Introducere
Scopul prezentului ghid este de a sprijini instituțiile educaționale din Republica Moldova – școli, licee, centre de tineret – în asigurarea unui mediu digital sigur pentru elevi și personal. Publicul țintă îl constituie cadrele didactice și administratorii acestor instituții, care au responsabilitatea de a aplica măsuri de securitate cibernetică și de a promova utilizarea responsabilă a tehnologiilor digitale în procesul educațional. Ghidul este elaborat în conformitate cu legislația națională în vigoare și cu politicile sectoriale din domeniul educației, integrând cerințele legale și recomandările de bună practică aplicabile contextului școlar din Republica Moldova.
Contextul legislativ și strategic subliniază importanța majoră a securității cibernetice la nivel național. În 2023 a fost adoptată Legea nr. 48/2023 privind securitatea cibernetică, care instituie cadrul normativ primar în acest domeniu și stabilește obligații pentru protejarea rețelelor și sistemelor informatice ale entităților publice și private[1]. Această lege, ce intră în vigoare la 1 ianuarie 2025, are ca scop asigurarea securității rețelelor IT utilizate la prestarea serviciilor esențiale pentru societate[1]. Deși instituțiile de învățământ nu sunt neapărat parte a infrastructurilor critice definite de lege, ele gestionează date personale sensibile și prestează un serviciu public esențial – educația – ceea ce le conferă obligația morală și legală de a menține securitatea informațională.
Totodată, cadrul instituțional din Republica Moldova a fost consolidat recent prin crearea Agenției pentru Securitate Cibernetică (ASC) – echipa națională de răspuns la incidente cibernetice (CERT) – conform Hotărârii Guvernului nr. 1028/2023[2]. Această agenție va fi punctul unic de contact la nivel național pentru raportarea și gestionarea incidentelor de securitate, precum și autoritatea care supraveghează implementarea politicilor statului în domeniul securității cibernetice[2]. Ghidul de față recomandă instituțiilor educaționale să coopereze cu autoritățile competente (ASC/CERT) în cazul producerii unor incidente majore și să respecte directivele emise de acestea.
Protecția datelor cu caracter personal constituie un alt pilon legislativ de maximă relevanță pentru mediul educațional. Legea nr. 133/2011 privind protecția datelor cu caracter personal (armonizată parțial cu standardele europene GDPR) impune școlilor și liceelor obligația de a prelucra datele elevilor și angajaților într-un mod sigur și confidențial[3]. Instituțiile de învățământ trebuie să adopte toate măsurile organizatorice și tehnice rezonabile pentru a preveni accesul neautorizat, pierderea sau divulgarea ilegală a datelor cu caracter personal, în conformitate cu legislația națională și europeană aplicabilă[3]. Acest ghid va detalia proceduri și controale specifice pentru asigurarea confidențialității datelor școlare (cataloage electronice, baze de date cu informații despre elevi, etc.), în spiritul conformării cu cerințele legale și al protejării drepturilor copiilor și personalului.
În domeniul educației, Codul educației al Republicii Moldova (Legea nr. 152/2014) subliniază importanța competențelor digitale și a asigurării unui mediu sigur pentru desfășurarea educației. Competența digitală este recunoscută ca una dintre cele opt competențe-cheie ale educației contemporane, iar siguranța online este parte integrantă a acestei competențe[4]. Ministerul Educației și Cercetării (MEC) a întreprins demersuri concrete pentru a crește nivelul de conștientizare privind pericolele din mediul online și pentru a integra noțiuni de securitate cibernetică în procesul educațional. Un exemplu este lansarea în 2025 a primului Curriculum Național de Securitate Cibernetică pentru licee, în parteneriat cu Institutul „Cybercor” al UTM și Asociația companiilor IT, ca parte a inițiativei „Tekwill în Fiecare Școală”[5][6]. Această inițiativă evidențiază necesitatea stringentă de a educa noua generație în domeniul securității cibernetice, considerată o componentă fundamentală a alfabetizării moderne, „la fel de importantă ca scrisul sau matematica”[4].
De asemenea, pentru a proteja elevii în mediul online, MEC a aprobat în anul 2021 Standardele pentru protecția și siguranța copiilor/elevilor în mediul online, elaborate în cooperare cu organizația neguvernamentală La Strada[7][8]. Aceste standarde oferă un cadru minim de acțiuni pe care instituțiile de învățământ general trebuie să le întreprindă pentru a crea un mediu digital sigur pentru copii, precum și criterii pentru informarea periodică a cadrelor didactice, părinților și elevilor despre siguranța online[8]. Implementarea lor este susținută prin planuri de acțiuni (de exemplu, Ordinul MEC nr. 985/07.10.2022) și programe de formare a personalului școlar, cu sprijinul partenerilor internaționali (UNICEF etc.)[9]. Ghidul de față completează aceste eforturi, oferind recomandări practice aliniate atât la standardele respective, cât și la bunele practici internaționale de securitate cibernetică.
Structura ghidului cuprinde capitole tematice ce abordează aspectele esențiale ale securității cibernetice în mediul educațional. Fiecare capitol include exemple practice, recomandări și modele de bune practici adaptate contextului școlar din Republica Moldova. Tonul este clar, formal și profesionist, adecvat personalului educațional, iar informațiile sunt organizate într-o manieră accesibilă, cu paragrafe concise și liste unde este cazul, pentru a facilita parcurgerea și aplicarea cunoștințelor.
În finalul documentului se regăsesc anexe utile: un glosar de termeni tehnici explică concis vocabularul de bază (pentru a asigura înțelegerea conceptelor precum “phishing”, “firewall” etc.), o bibliografie legală enumeră principalele acte normative naționale ce stau la baza recomandărilor (legi, hotărâri de guvern, instrucțiuni ministeriale), iar fișele de instruire propuse pot fi folosite de către școli pentru formarea internă a personalului sau pentru sesiuni educative cu elevii. De asemenea, este inclus un Checklist de autoevaluare – un instrument practic sub formă de listă de verificare – care permite administratorilor și cadrelor didactice să evalueze nivelul de securitate digitală al instituției lor, acoperind domenii precum politici și proceduri, infrastructură IT, resurse umane și formare.
Prin implementarea recomandărilor din acest ghid, instituțiile educaționale vor putea reduce riscurile cibernetice, proteja mai bine datele și siguranța elevilor în mediul online și vor consolida încrederea comunității în utilizarea tehnologiei în educație. Securitatea cibernetică în școli este un efort comun, care necesită atât sprijinul conducerii instituției, cât și implicarea activă a fiecărui profesor, elev și părinte.
Capitolul 1: Alfabetizare digitală și responsabilitate online
Alfabetizarea digitală reprezintă ansamblul competențelor care permit cadrelor didactice și elevilor să folosească tehnologiile informaționale în mod eficient, sigur și etic. Într-o societate tot mai digitalizată, școala are misiunea de a forma nu doar abilități tehnice de bază (utilizarea computerului, a internetului și a aplicațiilor educaționale), ci și de a cultiva responsabilitatea online – adică conștientizarea consecințelor acțiunilor în mediul virtual și adoptarea unui comportament adecvat și legal pe internet.
Cadrele didactice joacă un rol esențial în acest proces, atât ca modele de utilizare corectă a tehnologiei, cât și ca formatori ai elevilor. Profesorii trebuie să își dezvolte continuu competențele digitale și să fie la curent cu noile tendințe și riscuri cibernetice, pentru a putea integra în predare elemente de siguranță online și pentru a răspunde întrebărilor elevilor. Alfabetizarea digitală a personalului didactic poate fi sprijinită prin cursuri de formare profesională (de exemplu, programe derulate de Institutul “Cybercor” al UTM sau de Centrul de Inovație în Securitatea Cibernetică – CISC), precum și prin resurse oferite de comunitatea IT. În acest sens, platforme precum CISC.md pun la dispoziție ghiduri și materiale educaționale menite să consolideze cultura de securitate digitală în rândul cadrelor didactice[10].
Responsabilitatea online implică respectarea regulilor de conduită pe internet (neticheta), protejarea propriei identități digitale și a vieții private, precum și respectul față de drepturile celorlalți (dreptul la imagine, la intimitate, dreptul de autor etc.). Profesorii și elevii trebuie să fie conștienți că orice acțiune întreprinsă în mediul online (postarea de informații, comentarii, distribuirea de materiale) lasă o amprentă digitală și poate avea consecințe reale. Prin urmare, este important ca în școli să se discute deschis despre subiecte precum: hărțuirea online (cyberbullying) și efectele ei, diseminarea de informații false (fake news), pirateria software și plagiatul digital, dependența de rețele sociale, precum și despre importanța empatiei și respectului în comunicarea digitală.
O bună practică este includerea elementelor de Educație pentru Cetățenie Digitală în curriculum sau în activități extra-curriculare, adaptate vârstei elevilor. În cadrul orelor de dirigenție, TIC sau educație civică, se pot organiza discuții și ateliere pe teme precum: cum să ne creăm parole sigure, cum să identificăm și să raportăm conținutul online dăunător, cum să reacționăm dacă suntem martori sau victime ale agresiunilor pe internet etc. De asemenea, pot fi invitați specialiști (de la poliție, ONG-uri, experți IT) pentru a susține prezentări interactive despre riscurile online și modalitățile de prevenire.
Fiecare instituție educațională ar trebui să elaboreze și să aplice o Politică internă de utilizare a internetului și a dispozitivelor digitale, care să definească clar așteptările privind comportamentul online al elevilor și personalului. Această politică poate include, de exemplu, reguli privind accesarea site-urilor (filtrarea conținutului inadecvat), folosirea echipamentelor școlii (laboratoare de informatică, table interactive) și comunicarea prin e-mail sau platforme ale școlii. Este esențial ca regulamentul școlar să prevadă sancțiuni pentru abaterile grave (cum ar fi folosirea mijloacelor IT pentru a insulta sau intimida colegi, sau pentru fraudă academică) și, totodată, proceduri de remediere și consiliere. Cadrele didactice și administratorii au datoria să asigure că toți elevii și angajații cunosc aceste reguli și înțeleg rațiunea lor, organizând sesiuni periodice de reamintire și actualizare a politicilor.
Promovarea unei culturi a securității digitale în comunitatea școlară presupune implicarea tuturor actorilor: conducerea instituției, profesori, elevi și părinți. Se recomandă ca școala să desfășoare campanii interne de informare (de ex. afișarea în laboratoare a unor poster-e cu “Reguli de Aur pentru Siguranța Online”, transmiterea de ghiduri către părinți, includerea subiectului pe agenda ședințelor cu părinții). În ultimii ani, autoritățile și partenerii educaționali au inițiat acțiuni de conștientizare ce vizează responsabilitatea digitală a tuturor celor implicați în educație – de exemplu, campanii media, conferințe și ghiduri care încurajează responsabilizarea părinților, profesorilor și elevilor în privința comportamentului online[11]. Instituțiile de învățământ ar trebui să se alinieze acestor eforturi, devenind la rândul lor centre de promovare a utilizării sigure și constructive a internetului.
În concluzie, alfabetizarea digitală și responsabilitatea online constituie fundația pe care se clădesc toate celelalte capitole ale securității cibernetice. O comunitate școlară bine informată, cu abilități digitale solide și cu un simț etic dezvoltat în mediul virtual, va fi mult mai rezilientă în fața amenințărilor cibernetice. Cadrele didactice și administratorii sunt chemați să fie lideri în acest proces de transformare digitală sigură, ghidând tinerele generații spre a deveni cetățeni digitali responsabili și competenți.
Capitolul 2: Protecția datelor cu caracter personal
Instituțiile educaționale gestionează un volum însemnat de date cu caracter personal – de la datele de identitate ale elevilor (nume, prenume, IDNP, data nașterii, adrese), la informații despre situația lor școlară (note, absențe), date medicale (avize, alergii) sau date despre angajați. Toate aceste informații sunt protejate de lege, iar școlile au obligația legală și morală să le păstreze în siguranță și să le prelucreze numai în scopurile permise. Conform Legii Republicii Moldova nr. 133/2011 privind protecția datelor cu caracter personal, orice instituție care prelucrează date personale trebuie să asigure confidențialitatea, integritatea și disponibilitatea acestora, prevenind accesul neautorizat sau utilizările abuzive[3]. În contextul alinierii la standardele europene (GDPR), școlile și liceele trebuie să ia toate măsurile rezonabile pentru a se asigura că respectă legislația în vigoare privind datele personale[3].
Principii fundamentale. Prelucrarea datelor personale în mediul educațional trebuie să respecte principiile de bază: Limitarea scopului (datele elevilor sunt colectate și folosite doar pentru scopuri educaționale legitime – evidența școlară, comunicarea cu părinții, înscrieri la examene etc.), Minimizarea datelor (se colectează doar datele strict necesare: de exemplu, nu se vor cere elevilor date irelevante), Exactitatea (datele trebuie menținute corecte și actualizate, de ex. actualizarea la schimbarea adresei elevului), Limitarea stocării (datele nu se păstrează mai mult decât este necesar; arhivarea sau distrugerea lor după absolvire conform regulilor arhivistice) și Integritate și confidențialitate (asigurarea securității tehnice și organizatorice a datelor). De asemenea, școala are obligația de transparență: persoanele vizate (elevii sau părinții lor, în cazul minorilor) trebuie informate cu privire la ce date se colectează, în ce scop și care sunt drepturile lor.
