Kyberbezpečnost ve Vaší škole

4. Důležitá otázka pro ředitele školy:

Jak se můžeme bránit hackerským útokům a jejich dopadům?

 

 

Máme nějakou šanci zorganizovat obranu? Nebo je to věc technologií, které je třeba pořídit?

V minulých článcích seriálu „Kyberbezpečnost ve vaší škole“ jsme si řekli, co jsou útočníci zač a že zločinnost je záležitostí sociální, nikoli technickou. Jejich hlavní dovedností je organizace trestné činnosti. Proto i obrana bude spočívat v organizaci – tedy v managementu, řízení informační bezpečnosti a organizaci obrany. 

Rizika, která na nás míří, nemůžeme odstranit – ta budou existovat bez ohledu na naše povědomí či aktivity. Máme však možnost zmírnit jejich dopady a postavit těmto útočníkům a zlodějům do cesty značné a důležité překážky.

Jaké máme jako ředitelé škol možnosti?

Také zde budeme kombinovat různé kroky podle řízení rizik v ostatních oblastech:

  • Organizační opatření
  • Technická opatření
  • Vzdělávání
  • Pojištění
  • Akceptaci zbytkového rizika (při jeho znalosti)
  • Vyšetřování incidentů a útoků

Veškerá výše uvedená opatření a procesy musíme řídit právě my, proto nemůže stačit problém kyberbezpečnosti přenechat pouze na IT oddělení.

Dnes si řekneme více o možnostech organizace obrany.

Tu rozdělíme na další oblasti, které rozebereme v jednotlivých odstavcích.

Zajímá nás:

1.     Omezení přístupu

2.     Řízení technických zranitelností

3.     Zálohování

4.     Nouzový plán

5.     Organizace školení a testování znalostí

6.     Právo: hranice odpovědnosti ve vztazích s dodavateli/poskytovateli služeb

7.     Dokumentace všech opatření

 

Omezení přístupu

Tak jako omezujeme přístup do budovy a jednotlivých místností, budeme omezovat přístup také v informatice. Do PC, sítě, datových a databázových služeb, e-mailu, informačního systému apod. Ke všem IT prostředkům a službám dnes máme přístup přes uživatelské účty s prokazováním oprávnění heslem nebo dalšími ověřovacími prvky. Výsledkem není jen správa přístupu, ale také schopnost zachytit pohyb uživatele i jeho aktivit v informačním prostoru.

Důležité je vědět, které prvky a IT služby jsou pro nás kritické z hlediska fungování organizace a zajistit spolehlivé ověřování identity: dostatečně dlouhé, jedinečné heslo, nebo ještě lépe dvoufázové ověření – například přes mobilní telefon, jako jsme zvyklí při přihlašování k bankovním službám.

Do této oblasti patří také správa administrátorských oprávnění. Tu je vhodné omezit tak, aby uživatel PC neměl při práci oprávnění správce. Dostane-li se útočník na zařízení s oprávněním správce, má od té chvíle vše pod kontrolou.

Je nezbytné mít popsáno, kdo má k jakému prostředku či službě přístup a jaké potřebuje oprávnění. Přístupy a oprávnění se stanovují jako minimální – nezbytně nutné. Na základě tohoto popisu pak IT správce přiděluje uživatelům přístupy a oprávnění.

 

Řízení technických zranitelností

Veškerá IT zařízení, která obsahují operační systém a jakýkoli jiný software, je zapotřebí udržovat v aktuálním stavu – tzn. s nejnovější aktualizací, zejména pokud jde o aktualizace bezpečnostní. Každé zařízení obsahuje zranitelnosti – tedy programátorské chyby nebo nedomyšlenou funkcionalitu, kterou útočníci mohou zneužít pro jeho kompromitaci a následně pro kompromitaci sítě celé organizace.

Když výrobce operačního systému nebo jiného softwaru vydá aktualizaci, která nějakou zranitelnost pokrývá, tedy uzavírá, vydá o této skutečnosti informaci a nám se pak objeví oznámení o aktualizaci. Spousta systémů je viditelná zvenčí – včetně nainstalované verze. Jestliže nemáme verzi aktuální, doslova lákáme případného útočníka ke zneužití neopravené zranitelnosti.

Pro nás jako manažery je nezbytné zajistit proces aktualizací tak, aby byly správcem nasazovány bez prodlení. To může být náročná činnost, kterou je dobré automatizovat specializovaným systémem. Tím se vyhneme rizikovému chování uživatelů a správců, kteří mají tendenci aktualizace odkládat.

