Na základě školení, které bylo díky projektu Safer Internet realizováno pro lektory různých škol v Kraji Vysočina, jsme se rozhodli vypracovat článek, který by ředitelům přiblížil důležitost vzdělávání zaměstnanců škol v oblasti kybernetické bezpečnosti.
Hrozby úniku dat z vaší školy
Věra
Mikušová,
projektová koordinátorka CZ.NIC, z. s. p. o.
Bezpečnost školní sítě již zdaleka není otázka, která by mohla být vyřešena pouhým zaměstnáním jednoho administrátora, jak tomu bylo dříve, kdy jeden počítač měl ředitel a dalších pár se jich zamykalo do počítačové učebny. Každý zaměstnanec školy dnes využívá nejméně dvě zařízení, která jsou připojená k internetu. Pomocí těchto zařízení se učitelé ve většině případů přihlašují i do školní sítě. Stačí tedy uhodnout heslo jediného zaměstnance k tomu, aby průměrně zručný student dokázal poškodit data a informace ve školním systému. Osvěta v oblasti kybernetické bezpečnosti by tedy měla patřit mezi důležité oblasti strategického plánování školy.
Hrozbám a rizikům ztráty dat lze předcházet již na úrovni
fyzického zabezpečení školních objektů
, a to především tak, že počítače připojené do školní sítě budou přístupné pouze známému okruhu osob. Dalším krokem je
správné nastavení a pravidelné aktualizace
, a to včetně nastavení a aktualizace firmware routerů, které jsou často nejzranitelnějším místem v organizaci. Na tento fakt brali ohled vývojáři českého routeru Turris Omnia, jenž se celosvětově proslavil právě díky svým jedinečným bezpečnostním opatřením. Důležité je mít přehled o tom, kam odesíláme svá data a jak jsou zabezpečeny servery, kde jsou naše data uložena. V neposlední řadě je potřeba mít přehled o aplikacích, které škola využívá na svých webových stránkách, a dbát na pravidelnou aktualizaci i v tomto ohledu.Konstruktivní souhrn bezpečnostních pravidel nabízí norma pro řízení bezpečnosti informací
ISO/IEC 27001
.Mezi konkrétní příklady ohrožení organizací lze zařadit škodlivé kódy (malware), které dokážou vykonávat několik činností najednou a šíří se prostřednictvím e-mailů, online chatů a mnoha dalšími způsoby, včetně napadení již zmiňovaných webových stránek. S jejich zabezpečením vám může pomoci služba
Skener webu
(
skenerwebu.cz
), jež je školám poskytována zcela zdarma.Malware dokáže odposlouchávat hovory, textové zprávy, zneužívat fotografie a mnoho dalšího. Napadení jediného zařízení tak může znamenat obrovský zásah do soukromí organizace. Napadená zařízení mohou být navíc zneužívána k dalším útokům.
Další významné riziko představuje
sociální inženýrství
. Ohrozit data školy může skrze sociální inženýrství prakticky kdokoli, a to i bez hlubší znalosti technické stránky informačních technologií. Sociálnímu inženýrství často předchází pretexting, při kterém si útočníci zjišťují co nejvíce informací o zaměstnancích, případně o fungování chodu školy z veřejně dostupných zdrojů, jakými jsou informace uvedené na stránkách školy, profily zaměstnanců na sociálních sítích a dalších veřejně dostupných zdrojích. Potom, co si útočníci zjistí potřebné informace, už pro ně často nebývá problém oslovit vybranou osobu, nějakým způsobem ji zaujmout a často si jednoduše říci o přihlašovací údaje. Zní to sice neuvěřitelně, ale to, že osoba sama sdělí své přihlašovací údaje ke svému soukromému účtu, patří k častým způsobům krádeží. Je proto dobré vést zaměstnance k tomu, aby se svými přihlašovacími údaji zacházeli jako s klíči od svého bytu.Jednou z dalších metod sociálního inženýrství, která však již vyžaduje technickou znalost, je phishing.
Phishing
spočívá v tom, že si útočník vyrobí vlastní falešné webové stránky, jež jsou často naprosto identické se stránkami, které chce napodobit. Prostřednictvím e-mailu nebo jinak potom přiměje uživatele, aby zadali své přihlašovací údaje do této falešné stránky, čímž získá uživatelské jméno i heslo v čisté textové podobě. Z přednášek na školách navíc víme, že vynalézavost studentů je dnes již na velmi vysoké úrovni; student jednoho z českých gymnázií vytvořil vlastní webové stránky identické se stránkami své školy a jeho rodiče se tak dva měsíce dívali na úplně jiné studijní výsledky svého vynalézavého syna.Závěrem tedy shrnu několik základních doporučení - od otevírání neznámých souborů a URL až po zkontrolování webů prostřednictvím nástroje virustotal (použití tohoto nástroje je velice jednoduché a intuitivní). Je však třeba říci, že ani virustotal není zárukou bezpečí, především nové viry nemusejí být rozpoznány ani touto platformou. V případě pochybností je proto nejlepší ověřit si pomocí jiného komunikačního kanálu přímo u odesílatele, že zpráva s přílohou pochází skutečně od něj. Další velice důležitá věc je správné nastavení routeru a jeho pravidelné aktualizace, pravidelné aktualizace všech dalších zařízení, která se připojují do síťové infrastruktury, instalace antivirové ochrany i na mobilní telefony zaměstnanců nebo kontrola URL stránek. Důležité je také nevyužívat jedno heslo pro více služeb, protože při krádeži jednoho hesla může dojít ke zneužití všech dalších služeb, ke kterým uživatel přistupuje se stejným heslem.