnie Na prośbę studenta Dziekan ma prawo wyrazić zgodę na indywidualną organizację sesji egzaminacyjnej. W praktyce oznacza to, że student może w czasie sesji zaliczyć taką liczbę przedmiotów, na jaką pozwala mu obecny stan zdrowia. Część kolokwiów i egzaminów będzie natomiast rozłożona w czasie i zdawana w indywidualnie dopasowanych terminach, zgodnie z planem zatwierdzonym przez Dziekana. W razie pogłębienia się problemów zdrowotnych, osoby niepełnosprawne mają prawo do ubiegania się o urlop od zajęć (stanowiący specjalną formę urlopu dziekańskiego). Konkretne zasady jego udzielania różnią się nieco w zależności od uczelni. By znaleźć dokładny zapis na ten temat, zajrzyj do regulaminu swoich studiów. Wsparcie osób niepełnosprawnych na uczelni – jakie wymagania trzeba spełnić? Uczelnie to w dużej mierze instytucje państwowe, stąd każdy rodzaj otrzymanego wsparcia musi zostać dokładnie udokumentowany. Większość wniosków o pomoc w rekrutacji, organizacji studiów czy sesji egzaminacyjnej należy kierować do Dziekana oraz opatrzyć ważnymi załącznikami, takimi jak kopia orzeczenia o stopniu niepełnosprawności. Konieczne bywa też dopilnowanie konkretnych terminów składania podań. Jeśli boisz się, że nie dasz sobie rady w gąszczu uczelnianych formalności, zwróć się o pomoc do lokalnego Biura ds. Osób Niepełnosprawnych. Pomoce integracyjne dla niepełnosprawnych studentów: sprzęt i asystenci Oprócz wspomnianych już możliwości dostosowania toku studiów do swoich potrzeb, zapoznaj się też z bardziej namacalnymi formami pomocy. Należą do nich przede wszystkim wszelkiego rodzaju urządzenia, programy i gadżety, z których możesz skorzystać na uczelni i które w najlepszym wypadku zabierzesz też do domu! Coraz częściej przy szkołach wyższych działają Wypożyczalnie Sprzętu dla Osób z Niepełnosprawnościami, które w swoim inwentarzu mają laptopy z ekranami brajlowskimi, powiększalniki, dyktafony, mikroporty dla osób niedosłyszących oraz wiele przydatnych programów i aplikacji, jak np. Duxbury Braille Translator czy OCR FineReader. Nieocenioną pomocą w radzeniu sobie z wyzwaniami studenckiej codzienności będzie też wsparcie asystenta dydaktycznego. Pod tym tajemniczym mianem kryje się po prostu wybrana przez ciebie osoba, która będzie towarzyszyć ci podczas niektórych zajęć i załatwiania uczelnianych spraw. Najczęściej w tej roli występuje po prostu kolega lub koleżanka z grupy, rzadziej członek rodziny lub niestudiujący znajomy. W tej kwestii dużo zależy od twojej własnej inicjatywy. To ty bowiem zgłaszasz potrzebę asysty, określasz jej zakres i umawiasz was na spotkanie w Biurze ds. Osób Niepełnosprawnych. Tam podpisujecie umowę, dzięki której twój asystent może otrzymywać wynagrodzenie. Osobno rozpatruje się prośby studentów, ubiegających się o wsparcie tłumacza języka migowego. Uczelnie często posiadają już pulę wykwalifikowanych specjalistów, z którymi współpracują. Wsparcie asystenta lub tłumacza może przybierać różne formy, takie jak asysta w dotarciu na uczelnię pomoc w poruszaniu się po kampusie sporządzanie notatek, kserowanie materiałów głośne czytanie tekstów, skanowanie, digitalizacja pomoc w korzystaniu z zasobów bibliotecznych asysta podczas załatwiania spraw w dziekanacie obecność podczas konsultacji z wykładowcami Możliwe są też inne rodzaje pomocy, o ile zostały one wcześniej zapisane w umowie. Wsparcie asystenta przysługuje ci na każdym etapie licencjatu czy magisterki, a także podczas ewentualnych studiów doktoranckich lub pracy na uczelni. Dostępność na terenie kampusu – na co zwrócić uwagę? Decyzja o podjęciu studiów dla osób niepełnosprawnych wiąże się często z dość dosłownym pokonywaniem przeszkód. Chociaż z roku na rok zwiększa się dostępność kampusów, wiele starszych uniwersyteckich budynków wciąż wymaga modernizacji. Zanim złożysz papiery na konkretną uczelnię, wybierz się na oględziny sal wykładowych, biblioteki, stołówki i innych ważnych budynków oraz pomieszczeń. A co, jeśli nie spełniają one wcale twoich wymagań? Nic straconego! Istnieje kilka rozwiązań, które możesz zastosować. Jednym z nich jest złożenie podania o przeniesienie zajęć do bardziej dostępnych obszarów kampusu. Nie bój się też być motorem zmian. Domagaj się potrzebnych ulepszeń i jeśli to tylko możliwe składaj wnioski o modernizację. Już drobne zmiany, np. zbudowanie krótkiej rampy lub zakupienie stołu dostosowanego do wózków inwalidzkich, potrafią znacząco podnieść komfort studiowania osób z niepełnosprawnościami. Każda propozycja ulepszeń stanowi dla uczelni ważny impuls do kolejnych zmian. Aby kampus zasługiwał na miano dostępnego, powinny się na nim znaleźć toalety dla niepełnosprawnych miejsca parkingowe dla niepełnosprawnych windy, rampy, pochylnie, przestronne korytarze pokój do wyciszenia i relaksu stanowiska pracy wyposażone w odpowiedni sprzęt urządzenia do adaptacji materiałów naukowych (np. drukarki brajlowskie) Próby zwiększania dostępności budynków dotyczą nie tylko kampusów i bibliotek. Coraz więcej akademików ma miejsca dostosowane do potrzeb osób z niepełnosprawnościami. Warto zawczasu zorientować się w ich ofercie, gdyż często znajdują się blisko uczelni, co może okazać się sporym ułatwieniem w codziennej organizacji studiów. Pomoc materialna i stypendium dla niepełnosprawnych studentów Kwestie finansowe potrafią spędzić sen z powiek każdego przyszłego studenta. Osoby z niepełnosprawnościami lub chorobami przewlekłymi mogą korzystać z tego samego wachlarza stypendiów i zapomóg, który przysługuje ich kolegom i koleżankom: stypendium socjalnego, rektora dla najlepszych studentów oraz ministra za wybitne wyniki w nauce. Oprócz tego, w ramach wyrównania szans edukacyjnych, masz do swojej dyspozycji dodatkowe świadczenia i ulgi, a wśród nich stypendium specjalne dla niepełnosprawnych studentów. Aby je uzyskać musisz przedstawić kopię orzeczenia o stopniu niepełnosprawności. W zależności od uczelni jest ono przyznawane na semestr lub rok i wypłacane co miesiąc. Jeśli mimo wszystko martwisz się, że nie starczy ci środków na studiowanie, rozważ skorzystanie z kredytu studenckiego. Dowiedz się więcej o preferencyjnych warunkach spłaty i dopłatach do oprocentowania z budżetu Państwa. Oprócz środków, przyznawanych poszczególnym studentom, uczelnia dysponuje też dotacjami na finansowanie kosztów oraz realizację inwestycji służących kształceniu niepełnosprawnych studentów. To właśnie z tej puli opłacane są wynagrodzenia i szkolenia dla asystentów i tłumaczy. Dodatkowo, wspomniane środki mogą być przeznaczane na: zakup wyposażenia do uczelnianej wypożyczalni sprzętu dla niepełnosprawnych zakup specjalnie dostosowanej literatury naukowej organizację zajęć wychowania fizycznego dla osób z niepełnosprawnościami szkolenia podnoszące świadomość związaną z obecnością osób niepełnosprawnych na uczelni Nie bój się brać spraw we własne ręce. Im więcej swoich potrzeb zakomunikujesz za pośrednictwem Biura ds. Osób Niepełnosprawnych lub samorządu studenckiego, tym większe są twoje szanse na uzyskanie wsparcia. A przy okazji dołożysz swoją cegiełkę do długofalowego polepszenia komfortu studiowania osób z niepełnosprawnościami na polskich uczelniach. Podsumowanie Różnorodne formy wsparcia mogą usunąć z twojej drogi do wymarzonego dyplomu przynajmniej część przeszkód. Poznaj swoje prawa i korzystaj ze wszystkich możliwości wyrównania szans edukacyjnych, jakie oferuje uczelnia. Pozwól, by wsparcie finansowe, organizacyjne oraz asystenckie zdjęło część ciężaru z twoich barków. Tak odzyskaną energię poświęć na naukę i krok po kroku zaliczaj kolejne etapy edukacji. Życzymy ci wielu sukcesów! źródło:

usunięcie studenta z uczelni