Hackerské útoky směřují i na školy – je ta vaše skutečně v bezpečí?

 

Začínáme si pomalu zvykat, že se občas doslechneme o nepříjemném útoku na nemocnice, firmy, státní orgány nebo jiné organizace a určitě jsou namístě otázky:

  • Bylo tomu tak vždy, nebo je to až v poslední době? 
  • Dá se tomu bránit, nebo jde o moderní formu zločinnosti, kterou prostě musíme akceptovat? 
  • A co prostředí našich škol? Jsou i školy očekávatelným cílem takového útoku?
  • Ohrožuje nás to, nebo o nic nejde? 
  • Ochrání nás zřizovatel, vlastník, stát, nebo je to jen na nás?
  • Jak útokům zabránit, stačí používat antivirus?

 

Výše položené otázky nejsou k přemýšlení zrovna příjemné – ředitel školy se jim ale těžko vyhne. Každá škola k zajištění svého provozu v současnosti potřebuje počítače, přístup k internetu, interním informačním systémům, bankovnictví, emailům a citlivým údajům studentů a zaměstnanců. Je tedy více než jasné, že jde prakticky o všechny školy.

Možností řešení je více. Nejhorší je bezpochyby nic neřešit a doufat, že „nám se to nestane“ a „my přece nejsme zajímavý cíl“. V takovém případě se bohužel riziku nejvíc vystavuje ředitel školy jako statutární orgán. Pokud „doufání“ nezabere a vznikne škoda, pak bude na řediteli (nikoliv na IT oddělení) vysvětlit zřizovateli, jaká opatření (ne)přijal a zda postupoval s péčí řádného hospodáře.

 

Může být škola pro útočníka atraktivním cílem?

Ze zpráv se může zdát, že cílem útoků jsou korporace a velké firmy. Jde ale spíše o špičku ledovce a o velké ryby, které jsou atraktivní pro média. Statisticky většina útoků míří na středně velké subjekty. I když se škola nemusí zdát jako lákavý cíl, opak je pravdou – zloději také nejdou po těch nejbohatších nemovitostech, ale hledají spíše ty nenápadné, a hlavně méně zabezpečené .

 

Je řízení informační bezpečnosti úkolem ředitele, nebo IT manažera?

Odpověď je jednoduchá: jde o statutární odpovědnost, protože dopady případného útoku postihnou především ředitele odpovědného za zajištění provozu školy. Ten taky může rozhodovat o investicích a organizačních opatřeních, která k informační bezpečnosti neodmyslitelně patří. V neposlední řadě je dobré si uvědomit, že zločinnost (kybernetickou nevyjímaje) není problémem technickým, ale sociálním.

IT oddělení hraje bezpochyby důležitou roli, ale primární rozhodnutí o podobě strategie pro zajištění kybernetické bezpečnosti a souvisejících opatřeních je na vedení školy. 

 

Máme antivirus! Jsme v bezpečí?

Jde o základní prvek bezpečnosti, dnes však bohužel zdaleka nestačí! Útoky proti informační infrastruktuře, jako jsou třeba krádeže dat, často ve spojení s požadavkem na výkupné, jsou vedeny celou sadou aktivit útočníků, kteří nemusí viry a malware vůbec používat. Případně využijí řadu technik pro to, aby antivir obešli, ba dokonce jej úplně vyřadili z činnosti.

 

Nestačí-li antivirus, co použít?

Důležité je mít k dispozici nástroj, který poskytne schopnost detekce přítomnosti útočníka v našem prostředí. Nicméně jde často o celkem nákladné systémy, jako tzv. EDR (Endpoint Detection and Respond), monitoring síťového provozu či služby dohledu nad logy (auditními záznamy) vašich zařízení. Obvykle to vyžaduje odborníka nebo dohledovou službu.

Existují však také tzv. systémy ochrany IT provozu, kterým se říká filtrace DNS . Ty lepší jsou vybaveny umělou inteligencí a strojovým učením, které chrání koncové body před aktivitami hackerů a poskytnou potřebnou vizibilitu a blokaci škodlivé komunikace při nákladech nepřevyšujících cenu antiviru.

 

Jsou na trhu dražší i levnější řešení? 

Máme za to, že běžné EDR systémy s podporou odborníka nebo dohledového centra mohou být pro české školy skutečně nákladné. 

Systémy filtrace DNS s využitím umělé inteligence lze pořídit podstatně levněji, takže můžou být dostupné pro mnohem větší okruh škol.

Krátkodobě nejlevnější variantou je neměnit aktuální stav, spolehnout se pouze na antivirus, firewall a další klasické prostředky ochrany. Svět kyberkriminality se ale vyvíjí velice rychle, nástroje, které dobře fungovaly před 5-10 lety nás už dnes nemusí ochránit před tzv. pokročilými hrozbami. Náklady na „výkupné“ v případě ransomwaru nebo odcizení citlivých dat můžou mnohonásobně převýšit úspory na zabezpečení školy.  

 

Závěr

V dnešní době je kyberbezpečnost (nejen) pro školy vysoce aktuální téma. Vyčkávání nebo „doufání, že nám se TO nestane“ je nebezpečnou taktikou. Řešení však existuje – to výše uvedené (určitě není jediné) dokáže pokrýt více slabých míst dnešních IT systémů a je skvěle škálovatelné od menších subjektů po ty největší. 

Podstatné ale je, aby si vedení škol uvědomilo svoji odpovědnost, do které řízení informačních rizik patří – tak jako řízení všech rizik, které na ně míří. Vyhodnotit možné dopady a následky, které jsou s tím spojené, včetně úsilí a nákladů na obnovu po útoku. Pak bude možné přijmout organizační opatření a zvolit adekvátní technické vybavení, které bude odpovídat potřebám organizace. 

Autor: Samuel Kohoutek, Everesta, s.r.o. - článek pro časopis Řízení školy 12/22