Nagyon tanárfüggő, hogy mennyire informatív és van olyan funkciója, amit közhelyszerűen senki sem használ, ám már messze nem olyan negatívak a diákvisszajelzések a KRÉTA rendszerről, mint amikor hat éve kötelezővé tették. Viszont számos hackertámadás sem volt elég ahhoz, hogy érdemben felemeljék a rendszer biztonsági szintjét, noha tele van érzékeny adatokkal kezdve onnan, hogy ki miből áll bukásra, mondjuk addig, hogy milyen egészségügyi adatok alapján mentették fel tesiből.

„Felhasználóbarát, ha megnyitjuk az alkalmazást, mindent elérünk, amiket beírnak a tanárok, azok egyből megjelennek. Ott vannak a jegyek, a házi feladat, ezekre külön nem kell rákeresni, mint mondjuk a Google Classroomban”

– mondja Márk, egy nyolcadikos szombathelyi diák, aki szerint a központi e-napló sokkal egyszerűbben kezelhető, mint a távoktatás alatt sokat használt Google-program.

„Régebben sokkal több gond volt vele, nehezebben lehetett belépni, sokszor akadt, ezeket mostanában nem érzékelem” – mondja Lara, egy kilencedikes budapesti diák, aki szerint elég sokat változott a KRÉTA, pozitív irányba. Ő úgy látja, a felület már felhasználóbarátabb, mint volt, az igazolások beküldésére szolgáló ikon például elmondása alapján központibb, könnyebben megtalálható helyre került.

„Nagyon vegyes tapasztalataim vannak. Tök jó, hogy van egy egységes alaprendszer, amiben benne van az összes információ és tényleg felhasználóbarát, de nagyon sok negatív tapasztalatom is van” – mondja Ákos, 10.-es szombathelyi diák, akinek ötödikes kora óta kell KRÉTA-t használnia. Például sokszor tapasztal lassulást.

„Amikor megpróbálok belépni, van, hogy öt percet várnom kell a belépéstől, amíg megjelenik mondjuk az órarendem”

– fogalmaz, hozzátéve: ilyenkor középen a betöltő animáció forog, nem az internetkapcsolatával volt gond.

Viszont szerinte a rendszer sokat fejlődött, például a bejelentkezés után rögtön látható felület régebben szerinte borzasztó volt, de most már összesíti a legutóbbi jegyeket, az értesítéseket, a közelgő számonkéréseket. „Nem az a felület volt, ahová egy diák belép és meglátja, milyen feladatai lesznek holnap. Most nagyjából össze van szedve egy helyre” – foglalja össze. Elmondása alapján a tanárai már kevésbé szeretik a rendszert, mert nagyon sok felesleges adminisztrációs teendő szakadt vele a nyakukba.

A Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA, amelynek számos funkciója van, de ezek közül a legismertebb az e-napló, a 2017/2018-as tanévtől kötelező minden hazai állami fenntartású iskolában. Előtte számos rendszer létezett, volt olyan, amit egy tankönyvkiadó működtetett, de olyan is, amit egy iskola rendszergazdája fejlesztett le és tartott is karban. De nem volt elég, hogy ez a verseny megszűnt és mindenkinek át kellett állnia a sokszor már bejáratott rendszeréről, amikor mindenkit a KRÉTA használatára köteleztek, a visszajelzések sem voltak túl fényesek a rendszerrel kapcsolatban.

Javuló átlag és matek bossok

A KRÉTA diákoknak készített mobilalkalmazásának 2019 szeptemberében a Google Playen például 16 ezer értékeléssel öt csillagból 2,1-en állt, hiába kapott már addigra is számos frissítést. Mára közel 42 ezer értékelés után hármasra javított. (Ebben vélhetően benne van még az is, hogy kezdetben elárasztották egycsillagos értékelésekkel.)

Igaz, az értékelések komolyan vehetőségét némileg rontja, hogy tavaly elkezdték diákok széttrollkodni a visszajelzés részt olyan szöveges értékelésekkel, amik a mumustárgyaikat egy játék főgonoszához hasonlítják. „Nerfelni kéne a matek boss-t, túl op” – írta például V3ndel múlt pénteken (a nerfelés azt jelenti, amikor egy játék készítői gyengítenek egy karaktert, az op pedig overpowered-et, azaz túlzottan erőset jelent a játékosszlengben).

De az olyan kommentek mellett, mint hogy valaki nem ajánlja, mert „minden pálya elégtelent mutat”, vannak érdemi hozzászólások is. Valaki arra panaszkodik, hogy a bejelentkezésnél nem tudja az adatok megadása előtt kiválasztani az iskoláját, más azt írja, hogy felső tagozatban nagyon megkönnyítette a dolgát.

