Školy mají za sebou neočekávané a nelehké období, kdy byly v podstatě ze dne na den nuceny přepnout do režimu online výuky. Ředitelé, učitelé, ale koneckonců i žáci byli kvůli koronavirové krizi a karanténě vystaveni situacím, na které je nikdo předem nepřipravil, a jak se lidově říká, byli hozeni do vody. Digitální technologie se staly jediným nástrojem kontaktu s okolním světem, bezpečnost jejich používání ale šla v dané situaci často stranou. Jen málokterý ředitel školy či učitel si v té chvíli totiž uvědomil, že se škola stejně jako nemocnice nebo komerční podnik může stát terčem kybernetického útoku. V tomto článku si vysvětlíme proč a shrneme praktické tipy, jak tato rizika v budoucnu eliminovat. Budeme se přitom věnovat mikro- i makropohledu na věc. A začneme u výuky.
Školy jako terč kybernetického útoku
Mgr.
David
Kudrna
designér vzdělávacích procesů a garant pro osvětu 2. stupně ZŠ, oddělení vzdělávání, Národní úřad pro kybernetickou a informační bezpečnost
Mgr.
Petra
Sobková
lektorka a designérka osvětových a vzdělávacích materiálů a aktivit pro děti, Národní úřad pro kybernetickou a informační bezpečnost
Nedílnou součástí online výuky jsou komunikační nástroje a aplikace. Když nás redakce oslovila, původním podnětem bylo diskutovat bezpečnostní otázky konkrétní aplikace, kterou podle průzkumu České školní inspekce1) učitelé hojně využívají pro komunikaci se žáky. Je to logické, neboť z mikropohledu výuky je právě bezpečnost komunikačních aplikací zásadní. Z odborného hlediska však není možné jmenovat konkrétní nástroje a označit je nálepkou bezpečné nebo nebezpečné aplikace. Důvodem je to, že svět aplikací je dynamický a nelze zaručit, že aplikace, která je k dnešnímu dni bezpečná, bude bezpečná i za měsíc. Můžeme však shrnout několik rad, díky kterým i běžný uživatel dokáže zhodnotit, zda je aplikace k danému účelu a v daný čas vhodná.
První rada zní: Pokud vybíráte aplikaci do výuky, nedejte na reference v učitelských fórech a skupinách, ale sledujte aktuální dění a dávejte pozor na to, jaká oprávnění dané aplikaci udělujete. Za neochotu zorientovat se v aplikaci, kterou dosud neznáte a nepoužíváte, můžete totiž draze zaplatit. V zásadě každá legitimní aplikace může být napadena kvůli objevení dosud neznámé zranitelnosti a dále zneužita. Navíc ani oficiální zdroje aplikací jako GooglePlay či AppStore nejsou stoprocentní zárukou toho, že zde nenarazíme na škodlivou aplikaci. Vstupní kontrolu ošálí statisíce aplikací, které jsou z provozu stahovány až v momentě, kdy se na ně hromadí stížnosti uživatelů.
Jedním z rizik je i tzv. trojanizace. Původně legitimní aplikace z oficiálního zdroje, jako jsou třeba právě zmíněné obchody, může být s aktualizací proměněna v pomyslného trojského koně, který v mobilním telefonu tropí neplechu a poskytuje útočníkům přístup například do dalších aplikací. Ve školním prostředí třeba právě do školních informačních systémů. Proč to může být pro útočníky zajímavé, si povíme později. Problematické je, že jsou to právě aktualizace, které nás jinak chrání před útočníky tím, že zalepují bezpečnostní díry, kterými se někdo může dostat do našeho zařízení. To znamená, že „neaktualizovat“ rozhodně není řešení. Takže co s tím?
Čistota půl zdraví. Toto rčení platí i ve světě aplikací a mobilních telefonů. Asi všichni jsme zažili situaci, kdy nás zaujme nějaká aplikace. Stáhneme si ji, nainstalujeme, a pokud se neosvědčí, přestaneme ji používat. Často však zapomínáme ji odinstalovat. A obecně většinu aplikací ve svém mobilním telefonu spíše nevyužíváme. Kvůli tomu snadno ztratíme přehled o tom, které aplikace máme nainstalované, a pokud dojde k jejich napadení či zneužití, budeme méně obezřetní. Druhá rada tedy zní: Udržujte si pořádek v aplikacích a nepotřebné odinstalujte.
Třetí rada zní: Vyhledávejte aplikace, které stojí na principu open-source (software s otevřeným zdrojovým kódem). I když to zní komplikovaně, v praxi to znamená, že taková aplikace je vytvořená aktivní komunitou, která její zdrojový kód rozvíjí, včetně aktualizací. Přispívat k jejímu rozvoji může v podstatě kdokoliv, úpravy v takovém kódu je možné jednoduše sledovat a navíc procházejí komunitními schvalovacími procesy. Běžný uživatel dojde krátkou dedukcí k tomu, že čím více lidí nějaký kód spravuje, tím větší šance, že ho někdo záměrně poškodí a bude chtít zneužít. Opak je však pravdou. Pokud by se o to někdo pokusil, velmi rychle se to odhalí právě díky tomu, že se kdokoliv může dané aplikaci podívat pod kapotu. Informaci o open-source naleznete v základních informacích každé aplikace přímo v oficiálním obchodě, bývá označena přímo slovy open-source a opatřena odkazem na webové stránky tvůrců.
