Bezpečnost e-learningu je relativně široký pojem. Pokud budeme uvažovat o zabezpečení vzdělávacího systému, můžeme určit nejméně dvě oblasti, ve kterých je důležité se zabezpečením zabývat.
V prvním případě se jedná o zabezpečení ze strany koncového uživatele, kdy je dobré dodržovat obecné zásady kybernetické bezpečnosti (např. pravidla pro tvorbu hesel, pravidelně aktualizovat antivirový program, neotevírat přílohy emailů od nedůvěryhodných odesílatelů apod.). Zde je důležité zejména zavést interní pokyny a směrnice v oblasti bezpečného využívání IT a provádět průběžnou osvětu a vzdělávání svých zaměstnanců v oblasti kybernetické bezpečnosti. Tuto oblast pokrývá například interaktivní kurz Informační a kybernetická bezpečnost. Pokud by Vás toto řešení zaujalo, neváhejte mi samozřejmě napsat.
Druhou oblastí je zabezpečení samotného systému. Tuto oblast zabezpečení již máme mnohem více ve svých rukou a je třeba na ni myslet již při samotném výběru či návrhu vzdělávacího systému.
Realizuji vzdělávací systémy mj. pro korporátní, veřejnosprávní i akademickou sféru a aktivně proto řeším i požadavky na bezpečnost vzdělávacích systémů.
V praxi se setkávám s několika častými požadavky na zabezpečení systémů vzdělávání. Postupem času vykrystalizovaly 4 oblasti, které jsou důležité pro integritu e-learningových řešení.
1. Registrace a ověřování uživatelských účtů
Systém musí podporovat nejen přímou registraci uživatelských účtů a autentizaci uživatele vůči lokální databázi uživatelů, měl by být také schopen načíst/založit uživatelské struktury a základní (globální) role z adresářových serverů typu LDAP a pomocí protokolu LDAP uživatele autentizovat.
Výsledek autentizace je pak dán odpovědí LDAP serveru. V případě pozitivního výsledu autentizace je uživatel přihlášen do systému (případně mu je vytvořen nový uživatelský účet). V případě negativního výsledu je uživateli zamezen přístup do systému, případně může být jeho účet i suspendován/zablokován.
V poslední době se také čím dál více prosazuje více faktorová autentizace, která zamezí zneužití uživatelského účtu v případě kompromitace uživatelského jména a hesla.
2. Pokročilá správa oprávnění
Systém musí podporovat pokročilou správu oprávnění (chcete-li „uživatelských rolí“). Jednotlivým uživatelům jsou přidělovány role, díky kterým mohou uživatelé přistupovat pouze k těm funkcionalitám systému, datům a informacím, pro které mají potřebná oprávnění. Značnou výhodou je i to, že vzdělávací systém umožňuje tvorbu nových rolí (respektive umožňuje úpravu defaultně vytvořených rolí) a klient si tak může definovat a upravovat uživatelské role a jejich oprávnění dle svých potřeb.
Může se jednat například o oprávnění k zasílání zpráv a notifikací, hodnocení studentů, administrace systému, vytváření nových kurzů či přístup k auditním záznamům a logům.
3. Omezení zápisu do kurzu na základě kritérií
Další klíčovou funkcionalitou systému pro správu vzdělávání je omezení přístupu ke kurzům a studijním materiálům dle vybraných kritérií. Například dle definovaných cílových skupin, prerekvizit a návazností, časových omezení, či jiných podmínek.
Kurz a jeho studijní materiály tak bude dostupný pouze uživatelům, kteří spadají do jeho cílové skupiny či splňují další požadavky stanovené pro studium kurzu. V opačném případě k němu uživatelé přístup nemají, nebo jej ani nevidí.
4. Evidence událostí
Posledním požadavkem na zabezpečení systému je evidence událostí a protokolování záznamů (logování). Systém musí evidovat události, které se v jeho rámci odehrály. Ideální je logování neomezovat pouze na systémové události, ale rozšířit jej ideálně na veškerou aktivitu, která v systému probíhá. Důležitou vlastností systému je, že ani administrátor nemůže auditní log pozměňovat.
Pokud například někdo spustí automatickou aktualizaci systému, upraví studijní materiál či ručně změní výslednou známku studenta z testu, musí být dohledatelné, který uživatel, pod jakou rolí, z jaké IP adresy a kdy tuto změnu provedl.
Výše zmíněné oblasti představují základní bezpečnostní požadavky na kvalitní e-learningový systém. Je vidět, že se jedná o poměrně široké oblasti, se kterými lze dále pracovat.
Pokud také uvažujete o zavedení e-learningu ve Vaší společnosti, věřím, že Vám tyto informace pomohly utvořit základní představu o bezpečnostních aspektech e-learningových systémů.