Măsuri organizatorice și tehnice. În practică, protecția datelor personale la nivelul unei instituții de învățământ implică o serie de măsuri concrete:
- Nominalizarea responsabililor: Conducerea școlii ar trebui să desemneze un responsabil pentru protecția datelor (DPO – Data Protection Officer), în special dacă este vorba de o instituție publică. Conform standardelor GDPR, toate autoritățile publice ar trebui să aibă un responsabil cu protecția datelor[12], care să asigure conformitatea continuă și să fie punct de contact cu autoritatea națională de supraveghere. Acest responsabil (care poate fi și o persoană din rândul personalului existent, de ex. secretarul școlii instruit în acest sens) monitorizează respectarea procedurilor de confidențialitate și instruiește personalul.
- Regulament intern pentru date personale: Instituția trebuie să dețină proceduri scrise privind gestionarea datelor cu caracter personal. Acestea ar acoperi aspecte precum: cine are acces la dosarele elevilor și în ce condiții, cum se realizează comunicarea notelor și informațiilor școlare către părinți (ex: prin intermediul catalogului electronic securizat, nu prin canale nesigure), cum se procedează la publicarea rezultatelor școlare (listele cu note sau admiteri nu trebuie să conțină date personale excesive – se pot folosi coduri sau identificatori anonimi), și cum se gestionează cererile de acces sau rectificare a datelor venite din partea părinților sau elevilor majori.
- Securizarea arhivelor și documentelor fizice: Dosarele școlare pe suport hârtie, registrele matricole, cataloagele tipărite trebuie păstrate sub cheie, în fișete închise, cu acces limitat la personal autorizat. Trebuie evitată lăsarea documentelor cu date personale în spații accesibile elevilor sau vizitatorilor. După expirarea perioadelor legale de păstrare, documentele care conțin date personale trebuie distruse într-un mod sigur (tocarea hârtiei sau ardere, conform normelor).
- Securitatea sistemelor informatice: Calculatoarele și serverele care stochează date despre elevi (de ex. baza de date a catalogului electronic, listele cu elevi, notele sau informațiile medicale) trebuie protejate prin parole puternice și, acolo unde e posibil, prin mecanisme de criptare. Se va asigura că fiecare utilizator (director, diriginți, profesori, secretariat) are propriul cont de acces și nu se folosesc conturi comune. Drepturile de acces în sistemul informatic vor fi acordate pe principiu need-to-know – de exemplu, un profesor poate vedea doar datele clasei la care predă, secretariatul are acces la datele de contact ale părinților etc. Orice acces sau modificare a datelor importante ar trebui jurnalizat (log-uri de audit) pentru a putea depista eventuale abuzuri.
- Computere securizate și actualizate: Posturile de lucru ale personalului administrativ (secretariat, contabilitate) și ale profesorilor, dacă sunt folosite pentru a prelucra date despre elevi, trebuie protejate cu soluții antivirus actualizate și parole la login. Sistemele de operare și aplicațiile (ex: programele de management școlar) trebuie menținute la zi cu update-urile de securitate. Este recomandat ca datele confidențiale (liste cu note, situații școlare) să nu fie stocate pe dispozitive personale ale profesorilor sau, dacă acest lucru este necesar (ex. lucrul de acasă), să se folosească criptarea sau parole pentru fișierele respective.
- Transferul și partajarea datelor: Atunci când se transmite informație ce conține date personale (de ex. trimiterea prin e-mail a unei situații școlare către un alt instituție, sau către un părinte), trebuie folosite canale securizate. Se va verifica de două ori adresa destinatarului pentru a evita trimiterea eronată. Dacă este posibil, se recomandă folosirea unor documente protejate cu parolă sau a unei platforme securizate (ex. un portal web al școlii) în locul e-mailului deschis. Cadrele didactice trebuie instruite să nu folosească aplicații de mesagerie nesigure sau rețele sociale pentru a comunica informații sensibile despre elevi.
- Consimțământul părinților și drepturile persoanelor vizate: Pentru anumite activități, este obligatorie obținerea consimțământului explicit al părinților (sau al elevului, dacă este deja adult). De exemplu, publicarea fotografiilor elevilor pe site-ul sau pagina de Facebook a școlii, ori înscrierea elevilor pe o platformă educațională online furnizată de terți, trebuie să fie precedate de informarea părinților și obținerea acordului lor scris. Școala trebuie să respecte oricând decizia părintelui de a retrage consimțământul (de pildă, dacă un părinte solicită ștergerea pozei copilului de pe internetul școlii). De asemenea, părinții și elevii au dreptul de a fi informați cu privire la datele lor deținute de școală, de a cere rectificarea eventualelor erori sau chiar ștergerea datelor (acolo unde se aplică, de ex. datele care nu mai sunt necesare).
- Prelucrarea datelor speciale: Dacă școala prelucrează date sensibile – cum ar fi date privind sănătatea (adeverințe medicale, certificări de dizabilitate) sau originea etnică (de ex. în raportări statistice), trebuie luate măsuri sporite de protecție. Astfel de date ar trebui accesate doar de persoanele strict autorizate (medicul sau asistentul medical al școlii, psihologul școlar, directorul), stocate separat și, preferabil, criptate. Comunicarea lor se face numai cu respectarea confidențialității (de exemplu, nu se divulgă în fața clasei starea de sănătate a unui elev).
- Contracte cu împuterniciți (terți): Adesea, școlile utilizează servicii IT furnizate de terți, cum ar fi platforme de management educațional (ex: sisteme de catalog electronic, aplicații de comunicare cu părinții) sau servicii cloud pentru stocare. În aceste cazuri, este obligatoriu ca școala să încheie contracte de prelucrare a datelor cu furnizorii, asigurându-se că aceștia oferă garanții de securitate conforme legii și că datele elevilor nu sunt folosite în alte scopuri. De preferință, se vor alege furnizori care stochează datele pe teritoriul UE sau în țări cu un nivel adecvat de protecție a datelor, pentru a fi acoperiți de GDPR.
Incidența și notificarea breșelor de securitate: Oricât de bune ar fi măsurile de prevenție, pot apărea incidente – de exemplu, un catalog electronic poate fi accesat neautorizat de un atacator, ori un angajat poate pierde un stick USB ce conține datele elevilor. În cazul constatării unei breșe de securitate care afectează datele personale, conducerea instituției trebuie să acționeze prompt. Conform noilor reglementări armonizate cu GDPR, există obligația de a notifica Centrul Național pentru Protecția Datelor cu Caracter Personal (autoritatea de supraveghere) în cel mult 72 de ore de la descoperirea incidentului[13]. Notificarea trebuie să includă informații despre natura încălcării securității, categoriile și numărul persoanelor vizate, precum și măsurile luate sau propuse pentru remediere. În paralel, școala trebuie să informeze și persoanele afectate (părinți, elevi) despre incident, mai ales dacă acesta le poate genera riscuri (de exemplu, divulgarea datelor de contact).
Este recomandat ca instituțiile educaționale să aibă un plan de răspuns la incidente de confidențialitate, care să cuprindă pașii de urmat în asemenea situații: izolarea cauzei (ex. dezactivarea temporară a sistemului compromis), analiza impactului, notificările legale și acțiunile de remediere. După incident, politicile și practicile se vor revizui pentru a preveni repetarea unui caz similar (de exemplu, întărirea sistemelor de autentificare dacă parola unui profesor a fost spartă).
Nerespectarea cerințelor legale privind protecția datelor poate atrage sancțiuni severe. Legislația națională prevede răspundere contravențională sau penală pentru încălcarea confidențialității datelor personale, iar în perspectivă alinierii complete la GDPR, amenzile pot fi substanțiale (în UE, până la 20 de milioane EUR sau 4% din cifra de afaceri, pentru entitățile mari)[14]. Însă dincolo de sancțiuni, o breșă de date erodează încrederea părinților și a elevilor în instituție și poate provoca traume sau prejudicii celor vizați. De aceea, protecția datelor cu caracter personal trebuie privită ca o prioritate zilnică și integrată în cultura organizațională a școlii. Fiecare membru al personalului, de la directori la profesori și până la îngrijitori (care pot avea acces la documente), ar trebui să fie conștient de responsabilitatea sa de a păstra confidențialitatea informațiilor despre copii.
Pentru suport și ghidare în acest domeniu, școlile pot consulta resursele puse la dispoziție de Centrul Național pentru Protecția Datelor cu Caracter Personal (pagina oficială datepersonale.md oferă ghiduri, decizii actualizate și consultanță[15]), precum și de alte instituții internaționale (materiale educative de la Autorități de Protecția Datelor din UE, ghiduri UNICEF privind confidențialitatea copiilor online etc.). Implementând consecvent regulile de protecție a datelor, instituțiile educaționale își protejează nu doar conformitatea legală, ci și reputația și, cel mai important, drepturile și siguranța elevilor lor.
Capitolul 3: Ingineria socială și metode de manipulare digitală
Unul dintre cele mai vulnerabile verigi în securitatea cibernetică este factorul uman. Chiar și în prezența unor sisteme tehnice solide de protecție, atacatorii cibernetici încearcă adesea să exploateze încrederea, neatenția sau lipsa de cunoștințe a utilizatorilor prin diverse forme de inginerie socială. Pentru cadrele didactice și personalul administrativ al școlilor, este esențial să recunoască aceste tactici de manipulare digitală și să știe cum să reacționeze pentru a nu deveni victime.
Ce este ingineria socială? Este arta de a păcăli oameni pentru a divulga informații confidențiale sau a executa acțiuni care facilitează un atac cibernetic. Infractorii se pot prezenta sub identități false ori pot crea scenarii credibile pentru a obține parole, date personale, acces neautorizat la sisteme sau bani. În mediul educațional, un atacator ar putea, de exemplu, să trimită un e-mail unui profesor pretinzând că este administratorul IT al școlii și cerându-i să-și “verifice contul” pe un link fals (pentru a-i fura parola), sau ar putea suna la secretariat dându-se drept reprezentant al Ministerului Educației și solicitând urgent date despre anumiți elevi.
Metode comune de manipulare digitală:
- Phishing-ul prin e-mail – Atacatorul trimite mesaje electronice ce par legitime (pot imita antetul Ministerului, al unei bănci sau al unui partener educațional). De regulă, mesajul induce un sentiment de urgență sau curiozitate (“Contul dvs. va fi suspendat”, “Ați câștigat un premiu pentru școală”) și conține un link sau fișier atașat malițios. Dacă destinatarul accesează link-ul și introduce date de autentificare pe site-ul fals, acestea ajung direct la atacator. La fel, deschiderea unui atașament infectat poate instala malware.
- Smishing și vishing – Variante de phishing prin SMS (smishing) sau apel telefonic vocal (vishing). De exemplu, un profesor sau părinte poate primi un SMS aparent de la un serviciu de livrare, care îl anunță despre un colet și îi cere să dea click pe un link pentru confirmare – în realitate, un site fraudulos[16][17]. Ori cineva poate primi un apel telefonic de la o persoană ce pretinde a fi de la departamentul IT al primăriei, cerând instalarea unui anumit program “urgent”. Scopul este același: obținerea de date sau infectarea dispozitivului. STISC a avertizat, de altfel, în 2024 despre o campanie amplă de SMS-uri false trimise în numele Poștei Moldovei, ce îndemnau utilizatorii să acceseze link-uri către pagini-clonă, pentru a fura date personale și financiare[16].
- Pretexting (pretextarea) – Crearea unei povești false (pretext) pentru a determina victima să divulge informații sau să facă ceva. Într-un mediu școlar, un exemplu ar fi un e-mail trimis contabilului școlii care pare să vină de la director, solicitându-i să furnizeze de urgență copii după actele de identitate ale angajaților (informație ce ar putea fi folosită apoi în alte fraude). Pretexting-ul se bazează pe cunoașterea structurii organizaționale și pe presupunerea că subordonații vor răspunde cererii unei “autorități” fără să pună întrebări.
- Baiting-ul – O metodă de a “ademeni” victima oferindu-i ceva tentant. Atacatorii pot lăsa la vedere, în incinta școlii, un stick USB sau un CD inscripționat cu ceva de genul “Liste elevi bursă” sau “Poze serbare - 2023”. Din curiozitate, cineva l-ar putea conecta la calculator, introducând astfel malware în rețea. O altă formă de baiting online este oferirea de resurse aparent utile (ex: un program gratuit pentru orar școlar) care însă conține un virus.
- Atacul de tip CEO (șef) – Atacatorul imitӑ identitatea unei persoane cu funcție înaltă (director, inspector școlar) și dă instrucțiuni personalului subaltern. De exemplu, un secretar de școală poate primi un e-mail dintr-o adresă asemănătoare cu a directorului (diferența poate fi abia sesizabilă, precum o literă schimbată) prin care i se cere trimiterea de “urgență” a bazei de date cu elevii către un anumit destinatar. Sub presiunea autorității și a urgenței, secretarul ar putea să nu verifice autenticitatea cererii și să trimită datele.
- Social media phishing – Profesorii sau elevii pot primi mesaje pe platforme sociale de la conturi false (cineva pretinzând a fi un coleg, un părinte sau un cunoscut) care cer diverse informații sau distribuie link-uri. De asemenea, conturile de rețele sociale pot fi sparte dacă utilizatorii cad pradă unor pagini de login false. Un studiu recent indică faptul că aproximativ 20% dintre copiii moldoveni de 12-15 ani au experimentat compromiterea contului lor pe rețele de socializare[18], ceea ce arată prevalența acestor atacuri și importanța vigilenței.
Măsuri de prevenire și apărare:
- Conștientizare și educație continuă: Cel mai bun mod de a combate ingineria socială este educarea utilizatorilor. Școlile ar trebui să organizeze sesiuni periodice de informare pentru personal despre cele mai noi tipuri de fraude online și semnele lor distinctive. Exersați cu exemple concrete: analizați în colectiv mesaje suspecte (fără a face click pe ele efectiv) și identificați împreună indiciile de phishing (greșeli gramaticale, adrese de e-mail dubioase, tonul de urgență nejustificată etc.). Un personal bine instruit va fi mult mai puțin probabil să cadă în capcană.
- Politica “zero divulgare” a datelor sensibile: Stabiliți în mod clar că parolele, codurile de autentificare și datele personale sensibile nu se comunică niciodată prin e-mail, telefon sau SMS, indiferent cine le solicită. Administratorii IT nu vor cere niciodată parola personală a unui utilizator – dacă cineva pretinde contrariul, e aproape sigur o tentativă de atac.
- Proceduri de verificare a identității: Instituiți regula verificării printr-un al doilea canal. Dacă un profesor primește un e-mail neobișnuit de la director, să îl sune pe director direct pentru confirmare. Dacă secretariatul primește un apel ce solicită date confidențiale, să ceară un nume și să returneze apelul prin centrală sau la numărul oficial al instituției din care pretinde că face parte apelantul. Atacatorii se grăbesc adesea să obțină informații – încetiniți procesul și verificați autenticitatea.
- Protecția identității online: Cadrele didactice ar trebui să fie atente la informațiile personale pe care le fac publice pe internet. Un atacator poate folosi date aparent inofensive (de exemplu, lista profesorilor de pe site-ul școlii, postări de pe rețele sociale despre programul școlii) pentru a crea pretexte credibile. Este indicat ca profesorii să își seteze profilurile de pe rețelele sociale la un nivel de confidențialitate ridicat și să evite expunerea excesivă a datelor despre locul de muncă și rutină.
- Utilizarea autentificării multi-factor (MFA): Implementați pe cât posibil 2FA la conturile de e-mail ale școlii sau la platformele educaționale folosite. Astfel, chiar dacă un atacator reușește să afle o parolă prin phishing, nu va putea accesa contul fără al doilea factor (de ex. codul de pe telefon).
- Simulări de atac: O metodă eficientă de antrenament este organizarea de teste de tip "phishing simulation" în intern: să se trimită e-mailuri false, controlat, către personal pentru a vedea cine face click și cine raportează. Desigur, scopul nu este de a pedepsi pe nimeni, ci de a identifica punctele slabe și de a crește vigilența. După astfel de exerciții, discutați rezultatele și reiterați bunele practici.
- Raportarea incidentelor tentate: Creați un canal intern (de exemplu, un grup dedicat pe chat-ul instituției sau o adresă de e-mail specială) unde personalul poate semnala imediat dacă primește un mesaj suspect. Astfel, toți ceilalți vor fi alertați și nu vor cădea în plasa acelui atac. Cultura organizațională trebuie să îi încurajeze pe oameni să raporteze fără teamă sau rușine – oricine poate fi vizat de un atac bine făcut.
Ingineria socială este în continuă evoluție, însă bazele rămân aceleași: exploatarea încrederii și a emoțiilor umane (teama, lăcomia, curiozitatea). Prin vigilență și prin aplicarea regulilor de mai sus, personalul școlii se poate proteja și poate proteja, implicit, întreaga infrastructură școlară de o serie întreagă de incidente. De asemenea, profesorii, odată ce au dobândit aceste cunoștințe, le pot transmite mai departe elevilor, integrând exemple de inginerie socială în lecții de educație civică sau informatică, contribuind astfel la formarea unor utilizatori tineri precauți și greu de manipulat.
Capitolul 4: Securitatea dispozitivelor și infrastructurii IT
O instituție de învățământ modernă se bazează pe o infrastructură IT variată: computere pentru personal și elevi, laptopuri, tablete, servere (ex. pentru catalogul electronic sau site-ul școlii), echipamente de rețea (routere Wi-Fi, switch-uri), imprimante în rețea, sisteme de supraveghere video etc. Fiecare dintre aceste componente reprezintă o potențială poartă de intrare pentru amenințări cibernetice dacă nu este securizată corespunzător. Administratorii și profesorii (în special cei responsabili de laboratoarele de informatică) trebuie să colaboreze pentru a implementa măsuri de securitate tehnică solide, menținând totodată funcționalitatea necesară procesului educațional.
Inventarierea și controlul accesului: Primul pas este cunoașterea exactă a echipamentelor și sistemelor folosite în școală. Se recomandă întocmirea unui inventar IT care să includă: configurațiile calculatoarelor (inclusiv sistem de operare și versiuni de software), adresele IP ale dispozitivelor din rețea, conturile de utilizator existente pe fiecare sistem și nivelurile lor de acces. Pe baza acestui inventar, se pot aplica politicile de control al accesului: fiecare utilizator (profesor, elev, personal administrativ) ar trebui să aibă un cont propriu, cu privilegii adecvate rolului. Accesul de administrator pe calculatoare să fie rezervat strict persoanelor autorizate pentru administrare IT. Când un angajat părăsește instituția sau un elev absolvă, conturile lor de acces la resursele școlii trebuie dezactivate sau șterse prompt (procedură de de-provisioning).
Actualizări și patch-uri: O măsură esențială pentru securitatea oricărui dispozitiv este menținerea lui la zi. Sistemele de operare (Windows, Linux etc.) și aplicațiile instalate (suite office, browsere, software educațional) trebuie configurate să primească update-uri regulate. Vulnerabilitățile cunoscute sunt adesea exploatate automat de viruși și atacatori, de aceea update-urile periodice reduc semnificativ riscul de infecții. Administratorul IT ar trebui să verifice lunar (sau să automatizeze) instalarea actualizărilor critice pe toate stațiile. În cazul sistemelor mai vechi, care nu mai primesc suport (ex: computere ce rulează Windows 7 sau mai vechi), se impune planificarea înlocuirii sau, dacă nu e posibil imediat, izolarea lor de rețeaua principală (pentru a nu deveni o verigă slabă).
Antivirus și anti-malware: Toate calculatoarele din școală ar trebui să aibă instalată o soluție antivirus actualizată zilnic. Multe produse de securitate comerciale oferă gratuit licențe pentru instituții educaționale sau există soluții gratuite reputabile. Antivirusul trebuie configurat să efectueze scanări programate (cel puțin săptămânal) și să monitorizeze în timp real fișierele descărcate sau introduse de pe stick-uri USB. De asemenea, este utilă activarea unei politici de restricționare a rulării programelor neautorizate (de ex. Windows Defender are funcționalitatea de Controlled Folder Access și AppLocker care pot împiedica executarea ransomware-ului în locații nepermise).
Securitatea rețelei interne: Rețeaua IT a școlii trebuie segmentată și protejată:
- Parola Wi-Fi puternică: Dacă școala oferă conectivitate wireless, rețeaua destinată personalului ar trebui să fie protejată cu o parolă puternică (și schimbată periodic, cel puțin o dată pe an sau când cineva părăsește instituția și a cunoscut parola). Ideal, elevilor și oaspeților li se poate oferi o rețea Wi-Fi separată (o rețea de tip guest, izolată de resursele interne precum serverul de fișiere al școlii sau imprimantele).
- Criptarea traficului: Trebuie utilizat un standard de criptare modern (WPA2 sau WPA3) pentru rețelele wireless. WEP sau WPA1 sunt depășite și pot fi sparte ușor, punând în pericol traficul.
- Firewall și filtrare: Dacă există un firewall hardware dedicat (sau cel puțin cel integrat în routerul de internet), acesta trebuie configurat să blocheze conexiunile neautorizate din exterior. De asemenea, ar fi util să se implementeze filtre pentru a bloca accesul către site-uri malițioase cunoscute – fie prin setarea DNS-urilor securizate (unele servicii DNS publice oferă filtrare de securitate și familie), fie prin soluții de tip web filtering. Multe dintre acestea pot fi implementate gratuit sau cu cost redus în medii educaționale.
- Segmentarea rețelei: Calculatoarele din laboratorul de informatică folosite de elevi ar trebui, pe cât posibil, izolate de rețeaua administrativă (unde se află computerele de secretariat sau ale conducerii). Astfel, dacă un elev descarcă accidental un malware, acesta să nu poată propaga cu ușurință către mașinile cu date sensibile. Segmentarea se poate face prin VLAN-uri sau cel puțin prin rețele Wi-Fi separate, după cum s-a menționat.
- Monitorizarea traficului: Deși poate fi peste posibilitățile tehnice ale unei școli mici, dacă există personal IT dedicat, se pot folosi și instrumente de monitorizare a rețelei care să alerteze la comportamente anormale (ex: volum de trafic foarte mare brusc, care ar putea indica un atac de tip DDoS sau o exfiltrare de date).
Backup (copii de siguranță) și recuperare: Protecția infrastructurii nu se referă doar la prevenirea intruziunilor, ci și la asigurarea că, în caz de defecțiuni sau atacuri, datele pot fi recuperate. Fiecare instituție trebuie să realizeze periodic backup-uri ale datelor importante: baze de date școlare, documente administrative, arhive de documente școlare digitalizate etc. Este util să se stabilească un plan de backup (zilnic sau săptămânal, în funcție de cât de des se modifică datele). Identificați datele critice fără de care instituția nu ar putea funcționa normal (de exemplu, evidențele elevilor, copiile după actele de studii, arhivele de documente oficiale) și asigurați-vă că acestea intră în rutina de backup[19]. Copiile de rezervă trebuie stocate separat de sistemul original: ideal, pe un dispozitiv extern care nu rămâne conectat permanent la calculator sau într-un cloud securizat[20]. Astfel, dacă un ransomware infectează sistemul principal, nu va putea cripta și backup-ul. STISC recomandă restricționarea accesului la copiile de rezervă și deconectarea lor de la rețea, subliniind că ransomware-ul se poate răspândi automat către spațiile de stocare atașate, ceea ce ar putea lăsa instituția fără nicio copie de siguranță valabilă[21]. O măsură suplimentară de siguranță este păstrarea unei copii de backup offline sau într-o altă locație fizică (de exemplu, un hard disk extern depozitat în altă clădire), pentru a preveni și pierderea datelor în caz de furt sau dezastru (incendiu, inundație la sediul școlii)[21].
- Backup în cloud: Utilizarea serviciilor de stocare în cloud poate oferi un nivel înalt de disponibilitate și redundanță a datelor. Dacă instituția dispune de conexiune bună la internet, se pot folosi soluții cloud (precum Google Drive, OneDrive etc., preferabil pe conturi instituționale) pentru a salva automat documentele cheie. Avantajul este că datele sunt păstrate fizic într-o altă infrastructură, securizată profesional, iar spațiul gratuit oferit de unii furnizori poate fi suficient pentru nevoile unei școli[22]. Totuși, și aceste copii în cloud trebuie protejate cu autentificare adecvată (ideal multi-factor) pentru a preveni accesul neautorizat la ele.
Mentenanță și bune practici zilnice:
- Parole puternice: Orice cont de utilizator (fie pe calculator, fie pe aplicațiile online ale școlii) trebuie protejat cu parolă puternică (minimum 8-10 caractere, litere mari/mici, cifre, simboluri) și schimbată periodic (ex. la fiecare semestru). Parolele implicite furnizate de producători pe echipamente (de ex., la routere “admin/admin”) trebuie schimbate imediat la instalare.
- Blocarea stațiilor: Personalul trebuie instruit să blocheze sesiunile (lock screen) când părăsește biroul sau sala de clasă, pentru a nu lăsa calculatoarele logate nesupravegheate. De asemenea, se pot configura stațiile să se blocheze automat după o perioadă scurtă de inactivitate.
- Minimizarea software-ului instalat: Pe calculatoarele școlii ar trebui să ruleze doar software necesar activităților. Orice program în plus mărește suprafața de atac. De exemplu, dacă un profesor dorește să instaleze un program nou, ar trebui să consulte mai întâi administratorul IT. De asemenea, folosiți doar software din surse oficiale și licențiat corespunzător – software-ul piratat poate conține malware ascuns și, în plus, utilizarea lui violează legea drepturilor de autor.
- Întreținerea echipamentelor: Echipamentele IT necesită și ele întreținere hardware. Ventilația calculatoarelor și a serverelor trebuie verificată (supraincalzirea poate duce la defecțiuni și pierderi de date). Bateriile UPS (surse de energie neîntreruptibilă) ar trebui înlocuite conform recomandărilor, astfel încât la o pană de curent serverele să nu cadă brusc, provocând coruperea datelor.
- Testarea periodică a backup-urilor: Nu este suficient să faci copii de siguranță – trebuie să te asiguri că ele și funcționează. Periodic, realizați un exercițiu de restaurare a unui backup pe un sistem de test, pentru a verifica integritatea datelor salvate și a vă familiariza cu procedura de recuperare.
Securitatea fizică: Protejarea infrastructurii IT are și o componentă fizică. Sala de servere sau dulapul de rețea (unde se află routerele, switch-urile) trebuie încuiate pentru a preveni accesul neautorizat. Accesul la aceste zone ar trebui limitat doar la personalul tehnic. Echipamentele portabile (laptopuri, proiectoare) trebuie depozitate în spații sigure atunci când nu sunt folosite, pentru a preveni furtul. Camerele de supraveghere, dacă există, ar trebui orientate și către zonele cu echipamente critice. De asemenea, trebuie planificate verificări regulate ale cablării și porturilor de rețea – un dispozitiv necunoscut introdus într-un port liber din clasă (de ex. un mic dispozitiv de tip Raspberry Pi compromis) ar putea intercepta trafic sau crea un punct de acces neautorizat.
Prin aplicarea consecventă a acestor măsuri, infrastructura IT a școlii va fi mult mai rezilientă în fața atacurilor cibernetice și a incidentelor accidentale. Securizarea dispozitivelor și a rețelei nu este o activitate “set and forget”, ci un proces continuu: apar mereu noi vulnerabilități, iar tehnologia evoluează. De aceea, este important ca instituția să actualizeze periodic politicile IT și să aloce resurse (timpul personalului tehnic, buget pentru echipamente noi) pentru menținerea unui nivel ridicat de securitate.
Capitolul 5: Utilizarea sigură a rețelelor sociale și aplicațiilor educaționale
Rețelele sociale și platformele online au devenit instrumente omniprezente în comunicare și educație. Profesorii și elevii folosesc adesea Facebook, Instagram, YouTube, WhatsApp, Telegram sau platforme dedicate învățării (Google Classroom, Microsoft Teams, Zoom, etc.) pentru a colabora, a distribui informații sau a desfășura activități educative. Aceste tehnologii oferă oportunități valoroase, dar vin și cu riscuri la adresa confidențialității și securității dacă nu sunt folosite corect. În acest capitol vom aborda două aspecte majore: (1) modul în care instituția și personalul pot gestiona în siguranță prezența pe rețelele sociale, și (2) utilizarea responsabilă a aplicațiilor educaționale și platformelor online în procesul didactic.
Profilurile și paginile oficiale ale instituției: Multe școli și licee aleg să aibă pagini oficiale pe rețele sociale (de exemplu, o pagină de Facebook a școlii) pentru a comunica cu părinții și publicul larg evenimente, anunțuri sau reușite. Administrarea acestor pagini trebuie făcută cu grijă:
- Pagina oficială ar trebui înregistrată pe numele instituției și legată de o adresă de e-mail oficială. Ideal, să existe doi sau mai mulți administratori desemnați (de ex. directorul și un profesor responsabil de imagine) pentru backup, însă accesul să fie strict controlat.
- Se vor aplica setări de confidențialitate adecvate: de exemplu, cine poate posta pe pagină, cine poate lăsa comentarii; moderarea comentariilor este importantă pentru a șterge conținutul nepotrivit (limbaj obscen, date personale despre elevi postate public etc.).
- Conținutul publicat trebuie să respecte drepturile elevilor: nu se vor publica date personale detaliate (liste cu note nominale, adrese), fotografii cu minori identificabili fără consimțământul părinților, sau informații care i-ar putea pune în pericol sau stigmatiza. Orice fotografie sau material multimedia cu elevi ar trebui să aibă acordul scris al părinților (obținut la început de an școlar, conform reglementărilor MEC) și să fie prezentat într-un context pozitiv, educațional.
- Instituția ar trebui să urmeze liniile oficiale pentru comunicarea online. Conform cerințelor aprobate prin Hotărârea Guvernului nr. 728/2023, instituțiile publice trebuie să administreze paginile web și profilurile de pe rețelele sociale într-un mod profesionist, asigurând actualizarea informațiilor și respectarea unei prezentări unitare a identității vizuale[23]. De exemplu, pagina școlii ar trebui să afișeze clar denumirea oficială, sigla (dacă există) și datele de contact verificate ale instituției, pentru a diferenția pagina autentică de eventuale conturi false.
- Securitatea accesului la pagină: Administratorii paginii trebuie să folosească autentificare cu doi factori pe conturile lor, pentru a preveni compromiterea paginii de către hackeri (care ar putea posta ulterior mesaje indecente sau de dezinformare). Parolele conturilor de administrare vor fi puternice și diferite de cele folosite în alte scopuri. În cazul rotației de personal (ex: profesorul responsabil pleacă din școală), asigurați-vă că i se retrage calitatea de admin și că parolele au fost schimbate.
Prezența online a cadrelor didactice: Profesorii, în calitatea lor de formatori, trebuie să fie conștienți că activitatea lor pe rețelele sociale poate avea un impact asupra elevilor și imaginii școlii. Câteva recomandări:
- Se recomandă menținerea unei separări între profilul personal și viața profesională. Mulți profesori aleg să nu își adauge elevii minori ca “prieteni” pe conturile personale de Facebook/Instagram, pentru a păstra limite sănătoase. Dacă totuși folosesc rețelele sociale pentru comunicare cu elevii (de ex. un grup de Facebook al clasei), atunci să creeze un profil dedicat sau să utilizeze setări stricte de confidențialitate pentru conținutul personal.
- Conținutul postat public: Cadrele didactice ar trebui să fie prudente în a posta online opinii sau fotografii care ar putea fi considerate nepotrivite pentru statutul lor (de exemplu, comentarii jignitoare, conținut explicit). Există de obicei coduri etice care se aplică profesorilor și în mediul online – orice postare publică poate fi văzută de părinți sau elevi și interpretată în mod negativ. Așadar, profesionalismul trebuie păstrat și pe internet.
- Setări de confidențialitate: Este esențial ca profesorii să își configureze profilele astfel încât informațiile personale (fotografii de familie, număr de telefon, lista de prieteni) să nu fie vizibile decât persoanelor de încredere. Platformele sociale oferă numeroase opțiuni de securitate – acestea trebuie folosite (de exemplu, aprobarea manuală a etichetărilor în poze, limitarea audienței pentru postări doar la prieteni etc.). STISC subliniază importanța examinării atente a setărilor de confidențialitate pe dispozitivele și aplicațiile folosite și aplicarea celor mai bune practici pentru o utilizare securizată a rețelelor de socializare[24]. Un mic audit personal al conturilor (cine îmi vede profilul, ce aplicații au acces la datele mele) efectuat periodic poate preveni scurgeri involuntare de informații.
- Comunicarea cu elevii prin chat/aplicații: Multe clase își creează grupuri pe WhatsApp, Viber, Messenger ș.a. pentru a transmite rapid informații (orar, teme). Profesorii implicați în astfel de grupuri trebuie să stabilească de la început reguli de utilizare (spre ex.: intervale orare permise pentru mesaje, limbaj adecvat, interdicția de a distribui meme-uri ofensatoare sau știri neconfirmate). De asemenea, profesorul ar trebui să fie administratorul grupului, pentru a putea elimina conținut sau membri dacă apare o problemă. Dacă un elev distribuie material nepotrivit, se va discuta imediat și se va lua măsura corectivă conform regulamentului școlar (aceste situații intră și sub incidența capitolului de disciplină și combatere a hărțuirii).
- Consilierea elevilor privind rețelele sociale: Cadrele didactice pot juca un rol proactiv educând elevii despre autoprotecție pe rețele sociale. De exemplu, la orele de dirigenție pot fi abordate subiecte ca: ce informații să nu postezi niciodată public (date personale, imagini intime), riscurile challenge-urilor de pe TikTok, importanța verificării surselor înainte de a distribui o știre etc. Profesorii pot recomanda elevilor resurse utile, cum ar fi portalul SigurOnline.md, care oferă sfaturi pentru siguranța copiilor pe internet și posibilitatea de a raporta conținut dăunător.
Aplicații și platforme educaționale online:
- În ultimii ani, instrumentele digitale de învățare au devenit indispensabile. Utilizarea lor trebuie însă însoțită de măsuri pentru protejarea datelor elevilor și a integrității procesului educațional:
- Platforme autorizate: Se recomandă folosirea aplicațiilor agreate de Ministerul Educației sau de instituție, care au termeni de utilizare conformi cu cerințele de protecție a datelor. De exemplu, Google Workspace for Education sau Microsoft 365 oferă acorduri speciale pentru școli, asigurând că datele elevilor sunt protejate. Dacă un profesor dorește să introducă o nouă aplicație în procesul didactic, ar trebui consultată conducerea și (dacă este cazul) responsabilul cu protecția datelor, pentru a evalua riscurile. Aplicațiile gratuite necunoscute, care cer crearea de conturi elevilor, pot ascunde colectări de date indezirabile sau conținut nepotrivit.
- Securitatea claselor virtuale: Pentru videoconferințe (ex: ore online pe Zoom sau Microsoft Teams), folosiți mereu opțiunile de securitate: protejarea întâlnirii cu parolă, activarea sălii de așteptare (astfel încât profesorul să admită manual participanții cunoscuți), dezactivarea camerei și microfonului pentru participanți în afara orelor programate. Niciun link de curs online nu ar trebui postat pe rețele publice unde pot fi accesate de intruși (fenomenul “zoom-bombing” – intrarea unor perturbatori la ore – poate fi prevenit astfel). Profesorii trebuie să se autentifice ca gazdă cu contul lor și să nu împărtășească drepturile de moderare decât cu colegii asistenți dacă este cazul.
- Protejarea datelor elevilor în platforme: Când folosiți un catalog electronic sau o platformă de management al învățării (LMS), verificați cine are acces la datele personale ale elevilor și notelor. Setările de permisiuni trebuie configurate corect (de exemplu, elevii să nu poată vedea datele altor elevi, părinții să aibă acces doar la situația propriului copil etc.). Parolele de acces pentru elevi și părinți la astfel de platforme trebuie distribuite în siguranță (ideal, individual, nu prin liste la vedere) și recomandat schimbate la prima utilizare.
- Stocarea și partajarea materialelor didactice: Multe cadre utilizează Google Drive, OneDrive sau alte servicii cloud pentru a stoca cursuri, teme, proiecte ale elevilor. Este important ca atunci când se partajează un document cu elevii, link-ul să fie setat cu acces doar pentru aceștia (și eventual protejat prin autentificare, nu “public pe internet”). Dacă se folosește email-ul pentru trimiterea temelor, asigurați-vă că adresele destinatarilor sunt corecte și folosiți opțiunea de BCC când trimiteți același mesaj către toată clasa, ca să nu expuneți adresele tuturor către toți.
- Respectarea proprietății intelectuale și a licențelor: O componentă a utilizării responsabile a aplicațiilor este și respectarea legii drepturilor de autor. În prezentări sau materiale online folosite la clasă, citați sursele imaginii sau textelor preluate și folosiți resurse cu licență liberă (acolo unde e posibil). De asemenea, școala ar trebui să aibă licențe corespunzătoare pentru software-ul educațional folosit; pe lângă legalitate, acest lucru asigură și actualizări de securitate de la producători.
- Managementul dispozitivelor elevilor: Dacă școala derulează programe BYOD (bring your own device) – unde elevii vin cu tablete/laptopuri proprii – ar trebui emise îndrumări privind securitatea acestor dispozitive pe durata conectării la rețeaua școlii. De exemplu, solicitarea instalării unui antivirus, folosirea exclusivă a rețelei Wi-Fi a școlii (care este filtrată) și nu a datelor mobile nesupravegheate în timpul orelor, etc. Pentru dispozitivele puse la dispoziție de școală (tablete pentru elevi, laptopuri de clasă), ar fi ideal să existe un sistem de management centralizat (MDM) prin care să se poată instala/dezinstala aplicații autorizate și să se impună restricții (ex: blocarea instalării de aplicații noi fără aprobarea adminului). Astfel de soluții pot fi implementate gradual, în funcție de buget și capacitate tehnică, dar chiar și setările implicite ale sistemelor de operare mobile (Android/iOS) oferă anumite opțiuni de control parental/educațional ce pot fi activate.
Cazuri speciale – streaming și publicarea online de conținut educațional:
În contextul unor evenimente precum lecții transmise online public (de exemplu, în pandemie, unele lecții naționale au fost difuzate la TV sau pe YouTube) sau al promovării imaginii școlii prin filmări de la serbări, trebuie luate măsuri suplimentare. Asigurați-vă că oricine apare în materialele video a consimțit (sau părinții lor, în cazul elevilor minori). Evitați să menționați date personale ale copiilor în aceste filmări. Dacă elevii interacționează live online în public, pregătiți-i în prealabil cu privire la regulile de comportament și confidențialitate (ex: să nu-și divulge adresa, numărul de telefon în cadrul transmisiunii).
În concluzie, rețelele sociale și aplicațiile educaționale pot fi aliați valoroși ai educației, cu condiția să fie folosite într-un mod controlat și responsabil. Școlile din Republica Moldova sunt încurajate să profite de avantajele digitalizării, dar în paralel să cultive o cultură a siguranței digitale, în care atât cadrele didactice cât și elevii cunosc regulile jocului online. Prin configurarea corectă a setărilor de confidențialitate, prin adoptarea aplicațiilor cu grijă față de datele personale și prin menținerea unei conduite etice în spațiul virtual, comunitatea școlară se va bucura de beneficiile tehnologiei reducând la minimum expunerea la riscuri.
Capitolul 6: Managementul incidentelor cibernetice în instituții educaționale
Oricât de solide ar fi măsurile de securitate implementate, niciun sistem nu este complet imun la incidente. Modul în care o instituție reacționează la un incident de securitate cibernetică poate face diferența între limitarea rapidă a daunelor sau, dimpotrivă, agravarea situației. Un incident cibernetic poate lua mai multe forme: infectarea calculatoarelor cu un virus sau ransomware (care criptează datele și cere recompensă), acces neautorizat la conturile de e-mail sau la platformele școlii, pierderea sau furtul unui dispozitiv ce conține date sensibile, defăimarea site-ului web al școlii (de tip website defacement), sau chiar divulgarea intenționată a datelor de către un angajat sau elev.
Pregătirea pentru incidente: Primul pas în managementul incidentelor este să existe un plan de răspuns prestabilit. Conducerea școlii împreună cu responsabilul IT și, dacă există, responsabilul cu protecția datelor, ar trebui să elaboreze o procedură clară care să răspundă la întrebări precum: Cine trebuie anunțat imediat când apare un incident?; Ce acțiuni imediate trebuie luate?; Cine are autoritatea de a decide deconectarea unui sistem sau suspendarea unor activități?; Cum se comunică cu părțile afectate (părinți, elevi) și cu autoritățile? Acest plan poate fi un document scurt, dar ar trebui să fie cunoscut de toți factorii de decizie din instituție.
1. Detectarea și identificarea incidentului: Personalul trebuie instruit să recunoască semnele unui posibil atac sau ale unei breșe. De exemplu, apariția bruscă a unor mesaje de eroare ciudate, fișiere care devin inaccesibile (posibil criptate), calculatorul care încetinește foarte tare (simptom de malware care rulează în fundal), sau observația că un cont a efectuat acțiuni neobișnuite (mesaje trimise pe email fără știrea utilizatorului). Elevii, de asemenea, ar trebui încurajați să raporteze imediat profesorilor dacă observă incidente (de exemplu, dacă site-ul școlii afișează conținut nepotrivit sau dacă primesc mesaje suspecte în numele școlii). Odată ce există o suspiciune, se trece rapid la etapa următoare.
2. Limitarea răspândirii (containment): Scopul imediat este de a izola problema pentru a nu se extinde. Dacă un anumit calculator pare infectat, acesta trebuie deconectat rapid de la rețea (scoaterea cablului de rețea sau dezactivarea conexiunii Wi-Fi) și, dacă e posibil, oprit pentru a preveni acțiuni suplimentare ale malware-ului. Dacă se constată că un cont de utilizator a fost compromis (de ex., un profesor constată că cineva i-a accesat contul de email), se va bloca acel cont sau i se va schimba parola imediat. Limitarea implică și izolarea segmentelor afectate: de exemplu, dacă un virus s-a răspândit în laboratorul de informatică, deconectați acel laborator de la restul rețelei școlare până la curățare. Este de preferat ca școlile să fi stabilit din timp cum pot realiza aceste deconectări (cine știe să acceseze panoul router-ului, de exemplu, pentru a opri conexiunea la internet sau segmentul Wi-Fi).
3. Notificarea și escaladarea: Conform principiului “time is of the essence”, imediat după limitarea temporară a efectelor, incidentul trebuie comunicat celor relevanți:
- Intern: Directorul și echipa de conducere trebuie informați deîndată. Dacă incidentul afectează procesul educațional (ex: indisponibilitatea platformei de predare online) sau siguranța elevilor (ex: datele personale ale elevilor au fost furate), atunci se poate convoca o ședință de urgență a consiliului de administrație al școlii pentru decizii strategice (precum suspendarea temporară a anumitor activități, anunțarea părinților).
- Autorități și suport extern: În Republica Moldova, echipa națională de răspuns la incidente cibernetice este Agenția pentru Securitate Cibernetică (CERT), operaționalizată recent. Este recomandat ca instituțiile publice să raporteze incidentele semnificative către CERT național, care poate oferi consultanță tehnică și coordonare[25]. STISC pune la dispoziție un portal și punct de contact pentru raportarea incidentelor de securitate[26]. De exemplu, dacă școala devine ținta unui atac de tip ransomware la nivel extins, raportarea către CERT (prin formularul online sau telefonic) poate aduce asistența experților guvernamentali și poate ajuta la alertarea altor instituții asupra campaniei de atac aflate în desfășurare.
- Autoritățile legii: Dacă incidentul are elemente de infracțiune (hacking deliberat, șantaj cibernetic cum e ransomware-ul, distribuirea neautorizată a datelor cu caracter personal etc.), este necesară și implicarea organelor de poliție (de exemplu, Centrul pentru Combaterea Crimelor Informatice din cadrul Inspectoratului General al Poliției). Ei pot lansa investigații oficiale. Trebuie păstrate dovezi (log-uri, emailuri, capturi de ecran) pentru anchetă.
- Autoritatea de protecție a datelor: După cum s-a menționat în Capitolul 2, dacă incidentul implică pierderea sau divulgarea de date cu caracter personal, școala are obligația legală să notifice Centrul Național pentru Protecția Datelor cu Caracter Personal în decurs de 72 de ore. Această notificare este separată de raportarea către CERT și se concentrează pe impactul asupra datelor personale.
- Comunicarea cu părțile afectate: O componentă delicată este informarea părinților, elevilor sau angajaților ale căror date sau procese sunt afectate. Transparența este importantă pentru a menține încrederea. De exemplu, dacă catalogul electronic nu funcționează din cauza unui atac, părinții și elevii ar trebui informați că există probleme tehnice și că se lucrează la rezolvare, ca să nu apară panică sau zvonuri. Dacă datele unor elevi (ex. listele cu nume și IDNP) au ajuns publice, părinții acelor elevi trebuie informați despre ce s-a întâmplat și ce măsuri se iau (chiar dacă e o situație neplăcută, ascunderea adevărului ar fi mult mai gravă dacă iese ulterior la iveală). Un ton calm, faptic și empatic în comunicare este esențial.
4. Eradicarea problemei: Odată ce incidentul a fost limitat și raportat, vine etapa de a elimina amenințarea. Dacă a fost vorba de un malware, se vor scana și curăța sistemele afectate folosind unelte antivirus/anti-malware actualizate. În unele cazuri poate fi necesară reinstalarea completă a sistemelor compromise (pentru siguranță). Se vor șterge conturile create de atacatori, se vor elimina accesul și backdoor-urile lăsate. Dacă site-ul web a fost compromis, se va trece temporar offline, se va reinstala o versiune curată și se va închide vulnerabilitatea exploatată (ex: actualizarea platformei web). Este important ca eradicarea să fie făcută temeinic, altfel riscul de reinfecție este ridicat.
5. Recuperarea și reluarea activităților: După eliminarea cauzelor, trebuie restaurată funcționalitatea normală:
- Restaurarea datelor din backup: Dacă incidentul a cauzat pierdere de date (ex: fișiere corupte sau criptate de ransomware), se vor folosi copiile de siguranță pentru a restaura datele la starea anterioară atacului. De aici se vede importanța backup-urilor regulate (Capitolul 4). Prioritizați restaurarea sistemelor critice întâi (ex: contabilitatea școlii înaintea calculatoarelor din laborator).
- Schimbarea parolelor și reautentificare: Ca măsură de precauție, după un incident major (cum ar fi compromiterea conturilor), toți utilizatorii vizați ar trebui să își schimbe parolele. Dacă nu se cunoaște exact amploarea, poate fi prudentă o resetare generală a parolelor pe serviciul afectat (ex: tot personalul schimbă parola de e-mail). De asemenea, se va verifica dacă a rămas vreun cont necunoscut în sisteme (atacatorii uneori creează conturi pentru acces ulterior).
- Monitorizare sporită: În perioada imediat următoare recuperării, se recomandă supraveghere mai intensă a sistemelor, pentru a detecta orice semn că atacatorul încearcă să revină sau că malware-ul nu a fost complet eliminat. Log-urile serverelor, traficul rețelei și comportamentul stațiilor de lucru ar trebui ținute sub observație câteva săptămâni.
- Reluarea treptată a activității: Dacă anumite servicii au fost oprite (de exemplu, internetul în școală sau accesul la e-mail), acestea se vor reporni treptat, după ce s-au aplicat remedierile. Este util să comunicați personalului când “totul este în regulă” și se poate continua activitatea normală, eventual cu instrucțiuni dacă e cazul (ex: “vă rugăm ca astăzi fiecare să-și verifice PC-ul că antivirusul este activ și actualizat înainte de reconectare la rețea”).
6. Analiza post-incident și învățare din greșeli: După gestionarea urgenței, conducerea instituției ar trebui să se aplece asupra incidentului într-o ședință de debrief. Întrebări de analizat: Cum a avut loc incidentul? Ce vulnerabilitate sau eroare umană a permis producerea lui? Poate un profesor a dat click pe un phishing – deci apare nevoia de instruire suplimentară (Cap.3). Poate un server nu era actualizat – deci procedurile de mentenanță trebuie îmbunătățite (Cap.4). Rezultatul acestei analize ar trebui să fie un plan de acțiuni corective: actualizarea politicilor de securitate, sancționarea disciplinară dacă a fost un caz grav de neglijență, sau investiții în echipamente mai sigure. Totodată, informațiile despre incident pot fi valorificate (fără a divulga detalii sensibile) în beneficiul comunității școlare: de pildă, la următoarea consfătuire raională a directorilor se poate împărtăși experiența, pentru ca și alte școli să își ia măsuri (solidaritatea și schimbul de bune practici sunt esențiale în domeniul securității cibernetice).
În sfera securității IT se spune adesea că “nu e vorba dacă vei suferi un incident, ci când”. Așadar, pregătirea și capacitatea de reacție rapidă sunt cheia. O instituție educațională care are un plan de răspuns la incidente, personal instruit să nu intre în panică și contacte stabilite cu autoritățile de specialitate va putea depăși cu pagube minime un atac cibernetic. Pe de altă parte, lipsa de pregătire poate duce la confuzie, pierderi masive de date și afectarea gravă a activității școlare. Acest capitol ne reamintește că securitatea cibernetică nu înseamnă doar prevenție, ci și reziliență – capacitatea de a reacționa prompt și de a reveni la normalitate.
Capitolul 7: Ghid de comunicare cu elevii și părinții privind riscurile online
Protejarea elevilor în mediul online nu poate fi realizată doar prin măsuri tehnice și reguli – este nevoie, în egală măsură, de educație și comunicare. Școala are un rol central în a ghida atât copiii, cât și părinții, spre o înțelegere corectă a riscurilor digitale și a comportamentelor sigure pe internet. Acest capitol oferă recomandări despre cum cadrele didactice și administratorii pot aborda în mod eficient discuțiile despre siguranța online cu elevii și familiile lor, construind astfel un parteneriat pentru binele copiilor.
1. Crearea unui climat de încredere și deschidere:
Elevii trebuie să simtă că școala este un spațiu unde pot vorbi deschis despre experiențele lor online, fără teamă de a fi judecați sau pedepsiți pe nedrept. Pentru aceasta:
- Încurajați un dialog sincer la clasă despre internet. Întrebați elevii ce platforme și jocuri folosesc, ce provocări întâlnesc (de exemplu, dacă au dat peste conținut care i-a speriat sau dacă cineva i-a abordat nepotrivit online). Ascultați-le relatările cu seriozitate și empatie.
- Asigurați-i că oricând se simt nesiguri sau hărțuiți în mediul online, pot apela la un adult de încredere (profesor, părinte, consilier școlar). Reiterați că raportarea unei probleme nu le va atrage necazuri, ci dimpotrivă, este un act de curaj și responsabilitate.
- Puteți stabili în școală o persoană (sau o echipă) de contact pentru siguranța online – de exemplu, psihologul școlar sau diriginții – la care elevii știu că pot veni confidențial să discute probleme cum ar fi cyberbullying-ul, dependența de jocuri video, sau orice incident online. Această persoană poate fi formată suplimentar pe subiect (prin cursuri, materiale de la ONG-uri specializate) pentru a oferi primele sfaturi și a ști când să direcționeze cazul către specialiști.
2. Educația elevilor despre riscurile online (pe grupe de vârstă):
Tematica siguranței pe internet ar trebui integrată în activitățile educative, adaptată nivelului de vârstă:
- Ciclul primar (clasele I-IV): La aceste vârste mici, accentul se pune pe reguli de bază și formarea reflexului de a cere ajutorul unui adult. Subiectele pot include: Ce informații personale nu divulgăm pe internet (nume complet, adresă, școala etc.), Cine sunt prietenii online (explicarea conceptului de “străin” pe internet, chiar dacă cineva pretinde că e copil de vârsta lor), Cum reacționăm dacă vedem ceva deranjant (imagini violente sau obscene) – răspuns: închidem ecranul și spunem unui adult. Aceste idei pot fi transmise prin jocuri, povestioare, desene animate educative. Există deja resurse în limba română, unele dezvoltate cu sprijinul UNICEF și al altor organizații, care explică copiilor mici regulile de aur (de exemplu, site-ul SigurOnline.md oferă și materiale interactive pentru cei mici).
- Ciclul gimnazial (clasele V-VIII): Pe măsură ce copiii cresc, discuția devine mai complexă. Aici trebuie abordate subiecte precum: Cyberbullying (ce este, de ce e nociv, cum îl recunoaștem și cum intervenim – atât ca victimă cât și ca martor), Pericolele întâlnirilor offline cu persoane cunoscute online (grooming, trafic de minori – explicate într-un limbaj accesibil, fără a speria inutil, dar subliniind realitatea acestor riscuri), Utilizarea rețelelor sociale (setări de confidențialitate, reputația online, evitarea provocărilor periculoase). De exemplu, se pot prezenta statistici relevante: un studiu național indică faptul că 16% dintre copii au fost expuși involuntar la imagini cu caracter sexual online, iar 33% dintre adolescenți își caută prieteni pe internet, uneori fără a conștientiza pericolele[18][27]. Discutând aceste cifre cu elevii, îi ajutăm să realizeze că nu sunt situații abstracte, ci fenomene care îi pot atinge direct sau pe colegii lor.
- Liceu (clasele IX-XII): Adolescenții au deja o viață digitală complexă și o autonomie mai mare. Aici discuțiile pot merge în profunzime despre: Protejarea identității digitale și a reputației online (spre exemplu, impactul pe termen lung al postărilor neadecvate, conceptul de amprentă digitală în contextul angajării sau admiterii la facultate), Sexting și intimitatea online (consecințele distribuirii de imagini intime, aspectele legale legate de pornografie infantilă – e important ca tinerii să știe că pot comite infracțiuni distribuind imagini indecente cu colegi minori, chiar și “în glumă”), Fraudele financiare online (phishing bancar, scheme piramidale de investiții în cripto – mulți adolescenți pot fi atrași de “îmbogățire ușoară” online). În plus, educația liceenilor poate include aspecte de cetățenie digitală: combaterea dezinformării, gândirea critică față de conținutul online, protecția datelor personale (deja pot aprofunda ce înseamnă GDPR, de exemplu). Această categorie de vârstă poate chiar să fie implicată în proiecte de tip peer-education – liceeni formați ca ambasadori ai siguranței online care să realizeze prezentări pentru elevii mai mici.
3. Implicarea părinților:
Părinții sunt parteneri indispensabili în efortul de protecție online a copiilor. Adesea, diferența generațională face ca unii părinți să nu fie la curent cu mediile virtuale în care copiii lor activează. Școala poate lua inițiativa de a informa și sprijini părinții:
- Ședințe cu părinții tematice: Rezervați măcar o parte a ședințelor cu părinții (sau organizați separat workshop-uri) pentru subiectul “Siguranța copilului pe Internet”. Prezentați-le riscurile într-un mod concret, eventual cu exemple de caz (anonimizate) petrecute în școli – de ex. “un elev de 12 ani a fost abordat într-un joc online de un adult care pretindea că e copil – iată cum am intervenit”. Furnizați recomandări practice: instalarea de filtre parentale pe dispozitivele copilului, stabilirea unor reguli familiale (de ex.: fără telefon în dormitor peste noapte, limită de timp de 2 ore/zi la jocuri video în zilele de școală, acces la internet doar după ce s-au terminat temele etc., folosirea computerului într-o cameră comună până la o anumită vârstă). Subiectul trebuie abordat delicat, subliniind că supravegherea nu înseamnă spionaj sau lipsă de încredere, ci protecție și interes legitim.
- Materiale informative: Puneți la dispoziția părinților broșuri, ghiduri sau link-uri către resurse de calitate. Ministerul Educației, împreună cu experți, a elaborat de exemplu un “Ghid pentru protecția copiilor în mediul online”[28] (disponibil în română și rusă). De asemenea, organizații precum Centrul Internațional La Strada sau UNICEF Moldova au creat pliante și clipuri video adresate părinților despre subiecte ca dependența de internet, controlul parental, sau gestionarea situațiilor de cyberbullying. Școala poate trimite aceste materiale pe grupurile de WhatsApp ale părinților sau le poate tipări pentru a le distribui.
- Comunicare individuală: În cadrul discuțiilor unu-la-unu (de exemplu, la consultațiile cu părinții), dacă un anumit copil manifestă probleme legate de mediul online (izolare din cauza jocurilor video, comportament agresiv online față de colegi etc.), dirigintele sau psihologul ar trebui să abordeze subiectul direct cu părintele. Este important să se ofere consiliere, nu judecată – mulți părinți pot reacționa defensiv dacă li se spune că al lor copil “face ceva greșit online”. Abordarea corectă este: “Haideți să vedem cum îl putem ajuta pe copil să depășească situația...”. Oferiți-le părinților instrumente: de exemplu, dacă elevul pierde nopți jucându-se pe telefon, recomandați părintelui să stabilească utilizarea telefonului doar în anumite intervale și să folosească aplicații de screen time management. - Grupuri de suport între părinți: Școala poate facilita formarea unei comunități de părinți interesați de subiect, care să se ajute reciproc cu sfaturi și experiențe. De exemplu, un părinte care a avut o problemă (copilul a cumpărat online sume mari într-un joc, sau a fost ținta hărțuirii) poate împărtăși altora ce a învățat din asta. Acest schimb informal poate fi foarte valoros, deoarece părinții tind să asculte cu atenție poveștile altor părinți.
4. Activități și campanii de conștientizare în comunitatea școlară:
Pentru a menține subiectul siguranței online în atenție tot timpul anului, școlile pot implementa diferite inițiative:
- Săptămâna siguranței pe Internet: Marcați în calendar Ziua Siguranței pe Internet (Safer Internet Day), care are loc anual în luna februarie (și care este promovată și în Moldova). Cu această ocazie, organizați un eveniment la nivelul școlii: un concurs de postere realizate de elevi cu mesaje anti-cyberbullying, o piesă de teatru scurtă jucată de elevi despre riscurile online, sau chiar invitați un expert IT local să vorbească.
- Includerea subiectelor în curriculum informal: Dacă școala are ore de dirigenție, educație civică, sau opționale de educație digitală, asigurați-vă că temele de securitate cibernetică și comportament online sunt prevăzute și acolo. Așa cum a fost menționat, competența digitală și siguranța online fac parte din prioritățile educaționale naționale[29][8], deci aliniați-vă la Standardele Ministerului de a informa regulat cadrele, părinții și copiii despre aceste subiecte.
- Colaborare cu specialiști externi: Apelați la instituții precum Centrul pentru Informații și Securitate Cibernetică (CISC) sau la ONG-uri (La Strada, CNPAC ș.a.) care pot trimite formatori pentru ateliere cu elevii și părinții. Ei au adesea programe și resurse adaptate pentru diferite grupe de vârstă și pot aduce o perspectivă proaspătă.
- Exerciții de simulare: Pentru elevii mai mari, se pot organiza “exerciții” controlate – de exemplu, simulați un profil fals de social media și vedeți câți elevi acceptă cererea de prietenie, apoi discutați despre asta; sau analizați în clasă un caz real apărut la știri (cum ar fi o știre despre un adolescent care a dispărut după ce a fost ademenit online – discutând ce ar fi putut face diferit).
5. Resurse de suport și raportare a incidentelor pentru copii:
Este important ca elevii și părinții să cunoască și unde pot cere ajutor în afara școlii, dacă e cazul:
- Telefonul Copilului: 116 111 – un serviciu de asistență telefonică gratuită și confidențială, disponibil 24/7, care protejează copiii împotriva oricărei forme de abuz[30]. Elevii pot suna pentru consiliere dacă se simt hărțuiți, amenințați sau abuzați online, iar consilierii îi vor asculta și îndruma. Asigurați-vă că acest număr este cunoscut în școală – poate fi afișat la avizier sau menționat la orele de dirigenție.
- Portalul SigurOnline.md – este un serviciu specializat de informare, consiliere și raportare a situațiilor de violență online față de copii, administrat de experții La Strada. Pe site-ul siguronline.md, elevii (sau părinții) pot raporta cazuri de exploatare sexuală, hărțuire ori alt abuz suferit online, iar specialiștii vor prelua cazul și oferi asistență. Platforma conține și multe sfaturi și articole explicative pe limba tinerilor.
- Poliția – Crime Informatice: Pentru cazuri grave ce pot constitui infracțiuni (șantaj online, corupere sexuală a minorilor prin internet, distribuirea neautorizată de imagini intime ale unui minor etc.), părinții și școala trebuie să ia legătura cu poliția cât mai curând. Există ofițeri specializați în crime cibernetice care pot investiga și opri agresorii. Școala poate ajuta familia victimei oferind sprijin în procesul de raportare (de exemplu, consilierul școlar sau directorul poate însoți părintele la secția de poliție pentru declarații).
- CNPAC și alte servicii de consiliere: Centrul Național pentru Prevenirea Abuzului față de Copii poate oferi consiliere psihologică gratuită copiilor victime ale abuzului online și familiilor acestora. De asemenea, organizații ca Psychiatry, Psychology & Counseling Centers pot oferi terapie de specialitate, dacă este nevoie, pentru a depăși traumele. Școala ar trebui să aibă la îndemână o listă de contact a acestor servicii (sau să solicite de la Direcția municipală de învățământ informații despre centrele de consiliere disponibile).
6. Abordarea situațiilor sensibile:
Dacă totuși un incident online s-a întâmplat (de exemplu, elevul X a fost umilit printr-un clip viral pe TikTok, sau eleva Y a trimis poze personale care acum circulă), modul de comunicare cu elevul și familia este critic:
- Reacționați prompt, dar cu calm. Asigurați victima că nu este vina ei și că sunteți acolo pentru a ajuta. Implicați consilierul școlar pentru suport emoțional.
- Nu blamați elevul în fața colegilor. Protejați-i intimitatea pe cât posibil – discutați individual cu cei implicați.
- Implicați familia într-o discuție sinceră, furnizați-le informații despre ce s-a întâmplat și planul de acțiune. Uneori părinții pot fi șocați sau furioși; ajutați-i să se concentreze pe soluții, nu pe vină.
- Dacă incidentul are amploare (ex: mulți elevi au distribuit materialul compromițător), abordați colectivul de elevi într-o discuție de prevenire, reamintindu-le empatia și consecințele legale/disciplinare ale distribuirii de astfel de conținut. Fără a nominaliza victima, subliniați principiul “gândește-te cum te-ai simți tu în locul colegului tău”.
Prin implementarea unui ghid coerent de comunicare cu elevii și părinții, școlile pot crea un front comun împotriva pericolelor online. Atunci când mesajele despre siguranță vin atât din partea profesorilor, cât și de acasă, copiii au șanse mult mai mari să le interiorizeze. Cultura siguranței online se construiește zi de zi, prin discuții repetate, prin exemplul personal al adulților și prin sprijin reciproc în comunitate. Școala, ca nucleu al acestei comunități, are datoria și oportunitatea de a conduce aceste eforturi, formând nu doar elevi bine informați, ci și cetățeni responsabili ai lumii digitale.
Capitolul 8: Resurse și instituții de sprijin naționale (CERT, CISC, etc.)
Republica Moldova dispune de o serie de instituții și inițiative menite să sprijine securitatea cibernetică și siguranța online, inclusiv în domeniul educației. Cadrele didactice și administratorii ar trebui să cunoască aceste resurse, pentru a le putea consulta sau contacta la nevoie. Mai jos este o listă a principalelor entități și instrumente disponibile:
Agenția pentru Securitate Cibernetică (ASC) – este autoritatea națională în domeniul securității cibernetice, înființată în baza Legii nr. 48/2023. ASC acționează ca echipa națională de răspuns la incidente (CERT) și ca punct unic de contact pentru incidente de securitate[25]. Instituțiile publice (inclusiv școlile) pot raporta incidentele semnificative către CERT național, care poate oferi consultanță tehnică și coordonare. De asemenea, Agenția are rol de supraveghere și control privind implementarea politicilor de securitate cibernetică la nivel național, putând emite recomandări și alerte pentru sectorul educațional. Website-ul ASC (asc.gov.md) va conține, pe măsură ce devine complet funcțional, secțiuni de ghiduri, alerte și posibil un portal de raportare a incidentelor. În perioada de tranziție, Serviciul Tehnologia Informației și Securitate Cibernetică (STISC) continuă să ofere pe site-ul său (stisc.gov.md) secțiuni de Conștientizare și Alerte unde sunt publicate articole și avertismente despre campanii de atac curente (ex: alerte de phishing, ransomware etc.)[31]. STISC asigură și infrastructura de certificare a semnăturii digitale, relevantă pentru securitatea comunicațiilor oficiale.