Az Apple-termékek alkalmazásboltjában, az App Store-ban majdnem feleannyi, 22 ezer vélemény alapján (ami annyira azért nem meglepő, lévén, hogy vélhetően sok diák szülei inkább vesznek egy olcsóbb változatokat is kínáló androidos készüléket, mint egy drágább iPhone-t) 4,4-en áll a KRÉTA Tanulóknak. Valaki például a jobb iPad-integrációt hiányolja, más pedig azt kifogásolta, hogy neki minden második hónapban egy hétig egyáltalán nem működött.

A szülők szeretik

A szülők körében úgy néz ki, népszerű a KRÉTA: az androidos telefonok alkalmazásboltjában ötből 4,4 csillagon áll a szülői verzió, méghozzá úgy, hogy lényegesen többen, 64,5 ezren küldtek írtak róla véleményt. Ráadásul itt kevesebb is bossos trollkomment, valaki például azt írja, hogy nagyob praktikusnak tartja az egészet, más olyan fejlesztéseket hiányol, hogy a naptárba létre lehessen hozni eseményeket, például számonkérésekhez. Ahogyan olyan felhasználó is akadt, aki arra panaszkodott, hogy nem elég biztonságos a belépés (erre még visszatérünk a cikk későbbi részében).

Az AppStore-ban a szülői KRÉTA 35,7 ezer értékeléssel 4,8-on áll (a Gmailnek nincs ilyen jó aránya, igaz, ott egymillió visszajelzésből). Az egyik felhasználó azt írta, stabil, minden működik és átlátható is, más viszont leírta például, hogy a frissítéssel a rendszer elfelejtette a belépési adatokat. A szülőknél fontos különbség, hogy – függően attól, a gyerekeik mikor kezdték az iskolát – egy korábbi szeretett vagy gyűlölt e-napló az összehasonlítási alap, vagy pedig az ellenőrzőről magára a digitális jegyértesítésre kell átszokni. Ahol, bár meg kell ismerni egy új felületet, valószínűleg sokaknak csábító, hogy a gyerekük nem tud rejtegetni egy egyest, mert azonnal megy róla az értesítés a szülőknek is.

Lara azt mondja: az ő szüleinél például ez utóbbi volt és náluk leginkább arról szólt a kérdés, hogy meg kellett szokniuk a rendszert. Márk felidézi: anyukája az iskolája által előtte használt e-napló rendszert „nagyon szidta régen, mert volt, hogy nem lehetett elérni egy-két dolgot”, de a KRÉTA-val már meg van elégedve. Bár amit hiányolnak belőle, hogy a régi rendszer órarendjét ki lehetett egészíteni a saját eseményeikkel, például egy iskola utáni külön angolórával, amire az ugyanúgy figyelmeztetett. Ilyen a KRÉTA-ban nincsen. (Ő ezért be szokta másolni az órarendjét a telefonja saját naptárába inkább.)

Csendben megtűrt kliensek

Két éve februárban írtam róla az azóta megszűnt Azonnalira, hogy a KRÉTA fejlesztői több olyan nem hivatalos külső klienst is letiltattak a Google Playről szerzői jogra hivatkozva, melyeket diákok fejlesztettek. Ezek, az akkor több ezer diák által használt programok lekérik a KRÉTA adatait és saját felületen jelenítik meg azokat. Egyrészt azért írtak fiatalok ilyet a szabad idejükben, mert nem tetszett nekik a KRÉTA felülete, másrészt fejlesztettek bele új funkciókat. Akkor az egyik ilyen diákcsapat azt állította: az ő programjukból több megoldás nagyon hasonló formában később feltűnt a hivatalos KRÉTA-appban is, például a „szellemjegy” funkció, ami megmutatja, például mennyit romlana valakinek az átlaga, ha kapna egy egyest. Az egyik legismertebb ilyen kliens Filc Napló névre hallgat és azóta is elérhető. A Google Playre nem engedték vissza, de mivel az Android erre lehetőséget ad, külön (apk-formátumban) letöltve fel lehet telepíteni. Az iPhone-okra pedig az Apple TestFlight nevű program keretében, amellyel szoftverfejlesztők béta (azaz még fejlesztés alatt álló) verzióit lehet kipróbálni, elérhető a Filc. „Jelenleg nem állunk konfliktusban velük, az appot továbbra is nyugodtan használják a megmaradt felhasználók” – reagálta kérdésünkre a program egyik fejlesztője. Hozzátéve: pontos számokat nem tud, de valamikor tízezer feletti felhasználójuk is lehetett, mára pedig pár ezer diák használhatja azóta is a programjukat. Korábban többféle ilyen kliens is létezett, de a fejlesztő úgy tudja, mára már csak az övék működik.