 

Zálohování

Zálohování je důležitou pojistkou pro případ havárie i úmyslného útoku. Zde zmíníme jen nutnost organizace celého tohoto procesu: zajištění pravidelnosti, ověřování schopnosti obnovy dat ze zálohy a jistotu úschovy jedné datové kopie mimo IT prostředí (do trezoru, jiné budovy apod.). Součástí organizace bude jako vždy dokumentace a kontrola.

 

Nouzový plán

Nouzový plán má za cíl organizovat činnost v případě havárie nebo hackerského útoku. Dojde-li k tomu, nebudeme ztrácet čas s přemýšlením, komu zavolat a oznámit, co se stalo. Důležité je třeba předem stanovit, který systém obnovit jako první a jak postupovat dále. Budeme tak mít pohromadě nezbytné informace, kontakty a horké linky na dodavatele a vše, co nám v případě havárie nebo útoku zrychlí činnost obnovy. Nesmíme zapomenout na povinnost hlásit únik osobních údajů úřadům, policii v případě trestného činu nebo dozorovému úřadu s ohledem na GDPR.

 

Organizace školení a testování znalostí

Organizace školení a testování znalostí souvisejících s informační bezpečností je nezbytnou prevencí. Dnes se zaměřujeme zejména na hrozby útoku přes e-mail (phishing a finanční fraudy) a práci s přístupovými údaji a hesly. Je nezbytné zajistit všem zúčastněným povědomí o existenci a umístění nouzového plánu a činnosti v případě havárie nebo útoku, či podezření na bezpečnostní incident.

 

Právo a hranice odpovědnosti ve vztazích s dodavateli

Toto je bohužel často opomíjená oblast řízení informační bezpečnosti. Musíme znát, kdo má přístup do našeho prostředí (např. externí dodavatel IT služeb). Uniklá data od poskytovatele by se mohla stát i naším rizikem. Ochranu si zajistíme především správným nastavením smluvní odpovědnosti a přístupu. Podobné je to při používání cloudových služeb, do kterých mají přístup naši zaměstnanci.

U všech smluv – včetně pracovních – je třeba při jejich ukončení odebrat příslušné přístupové údaje.

 

Dokumentace všech opatření

Bez dokumentace jsou všechna opatření těžko vymahatelná. Proto je třeba mít vše popsané a každé předání jakýchkoli „klíčů“ k odpovědnosti, datům nebo prostředkům protokolárně ošetřené. Veškeré směrnice, zásady, pracovní postupy a metody, musí být popsány v závazném dokumentu. Zainteresovaní musí podepsat, že se s nimi seznámili a berou na vědomí. Totéž se týká záznamů o školení informační bezpečnosti nebo výsledků testů jejich znalostí.

 

Na první pohled je toho všeho hodně. Uvědomme si však, že jde o běžnou manažerskou/statutární činnost, kterou v jiných oblastech ředitel běžně vykonává. Přístup do budovy a do jednotlivých místností také nenecháváme volný. Majetek chráníme omezením přístupu, které má analogii v informatice. A klíče vydáváme proti podpisu... 

Dočetli jste náš článek až sem? Výborně. I tak vám ovšem nemůžeme zajistit, že odteď budete znát všechny informace v oblasti řízení informačních rizik. Chtěli jsme vám především předvést rozsah aktuální problematiky a dát námět k zamyšlení. Možná díky těmto řádkům teď více rozumíte tomu, že otěže k této činnosti skutečně držíte vy jako ředitel či ředitelka, a nikoliv IT manažer. Což o to, ten nám jistě poskytne důležitou podporu a provede některá opatření, řídíte však vy jeho, převzít odpovědnost za bezpečnost je tak pouze ve vašich rukou. Ochrana tedy zdaleka nespočívá jen v investici do technologií a jejich provozu, ale ve správně nastaveném managementu řízení rizik.

V příštím článku si řekneme více o technických opatřeních v ochraně proti online útokům.

Do té doby nám můžete napsat na jan.skerle@everesta.cz. Rádi vám poradíme.

 

Pro časopis Řízení školy 5/23 napsali:

RNDr. Jan Škerle – spolupráce se školami, IT specialista Everesta, s.r.o.

Ing. Josef Javora - řízení informačních rizik a ochrana proti moderním hrozbám

 

 

logo AbS zakladni.png

Správa dokumentů na profesionální úrovni.

Můžete nám také zavolat nebo napsat:

t:+420 735 751 872
e:petra.vitkova@archivbezstarosti.cz

KONTAKTY   SLUŽBY  

Adresa:

Mimoňská 3223,
470 01 Česká Lípa

GDPR