CERT.md (Echipa de Răspuns la Incidente Cibernetice) – termenul se referă practic la funcția exercitată de Agenția pentru Securitate Cibernetică menționată mai sus. Orice incident major (de ex., un atac care blochează sistemele școlii) poate fi notificat la CERT.md. De asemenea, portalul www.cert.gov.md conține resurse de securitate cibernetică (ghiduri, recomandări) care se adresează tuturor instituțiilor. Menținerea legăturii cu CERT (prin abonare la alertele lor, participarea la eventuale instruiri organizate de ei pentru instituții publice) poate aduce școlilor informații la zi despre amenințări și soluții.
Centrul pentru Inovație în Securitatea Cibernetică (CISC) – este o instituție orientată spre promovarea culturii de securitate digitală în rândul publicului larg, al tinerilor și al organizațiilor. CISC (site: cisc.md) oferă resurse, ghiduri și suport pentru educația digitală și apărarea cibernetică, încercând să construiască o cultură solidă de securitate digitală și să prevină incidentele cibernetice[10]. Pentru școli, CISC poate fi un partener valoros: ei pot oferi training-uri pentru elevi și profesori (au derulat, de exemplu, programul “Cyber Heroes” în care studenți voluntari au ținut lecții de siguranță cibernetică în licee). De asemenea, pe site-ul lor se găsesc articole explicative pe teme actuale (ex: cum să te protejezi de escrocherii pe rețele sociale, importanța parolelor, etc.), ce pot fi folosite ca material didactic la orele de dirigenție sau TIC. CISC colaborează cu Ministerul Educației și alte entități în proiecte precum curriculumul de securitate cibernetică pentru licee, menționat anterior[5].
Institutul Național de Inovații în Securitatea Cibernetică “Cybercor” – înființat în cadrul Universității Tehnice a Moldovei (UTM) prin HG nr. 671/2023, acest institut are ca scop dezvoltarea abilităților în securitatea cibernetică pentru diverse categorii de persoane, inclusiv personal din autorități publice și studenți[32]. Practic, Cybercor organizează cursuri de formare, perfecționare și exerciții de antrenament (inclusiv competiții de tip Cybersecurity Challenge pentru tineri). Cadrele didactice interesate să aprofundeze cunoștințele tehnice în domeniu pot lua legătura cu Cybercor pentru a participa la cursuri sau evenimente. De asemenea, prin colaborarea MEC-UTM-ATIC, Cybercor contribuie la elaborarea curriculumului de Educație Cibernetică în licee – rezultatele acestor eforturi se vor vedea direct în școli, sub formă de programe opționale sau extracurricular.
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) – autoritatea care supraveghează aplicarea legislației de protecția datelor personale. Pentru școli, CNPDCP este important în două moduri: (1) ca sursă de informații și ghidare – site-ul oficial (datepersonale.md) conține secțiuni de legislație, întrebări frecvente și decizii ale Centrului care pot clarifica dileme (de ex., dacă e legal să instalăm camere video în clasă, sau cum trebuie obținut acordul părinților pentru publicarea de imagini cu elevii); și (2) ca instituție de contact în caz de incidente – școlile trebuie să notifice CNPDCP în caz de încălcare a securității datelor (breșe) și pot solicita consultanță dacă nu sunt sigure cum să implementeze anumite măsuri. De asemenea, CNPDCP desfășoară uneori campanii de informare în școli privind protecția datelor (de exemplu, lecții publice de “educație privind viața privată” pentru elevi).
Consiliul Național pentru Protecția Drepturilor Copilului (CNPDC) – organism guvernamental care coordonează politicile privind drepturile copilului. În context online, CNPDC a promovat măsuri de asigurare a siguranței copiilor pe internet, inclusiv modificări legislative precum cele aduse Legii nr. 30/2013 privind protecția copiilor de impactul negativ al informației[33]. Deși CNPDC nu interacționează direct cu școlile individuale, pe site-ul său (cnpdc.gov.md) și prin comunicate de presă, oferă date actuale despre fenomenologia riscurilor online în rândul copiilor din Moldova și despre eforturile statului în acest domeniu. Școlile pot folosi aceste date (statistici, recomandări din planuri naționale) pentru fundamentarea propriilor activități de prevenire.
Organizații neguvernamentale și inițiative civice:
o La Strada Moldova – ONG dedicat protecției drepturilor femeilor și copiilor, foarte activ pe componenta de siguranță online a minorilor. La Strada a elaborat împreună cu MEC Standardele pentru protecția și siguranța copiilor/elevilor în mediul online și continuă să ofere suport școlilor în implementarea lor[7][9]. De asemenea, La Strada operează platforma SigurOnline.md și a administrat Telefonul Copilului 116111 în trecut. Ei organizează traininguri pentru profesori, ateliere pentru elevi și campanii media de conștientizare. Școlile pot contacta La Strada pentru materiale educative și colaborări (e.g., pot solicita un training local).
o CNPAC (Centrul Național de Prevenire a Abuzului față de Copii) – se ocupă de prevenirea tuturor formelor de abuz, inclusiv a exploatării sexuale online. Poate oferi consiliere psihologică dacă există cazuri de abuz online și are specialiști care pot ține ore de informare a elevilor despre cum să se protejeze de abuzatori în mediul online.
o Asociația Obștească “Techsoup Moldova” – implicată în proiecte de alfabetizare digitală, a organizat în trecut evenimente precum “Ora de Programare” sau cursuri de competențe digitale. Ei pot fi sursă de voluntari sau experți pentru activități de coding și securitate în școli.
o ATIC (Asociația companiilor IT din Moldova) – prin programe ca “Tekwill in Every School”, ATIC sprijină dezvoltarea competențelor digitale. Deși focusul principal e pe IT și antreprenoriat, în cadrul acestor programe se strecoară și module de securitate cibernetică pentru elevi. Colaborarea cu mediul privat (ex: companii IT locale) poate aduce mentori și resurse suplimentare pentru cluburi de cybersecurity în școli.
Resurse online utile:
o Ghiduri și cursuri gratuite: DNSC (Directoratul Național de Securitate Cibernetică din România) a publicat un Ghid de securitate cibernetică care, deși destinat publicului din România, conține multe recomandări aplicabile (parole, backup, rețele sociale) și poate fi descărcat de pe site-ul DNSC. Platforma europeană Better Internet for Kids oferă materiale multilingve despre siguranța copiilor online. De asemenea, site-ul Sigur.info (Safer Internet România) are jocuri educative și quiz-uri care pot fi folosite și la clasele din Moldova.
o Evenimente locale și comunități: Fiți la curent cu evenimente gen conferințe sau meet-up-uri de securitate cibernetică organizate la Chișinău. De exemplu, anual se țin competiții de tip CTF (Capture the Flag) pentru tineri pasionați de hacking etic – școlile pot încuraja elevii să participe pentru a învăța practic. Comunitatea „Securiștii” (un grup online local) sau paginile de Facebook ale instituțiilor menționate adesea anunță astfel de oportunități.
În ansamblu, școlile nu sunt singure în efortul de asigurare a securității cibernetice. Există o rețea de instituții guvernamentale, organizații și resurse care pot oferi sprijin expert, materiale educative și chiar intervenție în caz de criză. Cadrele didactice și administratorii ar trebui să profite de acest ecosistem: să consulte ghidurile oficiale, să ceară ajutor atunci când depășesc competențele tehnice interne și să se implice în comunitatea mai largă de practică. Securitatea digitală a copiilor noștri este o responsabilitate comună, iar colaborarea între școli și aceste entități va duce la o reziliență sporită în fața provocărilor cibernetice ale prezentului.
Anexe
Anexa 1: Glosar de termeni
· Autentificare cu doi factori (2FA/MFA) – Metodă de securizare a accesului care solicită două mijloace de verificare independente (de ex., parola + un cod pe telefon) înainte de a permite login-ul unui utilizator.
· Backup (copie de siguranță) – Copierea și stocarea separată a datelor importante, pentru a putea fi recuperate în caz de pierdere sau incident de securitate[20]. Se recomandă realizarea periodică a backup-urilor și păstrarea lor offline sau în locații diferite față de datele originale.
· Botnet – Rețea de calculatoare infectate controlate de la distanță de un atacator (numit “botmaster”). Calculatoarele zombificate într-un botnet pot fi folosite în atacuri DDoS, spam sau alte activități malițioase, adesea fără știrea proprietarilor lor.
· Criptare (encryption) – Procedeu de transformare a informației într-o formă ininteligibilă pentru oricine nu deține cheia secretă de decriptare. Criptarea datelor (pe disc sau în tranzit) le protejează împotriva accesului neautorizat.
· Firewall – Sistem (hardware sau software) care filtrează traficul de rețea, permițând sau blocând conexiuni pe baza unui set de reguli de securitate. Funcționează ca o barieră între rețeaua internă sigură a școlii și exterior (internet), împiedicând multe tipuri de atacuri.
· Inginerie socială – Ansamblu de tehnici de manipulare psihologică folosite de atacatori pentru a înșela oamenii și a-i determina să divulge informații confidențiale sau să efectueze acțiuni nesigure (ex: să facă click pe un link malițios)[17]. Phishing-ul este cea mai comună formă de inginerie socială.
· Malware – Termen generic pentru orice “program malițios” conceput să afecteze negativ un computer sau o rețea. Include viruși, troieni, viermi, ransomware, spyware etc. Malware-ul poate fura, distruge date sau prelua controlul sistemelor.
· Phishing / Smishing / Vishing – Tipuri de atacuri de inginerie socială în care atacatorul se dă drept o entitate de încredere pentru a culege date sensibile: phishing prin email (mesaje false care par legitime), smishing prin SMS[16], vishing prin apel telefonic vocal.
· Ransomware – O categorie de malware care criptează fișierele victimei și cere o răscumpărare (ransom) pentru a le debloca. Afectează numeroase instituții, inclusiv școli; protecția cea mai eficientă împotriva ransomware este deținerea unor backup-uri izolate[21] și actualizarea sistemelor.
· VPN (Virtual Private Network) – Tehnologie ce permite realizarea unei conexiuni securizate (criptate) prin internet către o rețea privată. Poate fi folosită de exemplu de profesori pentru a accesa de acasă, în siguranță, resursele interne ale școlii (catalog electronic, servere de fișiere). (Notă: Lista de termeni poate continua, în funcție de necesități, pentru a explica toți termenii tehnici folosiți în ghid.)
Anexa 2: Bibliografie legală și normativă
1. Codul educației al Republicii Moldova nr. 152/2014 – stabilește cadrul general al sistemului educațional, incluzând obiective legate de competențele digitale și obligația asigurării unui mediu sigur pentru elevi.
2. Legea nr. 48/2023 privind securitatea cibernetică – legea-cadru care reglementează domeniul securității cibernetice în R. Moldova[1]. Definește autoritățile competente (Agenția pentru Securitate Cibernetică) și obligativitatea măsurilor de securitate pentru rețele și sisteme informatice.
3. Legea nr. 58/2024 pentru modificarea unor acte normative – amendamente legislative menite să alinieze alte legi sectoriale la prevederile Legii securității cibernetice nr. 48/2023[34].
4. Legea nr. 133/2011 privind protecția datelor cu caracter personal – actul normativ principal ce protejează viața privată și datele personale ale cetățenilor[35]. (Notă: urmează a fi înlocuită de o nouă lege, nr. 175/2024, care transpune integral GDPR, odată ce aceasta intră în vigoare.)
5. Legea nr. 30/2013 privind protecția copiilor împotriva impactului negativ al informației (cu amendamentele din 2025) – reglementează clasificarea informațiilor cu impact negativ asupra copiilor și obligă furnizorii de internet să ofere soluții de filtrare pentru protecția copiilor[36].
6. Hotărârea Guvernului nr. 728/2023 – privind site-urile web oficiale ale autorităților/instituțiilor publice și cerințele minime pentru profilurile lor de socializare[23]. Relevanță: școlile trebuie să respecte standarde de prezentare și securitate pe paginile web și rețelele sociale oficiale.
7. Hotărârea Guvernului nr. 1028/2023 – privind constituirea, organizarea și funcționarea Agenției pentru Securitate Cibernetică (detaliază atribuțiile ASC ca CERT național)[25].
8. Hotărârea Guvernului nr. 671/2023 – privind dezvoltarea profesională în domeniul securității cibernetice și înființarea Institutului Național de Inovații în Securitatea Cibernetică „Cybercor” din cadrul UTM[32].
9. Ordinul MEC nr. 985/07.10.2022 – pentru aprobarea Planului de acțiuni privind implementarea Standardelor pentru protecția și siguranța copiilor/elevilor în mediul online[9]. (Include acțiuni ce trebuie realizate de școli pentru a crea un mediu online protejat, conform Standardelor elaborate în 2021).
10. Standardele pentru protecția și siguranța copiilor/elevilor în mediul online (MEC 2021) – document-cadru elaborat de MEC și La Strada, ce definește acțiunile minime pe care școlile trebuie să le întreprindă pentru siguranța online a elevilor[8]. (Ex.: constituirea unui grup de lucru în școală pentru siguranța online, informarea periodică a elevilor și părinților, revizuirea regulamentelor interne).
11. Instrucțiunea MEC privind prelucrarea datelor cu caracter personal în sectorul educațional (2019) – act intern al Ministerului Educației ce oferă îndrumări școlilor despre cum să gestioneze datele personale ale elevilor și angajaților în conformitate cu Legea 133/2011 (ex.: registre de evidență, consimțăminte, măsuri de securitate).