Tanárfüggő, miket írnak be

„Nagyon kevés tanár írja be, hogy miből volt házi feladat vagy miből lesz számonkérés”

– mondja Lara. Hozzátéve: körüzenetekben viszont jellemzően szétküldenek olyan praktikus információkat, mint hogy mikor lesz szünet. Összességében azt mondja, a rendszert – ami mára inkább megkönnyíti az életüket –, elsősorban ők is arra használják, mint a szüleik: figyelik rajta az új jegyeket. Ugyanis a régi, ellenőrzős rendszerrel szemben itt gyakran például már egy dolgozat kiosztása előtt bekerülnek azok eredményei.

Pedig ennél lényegesen több funkciója van, ha azokat tényleg fel is töltik adatokkal. „Ha átmegyünk az órarend részére, balról a második menüpontba, ott minden, az adott napokkal kapcsolatban megjelenik. Milyen tanár fog helyettesíteni, melyik óra marad el – ha az iskola beírja –, milyen házi feladat van azon az órán, milyen dolgozat lesz” – sorolja Márk.

„Nálunk vannak olyan tanárok, akik tényleg mindent föltöltenek, a házi feladatokat, a dolgozatokat, a jegyeket, azoknak indoklást és megnevezést adnak” – összegez Ákos. Hozzátéve: a kötelező közösségi szolgálatos óráik egyáltalán nincsenek feltöltve, azt az ő megyéjükben ugyanis egy külön szervezet vezeti. „Van olyan tanár, aki szinte hozzá sem nyúl a KRÉTA-hoz. A jegyek feltöltéséhez is több hónapot kell nála panaszkodni, a számonkéréseket, a házi feladatokat egyáltalán nem teszi föl” – árulja el.

Az online oktatás megtartására kitalált „digitális kollaborációs teret” viszont elmondása szerint senkiről nem hallott, aki használná. (Ott mindenki a hasonló funkciókkal rendelkező Google Classroomot, a Teamset vagy a Zoomot alkalmazta inkább.) Hogy ennek a funkciónak a ki nem használása mennyire közhelyszámba megy mára, azt jól mutatja, hogy a fent említett, diákok által készített kliens leírásában például a következő szerepel:

„Használtad már a Kollaborációs Tér funkciót a Krétában? Mi sem. Éppen ezért nem találod meg nálunk.”

Az értesítés is elmarad

Ami bekerül, arról sem mindig értesülnek a diákok. „Olyan problémáim voltak a KRÉTA-val, hogy bár mindenről kapok értesítést, arról nem kaptam, hogy változott valami az órarendemben. Volt, hogy emiatt előbb bementem suliba és nem is volt megtartva egy óra” – idézi fel Lara. Úgy magyarázza: ha az órarendre rákattint és azt frissítgette volna, akkor látta volna a módosítást, de külön értesítést nem mostanában nem kap erről a telefonján, pedig ez régebben működött. Azt mondja, a szobatársánál is ugyanez jelentkezik.

Ehhez hasonlót egy másik nekünk nyilatkozó diák is tapasztal. „Más alkalmazásnál nem nagyon tapasztalom ezt, sokszor este fejlesztik az applikációt vagy nem tudom, mit csinálnak vele és kiír egy rendszerüzenetet, hogy a szerverek nem üzemelnek karbantartás miatt” – idézi fel Márk, aki azt mondja, szinte hetente tapasztalja ezt este 6-8 óra körül. Ilyenkor a korábban már feltett adatokat látja, de, ha valaki új információt tölt fel – például egy elmaradó óráról –, azt nem. „Ha egy tanár kirakja este, hogy a nulladik óra elmarad és nem kapcsolják vissza az alkalmazást addig, amíg le nem fekszem aludni, akkor nem fogom tudni, hogy reggel korábban keljek-e föl” – érzékelteti a fiatal a problémát.

Ákos is azt tapasztalja, hogy két-három hetente van este 8 környékétől egészen hajnalig karbantartás. „A tanárok így is elég túlterheltek, éjszaka kénytelenek felvinni jegyeket, egy elég nagy hátráltató tényező lehet nekik, hogyha este nem tudnak vele dolgozni, mert karbantartást végeznek” – összegez.

Tizenévesek törték fel a rendszert

Ha a diákok lassan meg is barátkoztak a rendszerrel és a kritikák elcsendesültek, az utóbbi időben a KRÉTA kapcsán leginkább az az ellen elkövetett hackertámadásoktól volt hangos a sajtó. Nem csupán annyi derült ki, hogy feltörték a rendszert és diákok adataihoz is hozzáférhettek a támadók, de a fejlesztő cég megpróbálta eltussolni az ügyet, a hackerekről kiderült, hogy egy 15 és egy 13 fiatal. Majd a forráskódokból elkezdtek közzétenni közösségi oldalakon, amely arra engedett következtetni, hogy a rendszer biztonsági megoldásai messze nem a legtökéletesebbek.

