כידוע, מוסדות אקדמיים משתמשים בממשקים אינטרנטיים ובמערכות ניהול אקדמי כדי לסייע לסטודנטים ולמרצים לשרת מטרות פדגוגיות שונות. מדובר במערכות אשר מנהלות את מהלך הלימודים בקורסים השונים, לרבות תקשורת בין הסטודנטים למרצים, פרסום עבודות, מבחנים, ציונים והעברת מסמכים שונים. לאור זאת, מידע אישי ורגיש רב מעובד במערכות אלה. למעשה, מדובר במערכות הפועלות על גבי רשת האינטרנט, מה שחושף את המידע האישי במערכות לסיכוני אבטחה.
על רקע תלונות שמתקבלות מעת לעת בנושא, ביניהן תלונות הנוגעות לעניין מסמכים שונים המכילים מידע אישי אודות סטודנטים שמאוחסנים באופן נגיש לכל דורש ברשת, הרשות להגנת הפרטיות פרסמה היום (22.08.2023) מסמך בנושא חשיפת מידע אישי אודות סטודנטים וסטודנטיות באתרי מוסדות להשכלה גבוהה.
המסמך בוחן את האופן בו מוסדות אקדמיים מאחסנים באופן נגיש לכל דורש ברשת מסמכים המכילים מידע אישית אודות סטודנטים וסטודנטיות, את סיכוני הפרטיות כתוצאה מחשיפת מידע אישי זה, ואת ההמלצות לשמירה על הפרטיות. תוך התמקדות בשתי חולשות אבטחה עיקריות הנפוצות במערכות מסוג זה, המסמך מונה המלצות ביחס לדרכי הפעולה שעשויות לסייע בהתמודדות מולן במטרה לשמור בדרך המיטבית על המידע.
חולשה האבטחה הראשונה הינה ה- Directory Listing, לפיה השרת מאפשר את הצגת התיקיות המאוחסנות בו ואף מאפשר גישה אל תיקיות, לרבות פעולות כמו צפייה והורדת מסמכים מאותן תיקיות. חולשת ה- Directory Listing אינה מהווה חולשת אבטחה כשלעצמה, אולם כאשר התיקיות "הפתוחות" מכילות מידע אישי, נוצר סיכון לאבטחת המידע שהמוסד האקדמי אחראי לה על פי חוק הגנת הפרטיות. הטיפול בחולשה זו יכול להתבצע בדרכים שונות, ובעיקר על ידי הסרת מידע אישי מתוך התיקיות "הפתוחות", וכן על ידי הגדרת השרת באופן שימנע אפשרות לאינדוקס, וליצירת הגישה אליהן בגלישה חופשית באתר.
חולשת האבטחה השנייה המוצגת במסמך הינה סריקת אתרים על דפיהם השונים שמתבצעת באופן שוטף באמצעות גוגל, ובכך עשוי לחשוף את המידע המנוי במערכות המוסדות האקדמיים בתוצאות חיפוש ברשת. במטרה להגביל סריקה זו ולהביא לאבטחת מידע מיטבית, הרשות ממליצה ליישם מנגנוני זיהוי ואימות בטרם הגישה לאזור הרלוונטי שבאתר, ואף מבהירה כי ההמלצה הגורפת היא ליישם בקרת אימות דו שלבי.
כמו כן, הרשות ממליצה לנקוט בפעולות כמו העברת הדרכות לסטודנטים ולמרצים, זאת במטרה להגביר את מודעותן ביחס לסיכוני האבטחה. במסגרת זו, יש לדון בצמצום היקף המידע הרגיש שמאוחסן במערכות, במניעת חשיפת מידע עודף, בהעברת מידע בצורה מאובטחת ובהסרת מידע שאינו נחוץ עוד.
לסיכומו של דבר, הרשות מבהירה כי המסמך נועד לשמש כלי עזר בלבד ואינו ממצה את החובות המוטלות על המוסד האקדמי לפי הדין הישראלי. יחד עם זאת, הרשות מדגישה כי המוסדות להשכלה גבוה נושאים באחריות המידע המאוחסן במאגרי המידע שברשותם.