(Notă: Bibliografia de mai sus poate fi extinsă cu alte acte normative conexe – ex. Codul penal (infracțiuni informatice), Legea privind accesul la informație (aspecte de site-uri școlare), etc., dacă se dorește detaliere suplimentară.)
Anexa 3: Fișe de instruire (exemple)
· Fișa 1: Securitatea contului de e-mail – un material de 1 pagină pentru profesori, explicând pașii de activare a autentificării în doi factori la contul de email instituțional, cum se gestionează parolele și cum se identifică un email de phishing (cu capturi de ecran exemplificative).
· Fișa 2: Siguranța pe Internet pentru elevii claselor V-VIII – plan de lecție de 45 minute ce poate fi folosit la ora de dirigenție: include definiții (ex. ce e cyberbullying), 2 scenarii de discuție (“Ce faci dacă primești mesaje de la un necunoscut?”), un scurt quiz pentru elevi și resurse suplimentare (linkuri spre videoclipuri educative).
· Fișa 3: Protocol de răspuns la incident cibernetic – checklist intern pentru personalul IT/administrativ al școlii, detaliind ce trebuie făcut în primele 24 de ore de la descoperirea unui incident (pe modelul Capitolului 6). Include rubrici de completat: ora, natura incidentului, măsuri luate, persoana responsabilă de fiecare acțiune, confirmări de notificare a autorităților relevante etc., astfel încât nimic important să nu fie omis sub stresul momentului.
· Fișa 4: Acord de utilizare a resurselor IT – model de formular pe care elevii (și părinții lor) îl semnează la început de an, prin care se angajează să respecte regulile de utilizare a internetului și a computerelor școlii. Conține în termeni simpli obligațiile (ex.: “Nu voi accesa site-uri cu conținut nepotrivit în timpul orelor.”, “Nu voi transmite altora parolele primite.”) și consecințele încălcării lor.
(Notă: Fișele de instruire pot fi personalizate și extinse. Se pot include și afișe/postere printabile, un model de prezentare PowerPoint pentru un workshop cu părinții etc., în funcție de nevoile instituției.)
Anexa 4: Checklist de autoevaluare a securității digitale (pentru administratori și cadre didactice)
Acest checklist ajută o instituție de învățământ să își evalueze stadiul actual al măsurilor de securitate cibernetică și să identifice domeniile ce necesită îmbunătățiri. Bifați Da/Nu la fiecare întrebare și notați acțiunile necesare acolo unde răspunsul este negativ.
A. Politici și proceduri organizaționale:
- [ ] Există o politică scrisă de securitate IT și utilizare a internetului în școală? (Regulament IT care să acopere parolele, utilizarea email-ului, instalațiile de software, utilizarea echipamentelor etc.)
- [ ] Au fost comunicate aceste politici tuturor angajaților și elevilor? (Ex.: regulamentul de utilizare a fost distribuit și discutat la ședințe, există acorduri semnate de elevi/părinți privind respectarea regulilor digitale)
- [ ] Există proceduri de gestionare a incidentelor cibernetice? (Plan de răspuns la incidente, cu pași clari și responsabilități; lista de contacte de urgență – ex. CERT, poliție, furnizor IT)
- [ ] Școala are desemnat un responsabil pentru securitatea IT sau un administrator IT cu atribuții clare? (Persoana care se ocupă de actualizări, backup, suport tehnic)
- [ ] Există un responsabil cu protecția datelor cu caracter personal (DPO) sau o persoană însărcinată să asigure conformitatea GDPR?
- [ ] Politica de backup și recuperare a datelor este documentată și pusă în practică? (Frecvența backup, locația stocării, testarea restaurării)
B. Infrastructură și echipamente IT:
- [ ] Toate calculatoarele școlii au sisteme de operare și software actualizate la zi? (Verificări regulate ale update-urilor Windows, Linux, etc.)
- [ ] Este instalat și activ un software antivirus/antimalware pe toate stațiile de lucru și serverele? (Și acesta este actualizat automat zilnic)
- [ ] Rețeaua Wi-Fi a școlii este securizată cu parolă puternică și criptare WPA2/WPA3?
- [ ] Există rețele separate sau VLAN-uri pentru uz administrativ vs. uzul elevilor/guest? (Pentru a izola eventualele probleme)
- [ ] Echipamentele de rețea (routere, puncte de acces) folosesc parole de administrare schimbate față de cele implicite?
- [ ] Există un firewall activ fie la nivel de router, fie ca dispozitiv dedicat, care protejează rețeaua de intruziuni externe?
- [ ] Este activat un filtru web sau DNS securizat pentru a bloca site-urile malițioase sau inadecvate pe rețeaua școlii?
- [ ] Se realizează periodic scanări de vulnerabilitate sau audituri de securitate asupra site-ului web al școlii și a sistemelor esențiale? (Cel puțin cu unelte gratuite, pentru a identifica configurații nesigure)
C. Controlul accesului și autentificare:
- [ ] Fiecare angajat și elev are propriul cont de utilizator pentru accesul la calculatoare/sisteme, nu se folosesc conturi comune?
- [ ] Sunt drepturile fiecărui utilizator configurate conform rolului (principiul minimului necesar)? (Ex.: secretara nu are acces de administrator pe calculatorul directorului; elevii pot loga doar pe calculatoarele din laborator, nu și pe servere)
- [ ] Parolele impuse respectă politicile de complexitate și expiră periodic? (Lungime, caractere variate, schimbare la fiecare 90 zile, de ex.)
- [ ] Este activată autentificarea cu doi factori acolo unde este posibil? (Ex.: contul de email al școlii, contul de administrator la platforma catalogului electronic)
- [ ] Există un proces de dezactivare imediată a conturilor când un angajat părăsește școala sau un elev absolvește?
- [ ] Stațiile de lucru se blochează automat după o perioadă de inactivitate? (screensaver cu parolă)
- [ ] Dispozitivele mobile (laptopuri, tablete) furnizate de școală sunt protejate prin cod/PIN și eventual criptarea discului?
D. Protecția datelor cu caracter personal:
- [ ] Evidențele școlare ce conțin date personale (cataloage, registre matricole, dosare) sunt securizate fizic (sub cheie) și digital (acces cu parolă)?
- [ ] Documentele și bazele de date cu informații despre elevi și personal sunt accesibile doar celor autorizați? (Ex.: notele elevilor sunt accesibile doar conducerii și diriginților, nu și altor profesori neimplicați)
- [ ] Există consimțăminte ale părinților pentru utilizarea și publicarea datelor/fotografiilor elevilor, acolo unde e necesar?
- [ ] Școala a notificat/prelucrat, unde e cazul, registrul de evidență a prelucrărilor de date personale la CNPDCP? (Dacă prelucrează categorii speciale sau are sisteme de supraveghere video, etc.)
- [ ] S-au întreprins măsuri pentru pseudonimizarea/anonimizarea datelor acolo unde este posibil? (Ex.: afișarea rezultatelor la olimpiade sau examene se face codificat, nu cu nume complet și IDNP)
- [ ] Angajații au fost instruiți privind obligațiile de confidențialitate a datelor persoanelor (elevi, colegi) cu care lucrează? (eventual au semnat acorduri de confidențialitate la angajare)
- [ ] Există un protocol în caz de solicitare de acces la date de către părinte/elev sau alte instituții (poliție, medic etc.)? (Știm cum verificăm legalitatea și răspundem acestor cereri conform legii)
E. Conștientizare și formare a personalului:
- [ ] Personalul didactic și nedidactic a beneficiat de cel puțin o sesiune anuală de training în securitate cibernetică? (Intern sau extern – ex.: prezentare despre phishing, despre protecția datelor)
- [ ] Există afișe/remindere vizibile în sălile profesorale sau lângă computere cu “bune practici” de securitate? (Ex.: “Nu divulga parola nimănui”, “Verifică sursa email-ului înainte de a da click”)
- [ ] Profesorii abordează subiecte de siguranță online la clasă, în special la orele de dirigenție/TIC? (Conform Standardelor MEC, informarea regulată a elevilor despre riscurile online este realizată[8])
- [ ] Școala a organizat sau a participat la vreo activitate/campanie de conștientizare privind securitatea digitală în ultimul an? (Concurs de postere, Ziua Siguranței pe Internet, întâlnire cu experți)
- [ ] Există proceduri clare de raportare internă a unui incident sau risc de securitate observat? (Angajații știu cui să îi raporteze imediat, fără ierarhii complicate, eventual direct responsabilului IT/DPO)
- [ ] Școala păstrează la zi contactele instituțiilor de suport (CERT, poliție, CNPDCP) și știe cum să le apeleze rapid? (Ex.: numere de telefon, email de raportare incidente afișate la biroul directorului)
F. Relația cu elevii și controlul conținutului:
- [ ] Calculatoarele din sălile de clasă sau laboratoare au filtre/adblockere pentru a preveni accesarea accidentală a site-urilor periculoase sau afișarea de reclame nepotrivite?
- [ ] Există un orar sau reglementare privind utilizarea dispozitivelor personale de către elevi în timpul orelor? (Ex.: telefonul mobil se folosește doar cu acordul profesorului, altfel stă depozitat)
- [ ] Elevii cunosc procedura de a semnala unui profesor cazurile de cyberbullying sau alt comportament online nociv între colegi? (Și se simt confortabil să o facă)
- [ ] Școala a blocat sau limitat instalarea de software neautorizat pe computerele accesibile elevilor? (Ex.: conturi de elev standard fără drept de instalare, folosirea Deep Freeze sau similar pentru a reseta PC-urile după fiecare utilizare)
- [ ] Se efectuează supravegherea activității elevilor în mediul online al școlii într-un mod care echilibrează protecția cu dreptul lor la intimitate? (Ex.: log-uri de acces, dar fără monitorizarea conținutului comunicațiilor private decât dacă există suspiciuni grave, etc.)
(Notă: Un scor ideal ar însemna majoritatea covârșitoare a răspunsurilor “Da”. Orice răspuns “Nu” evidențiază un punct vulnerabil care ar trebui adresat în planul de îmbunătățire a securității. Checklist-ul poate fi adaptat în funcție de specificul fiecărei instituții.)
Acest Ghid de securitate cibernetică pentru instituții educaționale oferă un punct de plecare solid pentru școlile din Republica Moldova în efortul lor de a crea un mediu educațional sigur în era digitală. Prin abordarea sistematică a politicilor, tehnologiilor și, mai ales, a educației utilizatorilor, instituțiile de învățământ își pot reduce considerabil riscurile cibernetice și pot transforma securitatea digitală într-o parte integrantă a culturii organizaționale și educaționale. Implementarea progresivă a recomandărilor, colaborarea cu autoritățile și actualizarea permanentă a cunoștințelor vor asigura succesul pe termen lung al acestei inițiative.[1][8]
[1] [2] [25] [32] [34] Securitatea Cibernetică – Ministerul Dezvoltării Economice și Digitalizării
https://mded.gov.md/domenii/tehnologia-informatiei-si-digitalizare/securitatea-cibernetica/
[3] [12] [13] [14] CAMPANIE: „Protecția datelor cu caracter personal în școli/grădinițe este o prioritate esențială!” | Grădinița nr.133
[4] [5] [6] [11] [29] Primul Curriculum Național de Securitate Cibernetică pentru licee, lansat la EdTech Moldova - Universitatea Tehnică a Moldovei
[7] [8] [9] Suport în implementarea Standardelor pentru protecția și siguranța copiilor/elevilor în mediul online | LaStrada
[10] Importanța educației digitale și securității cibernetice în Moldova | CISC - CENTRU DE INFORMARE ŞI SECURITATE CIBERNETICĂ
https://cisc.md/importana-educaiei-digitale-i-securitii-cibernetice-n-moldova
[15] Serviciul protecția datelor cu caracter personal
https://mai.gov.md/ro/node/7919
[16] [17] [31] ATENȚIE! STISC atenționează despre atacuri phishing! | Serviciul Tehnologia Informației și Securitate Cibernetică
https://stisc.gov.md/ro/alerte/atentie-stisc-atentioneaza-despre-atacuri-phishing
[18] [27] [33] [36] Noi măsuri pentru sporirea siguranţei online a copiilor | Consiliul Național pentru Protecția Drepturilor Copilului
https://cnpdc.gov.md/ro/content/noi-masuri-pentru-sporirea-sigurantei-online-copiilor
[19] [20] [21] [22] Securitatea cibernetică
https://stisc.gov.md/sites/default/files/ghiduri/ghid_securitatea_cibernetica_modificat.pdf
[23] [26] [35] Cadrul Normativ | Serviciul Tehnologia Informației și Securitate Cibernetică
https://stisc.gov.md/ro/cadrul-legislativ
https://stisc.gov.md/sites/default/files/ghiduri/Ghidul_Securitatii_Cibernetice.pdf
[28] [PDF] Ghid pentru protectia copiilor în mediul online
https://mecc.gov.md/sites/default/files/itu_cop_-_ghid_copii_-_republica_moldova.pdf
[30] Telefonul Copilului: Acasă
Ghid Explicativ de Securitate Cibernetică pentru Instituții Educaționale
© 2025. I.P. Centrul pentru Inovaţie în Securitatea Cibernetică