Ezek kapcsán felmerül a kérdés, hogy a KRÉTA – illetve a támadásokban szintén érintett Neptun, melynek a kódjában lehet a KRÉTA-val átfedés, mivel eleinte ugyanaz volt a fejlesztőjük – esetén miért nem alkalmaznak szigorúbb biztonsági előírásokat. A hackertámadások után volt egy karbantartás, amit előre betervezettként hirdettek meg – számol be Ákos. „Gondolom, ott hozzáadták azokat a technikai védelmeket, amik eddig erősen hiányoztak” – vélelmezi, utalva arra, hogy a kikerült kódban látszódtak ilyen hiányosságok. (Bár a kiszivárgás után többen arról beszéltek, hogy a hackerek a kód egy részéhez fértek csak hozzá és a közzétett, gyenge védelmet mutató megoldást már nem is használják, csak benne maradt a kódban.)

Lapunknak például Ákos és Márk is beszámolt arról, hogyan generálják le az alapértelmezett jelszavakat a diákoknak. (Ezt a diákok biztonsága érdekében inkább le sem írjuk.)

„Én a fél osztályom KRÉTA-jába be tudnék lépni, ha akarnék”

– érzékelteti Ákos a helyzet súlyát. „Ez egy nagyon problémás dolog, nekem szenzitív információim vannak a KRÉTA-ban” – hangsúlyozza a diák. Ezt a gyenge jelszót a diákok elvileg megváltoztathatják, de erre – rengeteg rendszerrel ellentétben – nem kötelezi őket a program, amely rendszeres jelszó-frissítést sem ír elő.

Sokkal biztonságosabb is lehetne

Mára a legtöbb internetes szolgáltatásnál – például a Google vagy a Facebook esetén – kötelező a kétfaktoros azonosítás, amikor nem csak felhasználónevet és a jelszót kell bepötyögni (amely sajnos ellopható), hanem például egy telefonos alkalmazásban vagy SMS-ben kiküldött kódot is meg kell adni, igazolva, hogy tényleg mi használjuk az appot. (Ami persze okozhat nehézségeket, egy tönkrement telefonnal például az ember ki is zárhatja magát a saját fiókjából, cserébe viszont jobban állja a sarat, ha valaki illetéktelenül akarna hozzáférni.)

A KRÉTA-ban viszont nincs kétfaktoros azonosítás és a támadások után sem vezették be egyelőre. A Telexnek nemrég egy egykori KRÉTA-fejlesztő azt nyilatkozta:

a kéttényezős hitelesítés kötelezővé tételét a tanárok hiányos informatikai kompetenciái miatt ellenezték a cégnél.

Mint a lapnak fogalmazott a névtelenséget kérő volt fejlesztő, attól tartottak, hogy „a rendszert fogják hibáztatni, ha a tanárok ügyetlenek és nem tudnak belépni.” (Bár a legtöbb tanár használ például Gmailt, ahol ez már kötelező.) Ő most már bevezetné ezt a plusz biztosítást, lévén: ha valaki illetéktelenül behatol a rendszerbe, azzal nem csak trollkodó üzeneteket lehet szétküldeni az egész iskolának, de egészen érzékeny adatokhoz is hozzá lehet férni. Például, hogy ki miből áll bukásra, milyen orvosi igazolással kapott felmentést tesiből, hol lakik egy diák, milyen fogyatékossággal él és mi a bankszámlaszáma.

A lap felidézi, hogy egy 2021-es rendőrségi közlemény egy, KRÉTA-jelszót ellopó 13 éves hackerről például így fogalmazott: „Kiderült, hogy a rejtélyes LiL AdaM megszerezte a diák számítógépén elmentett összes felhasználónevet, így tudott belépni a KRÉTA-rendszerbe. Az elektronikus levelezésbe és az említett VanityEmpire játékba már nem nyert bebocsátást, mert azoknak erősebb volt a védelmi rendszerük.” Vagyis egy online játéknak komolyabb védelme volt, amely visszaverte a hacker próbálkozását, amire a temérdek érzékeny adatot kezelő, minden állami iskolában kötelező e-napló rendszer viszont nem volt képes.

Frissítés: Közben újra feltörték a rendszert, de az is kiderült, hogy – igaz, először csak a fenntartóknál, tehát a diákoknál és a tanároknál még egyelőre nem, de – elkezdték bevezetni a kétfaktoros autentikációt. Hogy később kötelező lesz-e, azt még nem tudni. Erről azóta itt írtunk bővebben.

Cikkünkhöz kérdéseinkkel csütörtök délután megkerestük a KRÉTA cégét, kérve, hogy pénteken válaszoljanak, tehát több, mint egy teljes napjuk lett volna erre. Sajnos ennek ellenére nem kaptunk tőlük válaszokat. Ha később mégis küldenek, akkor azokat közölni fogjuk. (Kiemelt kép: Reviczky Zsolt)