Další věc, kterou učitel může udělat pro to, aby zajistil vyšší úroveň bezpečnosti režimu online výuky, je preferovat aplikace, které fungují na principu end-to-end šifrování (koncové šifrování). To znamená, že zprávy, které posíláte, nebo videohovory, které spouštíte, jsou pro potenciálního útočníka nečitelné a neodposlechnutelné. Ke konverzacím, které využívají tento princip šifrování, se tak nepřipojí žádný nečekaný host. Čtvrtá rada tedy zní: Nepodceňujte význam end-to-end šifrování. End-to-end šifrování zajišťuje, že namísto vaší sdílené obrazovky a pečlivě připraveného výkladu nespustí potenciální útočník žákům nevhodný obsah, jako třeba pornografii, nebo že z online porady neuniknou citlivé informace o žácích a další interní záležitosti.
Pravděpodobně se pozastavujete nad tím, proč by někdo měl mít zájem podobné věci dělat. A právě zde se dostáváme ke slíbenému makropohledu na kybernetickou bezpečnost školy.
Jako příklad, který si vybaví každý, poslouží nedávná vlna kybernetických útoků na české nemocnice.2) Řada českých nemocnic byla napadena, provoz některých byl prakticky ochromen, nefungovaly ultrazvuky, rentgeny a překládaly se plánované operace. Co mají společného nemocnice a školy? Jedná se o instituce, které z velké části spravuje stát. Jedná se o instituce, které navštěvuje velké množství lidí. Jedná se o instituce, které shromažďují řadu citlivých dat. Jedná se o instituce, jejichž ochromení může mít vliv na fungování společnosti. U nemocnic jsou možné důsledky jasné. U škol pro změnu pandemická krize ukázala, že výpadek výuky může pro rodiče znamenat téměř neřešitelný problém.
Jak můžeme vidět na příkladu nemocnic, solidarita nebo etika vůči cílům kybernetického útoku v podstatě neexistuje. Naopak si útočníci mnohdy vybírají právě chvíle, kdy jsou dané subjekty nejvíce zranitelné. Zatímco v případě nemocnic to bylo zejména období koronavirové krize, v případě školy se může jednat například o období přijímacích nebo maturitních zkoušek. Motivem útočníků je často dostat danou instituci do pozice, kdy bude ochotna zaplatit výkupné. Představte si situaci, kdy probíhají přijímací zkoušky, celá škola je vzhůru nohama a k tomu se zničehonic znepřístupní celému pedagogickému sboru počítače a přístup do školních informačních systémů. Jsou zašifrované. Přesně tak totiž může vypadat útok pomocí tzv. ransomwaru, který představuje jednu ze standardních a nebezpečných praktik. Útočníci následně škole nabídnou znovuobnovení dat a systémů výměnou za výkupné. Výsledek? Velmi nejistý. Částky výkupného se přitom mnohdy pohybují v astronomických výších, stejně jako ceny za odstraňování škod profesionály. V neprospěch škol také hovoří mnohdy nižší úroveň zabezpečení oproti komerčním podnikům. Vše navíc, nejen v období koronavirové krize, podporuje skutečnost, že řada učitelů pracuje na vlastních zařízeních, která pochopitelně využívají i k soukromým účelům.
A kde se nám mikro- a makropohledy kříží? Všechna doporučení, která výše jmenujeme, totiž mohou škole pomoci podobným rizikům předcházet. Vše můžeme i zde ilustrovat situací, kdy se svými žáky komunikujete ve skupině přes komunikační aplikaci. Z oficiálního obchodu si přitom stáhnete třeba pro soukromé účely aplikaci, která se později ukáže jako škodlivá, například kvůli zmíněné trojanizaci. To může mít řadu důsledků. Taková aplikace, které jste z nedbalosti či nepozornosti udělili vysoká oprávnění, se kupříkladu prokouše ke konverzacím v messengeru. Začne rozposílat výzvu ke kliknutí na přiložený odkaz nebo stažení přiloženého souboru. Žákům se na tom nebude zdát nic zvláštního, protože podobné odkazy posíláte běžně. Soubor si otevřou a tím umožní relativně nepozorovaný přístup nezvanému hostu do svého zařízení. To už je dobrý základ pro odcizování přihlašovacích údajů do školních informačních systémů a další nežádoucí akce. Všemožné údaje o uživatelích a systémech se totiž dají velmi dobře zpeněžit na černém trhu nebo zneužít právě k proniknutí do školní sítě. A zde se kolečko uzavírá, třeba znovu ransomwarem.
Režim online výuky masivně rozšířil využívání online nástrojů pro komunikaci. Věříme, že řada z vás bude tyto nástroje využívat i nadále, a proto je namístě zamyslet se nad tím, jak jejich využívání udělat bezpečnějším. Jak jistě tušíte, aplikace nejsou jediným bezpečnostním rizikem. Způsobů, jak se prostřednictvím běžného uživatele dostat do školní sítě, existuje celá řada, a jak jsme si ukázali, i běžná škola v malé obci může být atraktivním terčem kybernetického útoku. Je proto důležité si uvědomit svou roli, situaci nepodcenit, a jak se říká, přispět svou troškou do mlýna. Závěrem snad už jen malou výzvu. Až vezmete svůj mobilní telefon do ruky, zkuste udělat alespoň drobný krůček směrem k bezpečnosti. Pro začátek třeba malým úklidem v aplikacích.
1) https://www.csicr.cz/getattachment/a17f4484-8f2f-4331-bc5e-3e49219b45c3
2) https://www.nukib.cz/download/uredni-deska/Varov%C3%A1n%C3%AD-N%C3%9AKIB-2020-04-16.pdf