Aurinkoista kesää kaikille!
Julkaisut

Diplomityö koulujen digiturvasta

Julkaistu 31.5.2024 Muokattu 31.5.2024
Digiturvallinen tietokone.

Ulkopuolinen digiturvan tarkastelu

Pyrimme kartoittamaan Lappeenrannan koulujen digiturvatilanteen mahdollisen monipuolisesti ja yhtenä osana tätä kokonaisuutta LUT-yliopiston Aleksi Mäkelä tekee diplomityönsä aiheesta. Mäkelä on perehtynyt koulujen digiturvaohjeistukseen, taustoihin sekä toimintaa ohjaaviin ja tukeviin dokumentteihin. Lisäksi hän teki seurantaa demoluokkien digiturvakäytänteistä. Seuraavassa on Mäkelän tilannekatsaus - valmis opinnäytetyö saadaan esille toivottavasti ennen joulua!

Mäkelän artikkeli alkaa tästä.

GDPR perustana koulujen ohjeistukselle

GDPR (General Data Protection Regulation, EU:n yleinen tietosuoja-asetus) on Euroopan parlamentin, Euroopan unionin neuvoston ja Euroopan komission yhteinen asetus, jolla yhtenäistetään tietosuojaa koskevaa lainsäädäntöä Euroopan unionin maiden kesken. Käytännössä asetus pyrkii turvaamaan EU:ssa asuvan henkilön oikeuksia omiin henkilötietoihin ja rakentamaan yhteiset pelisäännöt EU:n sisäisellä ja kansainväliselle liiketoiminnalle.

GDRP perustuu kuuteen perusperiaatteeseen, jotka ovat:

  1. Rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
  2. Käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
  3. Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
  4. Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
  5. Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
  6. Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Koulujen toiminnan tulee siis noudattaa tätä asetusta. Tässä artikkelissa tarkastelemme, miten Eduksin ohjeistus ja koulujen toiminta käytännössä toimii.

Tiedonhallinnan käsikirja

Eduksin sivuilla on tiedonhallinnan käsikirja, jonka tarkoituksena on koota yhteen paikkaan koulujen arjessa tarvittavia ohjeita tietosuojasta, tiedon säilyttämisestä ja tietoturvasta.

Sisällöllisesti tiedot ovat kunnossa ja sisältävät tarpeeksi tarkat lähtökohdat, joiden perusteella ohjeistus on kirjoitettu. Ohjeet opettajille, oppijoille ja rehtorille ovat selkeät ja sisältävät tiivistetysti kaiken tarvittavan. Erityisen positiivista huomioitavaa on selkeästi kirjoitetut ohjeet eri käyttäjäryhmille: pidempien ohjeiden piilottaminen muun tekstin sisään tekisi ohjeitten lukemisesta tai pulmatilanteen sattuessa uudelleen tarkistamisesta työlästä.

Tiedonhallinnan käsikirjan ohjeistuksen tarkastamisen lisäksi tein kenttätutkimuskäynnit Voisalmen ja Sammonlahden koulujen demoluokissa.

Tilanne demoluokissa

Voisalmen koulussa Microsoftin Surface -laitteet toimivat huonosti ja käyttöjärjestelmien ja ohjelmistojen päivityksissä meni jopa 20 minuuttia. Tietoturvan käsitteeseen yleisesti kuuluu tiedon saavutettavuus, eli henkilöt pääsevät tarvittaviin tietoihinsa käsiksi, eivätkä tiedot ole täysin tavoittamattomissa. Tässä tapauksessa tietoturva ei käytännössä toteudu, jos tarvittavat henkilöt eivät pääse edes omiin laitteisiinsa tai tietoihinsa.

Kouluilla on käytössä MPASSid, joka on Opetushallituksen ylläpitämä kirjautumisratkaisu oppimisympäristöihin. Koulu antaa oppilaille tunnukset, joilla kirjautua erinäisiin sovelluksiin, kuten Sanomapro:n Bingel -tehtäväalustalle. MPASSid:llä kirjautuminen toimi demoluokassa kuten pitääkin ja kaikki oppilaat osasivat kirjautua.

Oppituntia seuratessa huomaa, että opettajan on täysin mahdoton valvoa mitä kaikkea koneilla tehdään, joten vastuu jää tietojärjestelmien rajoitusten laatijoille. Eduksin sivujen ohjeistuksen ja käytänteiden mukaan uusia käyttöön otettavia ohjelmia saa pyytämällä, mikä vaikuttaa toimivalta ja turvalliselta ratkaisulta.

Toinen esille nouseva haastava käytännön tilanne on, kun opettajan ohjeistaa oppilaita menemään koneillansa tietylle verkkosivulle opetuspeliä varten ja liittymään koodilla. Osa eksyi kokonaan ja osa meni Googlen kautta. Lisäksi osa kirjautui Google-tilillä, vaikka piti mennä huonekoodilla ja lopulta peli ei edes toiminut. Tämä on pedagogisesti erittäin haastava tilanne parantaa, sillä oppilaiden digitaitotasossa voi olla paljon vaihtelevuutta, joten turvallisilla vesillä pysyminen pelkällä kapteenin johdolla on mahdotonta. Järjestelmät, joiden puitteissa oppilaat saavat seilata, on onneksi rakennettu niin, ettei suurta huolta ole digiturvan suhteen.

Tietyn tehtävän sivuille mentiin Googlen kautta ja jos mainokset ovat käytössä niin Googlen tulokset voivat tarjota oikealta näyttävää, mutta kuitenkin tietoja kalastelevaa valesivua. Oppilaat eivät välttämättä erota oikeaa sivua, mikä voi olla miedosti vaarallista.

Muuta huomioitavaa on, että läppärit voi jäädä auki välitunnin ajaksi ja kuka vain voi mennä luokkaan ja päästä koneella oleviin tietoihin. Koneilla ei kuitenkaan ole kovin riskialtista tietoa, mutta tieturvan kannalta opettajan ohjeistuksia noudattamalla riski alenisi.

Sammonlahden yläkoulun luokassa Surface -laitteet eivät olleet käytössä, sillä niiden hitaus on tiedossa. Oppilailla on sen sijaan henkilökohtaiset Chromebookit käytössä, joissa käytetään Google kirjautumista. MPASSid:llä kirjautuminen on myös käytössä ja se toimii tarkoituksenmukaisesti. Jos joihinkin opiskelukäytössä oleviin sovelluksiin ei koulun tunnuksilla pääse, niin omilla Google tunnuksilla pääsee. Yleisessä käytössä olevat sovellukset ovat Eduksin hyväksyttyjen opetussovellusten listalla, ja kirjautumisissa on huomioitu oppilaan tietosuoja ja tietoturvallinen käyttö. Opettajan haastattelun perusteella osalla oppilaista on alkuperäinen väliaikaissalasana käytössä, joka olisi pitänyt vaihtaa heti ensimmäisen kirjautumisen yhteydessä, joka aiheuttaa tietoturvariskin. Oppilaiden tietotekniikan taitotasoissa on paljon eroja, mikä johtunee siitä, että tietotekniikka on valinnainen aine, vaikka aihepiiriä ja tietokoneita muissa oppiaineissa käytettäisiinkin.

Kaikille opettajille Eduksin sivut eivät ole tutut. Tärkeää olisi, että jokainen opettaja olisi käynyt ohjeistuksen läpi, mutta tätä ei vaadita. Ehkä ratkaisuksi toimisi tiivis opetusjakso opettajille.

Tietojen säilyttäminen
Google Workspace For Education
Jaa sivu: