Cyflwyno adroddiad y Cyfarwyddwr Addysg, Sgiliau a Phobl Ifanc.
Cofnodion:
Cyflwynwyd i’r Pwyllgor ei ystyried, adroddiad y Cyfarwyddwr Addysg, Sgiliau a Phobl Ifanc a oedd yn rhoi trosolwg o ymchwiliad Swyddfa’r Comisiynydd Gwybodaeth i’r digwyddiad seiber yn ysgolion uwchradd y Cyngor yn 2021. Roedd yr adroddiad hefyd yn darparu trosolwg o’r camau a gymerodd y Swyddog Diogelu Data Ysgolion a Gwasanaeth TGCh y Cyngor drwy lunio rhaglen waith fewnol i fynd i’r afael â’r amrywiol elfennau technegol a llywodraethu gwybodaeth diffygiol.
Pwyntiau a drafodwyd gan y Pwyllgor –
· Canran y penaethiaid, staff ysgolion a llywodraethwyr sydd wedi mynychu’r hyfforddiant diogelu data a nodwyd fel un o’r gweithredoedd yn y rhaglen waith fewnol.
· Y cyfyngiadau ar ysgolion o ran defnyddio meddalwedd/rhaglenni ac a oes angen rhestr o feddalwedd cymeradwy.
· Effeithiolrwydd diogelwch Windows a’r heriau ynghlwm ag uwchraddio systemau gweithredu mewn ysgolion.
· Mynegwyd ychydig o bryder ynglŷn â’r amser oedd wedi mynd heibio ers rhoi gwybod i Swyddfa’r Comisiynydd Gwybodaeth am y digwyddiad ym mis Mehefin 2021 a chael gwybod am ganlyniad ymchwiliad Swyddfa’r Comisiynydd Gwybodaeth i’r digwyddiad ym mis Awst 2023, ac yn sgil hynny, gwerth adroddiad Swyddfa’r Comisiynydd Gwybodaeth gan fod y Cyngor wedi nodi’r hyn oedd angen ei fabwysiadu a’i wella ac wedi rhoi cynllun gweithredu ar waith.
· Gan nad oedd achos y traffig amheus ar weinyddion e-bost ysgolion uwchradd a oedd wrth wraidd y digwyddiad wedi cael ei adnabod, a oedd asesiad wedi’i wneud o’r math o ddata oedd mewn perygl neu a allai fod wedi cael ei gyfaddawdu.
· Oherwydd natur y digwyddiad, p’un a oedd unrhyw ddiffygion yn y broses archwilio gan nad oedd y gwendidau wedi cael eu nodi.
· P’un a oes rhaid cydnabod y gallai ceisio diogelwch llwyr (100%) arwain at or-gymhlethdod ac y dylid canolbwyntio ar gadw data allweddol yn ddiogel.
Ymatebwyd fel a ganlyn i’r pwyntiau a godwyd gan y Pwyllgor -
· Mae pob ysgol wedi derbyn hyfforddiant diogelu data a byddai modd darparu gwybodaeth am bresenoldeb pe byddai angen. Ar ôl cynorthwyo ysgolion i roi polisïau diogelu data ar waith, mae’r Swyddog Diogelu Data Ysgolion yn ymweld ag ysgolion bob blwyddyn i sicrhau eu bod yn cydymffurfio.
· Yn dilyn y digwyddiad aseswyd diogelwch rhaglenni/meddalwedd a lluniwyd rhestr o’r meddalwedd a aseswyd, ac yn sgil hynny casglwyd gwybodaeth am feddalwedd sy’n gyffredin ym mhob ysgol. Rhaid sicrhau cyfaddawd rhwng asesu risg diogelwch meddalwedd ac anghenion addysgiadol/ystafell ddosbarth ac mae gwaith yn cael ei wneud i sefydlu sut y gellir modelu’r cyfaddawd hwnnw a nodi’r risgiau.
· Ystyrir bod diogelwch Windows yn ddigonol fel rhan o becyn a rhaglen ehangach o nodweddion diogelwch. Esboniodd y Rheolwr Tîm TG y materion a’r opsiynau sydd ynghlwm ag uwchraddio systemau gweithredu a chadarnhaodd fod y gwaith o drosglwyddo i Windows 11 wedi dechrau ar lefel gorfforaethol a bod y gwaith diweddaru’n mynd rhagddo mewn ysgolion fel rhan o raglen HWB Llywodraeth Cymru. Rhoddwyd sicrwydd fod cynlluniau ar waith i sicrhau nad yw’r Cyngor yn wynebu’r sefyllfa o fod heb gynllunio i uwchraddio a/neu amnewid offer/caledwedd/dyfeisiau digidol mewn ysgolion wrth iddynt agosáu at ddiwedd eu hoes.
· Bod y penderfyniad i hysbysu Swyddfa’r Comisiynydd Gwybodaeth wedi’i wneud oherwydd sensitifrwydd y data a’r tebygolrwydd mai gweithgareddau bygythiol allanol oedd i gyfrif. Yn ddiweddarach, roedd Swyddfa’r Comisiynydd Gwybodaeth wedi cynghori ysgolion i adrodd ar y mater eu hunain.
· Er hynny, roedd y camau adfer a gymerwyd gan y Cyngor mewn perthynas â diogelwch digidol a llywodraethu gwybodaeth yn dderbyniol gan Swyddfa’r Comisiynydd Gwybodaeth ac ni chymerwyd camau pellach. Cyfeiriodd y Rheolwr Tîm TG at broblemau technegol yn gysylltiedig â chynhyrchu data, cyflunio systemau a gwirio data ar systemau ysgolion, a pherthynas y materion hynny â rhaglen HWB Llywodraeth Cymru ar lefel genedlaethol a’r drafodaeth ynglŷn â sefydlu Canolfan Ddiogelwch Weithredol.
· Bod blaenoriaeth yn cael ei rhoi i gyfathrebu parhaus gydag ysgolion ac roedd ysgolion yn rhannu gwybodaeth gyda rhieni gan ddefnyddio eu sianelau eu hunain, a hynny ar adeg heriol gan fod gwyliau haf ysgolion yn agosáu.
· Dywedodd y Pennaeth Archwilio a Risg fod archwiliad o wendidau a rheoli patsys wedi’i gwblhau tua’r un amser â’r digwyddiad, a hynny fel rhan o’r rhaglen archwilio. Roedd archwilwyr TG y Cyngor yn gallu rhoi sicrwydd i Swyddfa’r Comisiynydd Gwybodaeth fod argymhellion yr archwiliad wedi cael eu rhoi ar waith a bod y gwendidau a’r rhaglen rheoli patsys wedi derbyn sylw ac roedd hynny, felly, yn darparu sicrwydd annibynnol.
· Efallai y bydd cyfle i asesu gweithgareddau a mathau o ddata sy’n llai sensitif ac addasu dulliau’n unol â hynny, gan ystyried yr angen i gyfaddawdu rhwng y risgiau sy’n bodoli a’r hyn sy’n ymarferol.
Penderfynwyd derbyn y canlynol –
· Adroddiad y Swyddog Diogelu Data Ysgolion sy’n darparu trosolwg o ganlyniad ymchwiliad Swyddfa’r Comisiynydd Gwybodaeth i’r digwyddiad.
· Y gweithredoedd a nodwyd ac a gwblhawyd trwy’r rhaglen waith fewnol.
Dogfennau ategol: