Kyberbezpečnost ve Vaší škole

5. Důležitá otázka pro ředitele školy:

Jaké hledat technologie, abychom v informační bezpečnosti účinně pokryli to podstatné?

 

V minulém článku jsme se zabývali organizačními opatřeními v online ochraně. Dnešním tématem budou technické nástroje pro ochranu. Obojí spolu úzce souvisí v oblasti řízení a obojí také budeme potřebovat pro naplnění našeho úkolu: řízení informačních rizik.

Představujeme vám tedy nejdůležitější prvky, které vám pomohou usnadnit nasazení a efektivní správu organizačních opatření nebo přidají k online ochraně důležité překážky pro útočníky a hackery. Tím míříme k tzv. mitigaci informačních rizik. Snažíme se omezovat následky možných incidentů a útoků, protože nemáme možnost omezit samotnou zločinnost.

 

Mezi nejdůležitější prvky, které doporučujeme zvážit, patří:

Omezení / řízení přístupu

Segmentace sítě je rozdělení sítě na menší oddělené části, které jsou navzájem izolovány a chráněny. Tím se snižuje riziko, že se útočník dostane z jedné části sítě do druhé a může tak způsobit škody. Segmentace je také užitečná pro rozdělení přístupových práv k určitým zdrojům a zvýšení celkové bezpečnosti sítě.

Síťový firewall

Tato ochrana blokuje neautorizovaný přístup k vaší síti zvenčí a zabraňuje útočníkům v průniku do vašich dat. Firewall může být hardwarový nebo softwarový a je důležitým prvkem pro ochranu vaší sítě – ten s největší pravděpodobností již dnes používáte.

Správa privilegovaných účtů slouží k řízení přístupu k počítačům a serverům na úrovni oprávnění. Omezí se tak práce pod administrátorským účtem a minimalizuje se riziko kompromitace zařízení a šíření útoků v síti. 

Lokální firewall a jeho správa je významnou ochranou jednotlivých koncových zařízení (PC nebo serverů) před neoprávněným přístupem z okolí. Tento firewall je součástí operačního systému a nástroj pro jeho správu vám zajistí, že budete na svém PC skutečně jediným uživatelem.

VPN (Virtual Private Network) je technologie, která umožňuje vzdáleným uživatelům připojení k soukromé síti přes veřejnou síť (internet), jako by se nacházeli přímo v této síti. To umožňuje bezpečné vzdálené přístupy k datům a aplikacím, které jsou v síti dostupné pouze pro určité uživatele.

Ochrana proti tzv. útokům brutální silou má za úkol chránit koncové zařízení před mnohočetnými pokusy o prolomení hesla útočníkem.

 

Ochrana proti malwaru

se realizuje na více úrovních. Tou základní je moderní antivirus – obvykle nazývaný jako antivirus nové generace. Bohužel řada virů a malwarů je hackery vytvořena tak, aby se dokázaly této ochraně vyhnout.

Proto je nutné zajistit schopnost detekce aktivit útočníka a omezit komunikační schopnosti malwaru – tedy spojení našich zařízení s technickou infrastrukturou útočníka. Jednou z možností je využít službu aktivní filtrace DNS provozu. Nejde ale zdaleka o možnost jedinou.

Tato ochrana bude ještě efektivnější, když ji zkombinujete s nástrojem pro řízení technických zranitelností, což představují automatizované systémy pro správu záplat a aktualizací. Jejich cílem je rychle pokrýt bezpečnostní zranitelnosti, které by mohly být zneužity k útoku.

Kombinace těchto tří prvků ochrany proti malwaru se nazývá tzv. systémem EDR (Endpoint Detection and Response), což je systém pro detekci hrozeb a reakci, která spočívá především jejich eliminaci včasným blokováním. V současné době, kdy tyto hrozby dokážou zcela běžně a úspěšně obejít základní antivirovou ochranu, je systém EDR základním nástrojem pro kybernetickou ochranu koncových zařízení.

 

Řízení a omezení aplikací

svěřujeme automatizovanému nástroji, který umožňuje provozovat na koncovém zařízení pouze námi schválený software. Toto omezení je důležité, protože pokud omezíme běh neschválených programů, nedovolíme také spuštění malwaru, který je také programem, který je možné spustit. V takovém případě si uživatel sice nemůže nainstalovat libovolný software – pokud ale pracuje na školním zařízení, má v tomto případě bezpečnost prioritu nejvyšší. Tímto způsobem tedy postavíme potenciálnímu útočníkovi do cesty další překážku a zároveň máme pod kontrolou používání legálního softwaru.

 

Ochrana proti šifrování

má za cíl znemožnit jakýkoliv proces šifrování a zobrazit soubor nebo proces, který šifrování zahájil. Dojde k jeho okamžitému zablokování i blokaci opětovného spuštění aplikace, která začala šifrovat. Pro ty aplikace, kde je šifrování žádoucí, vytvoříme v nastavení aplikace výjimky. Díky této ochraně se můžeme posunout do relativního bezpečí před kryptoviry / ransomware.

 

Zálohování

řešíme technicky přidáním zálohovacího úložiště, externí službou a zálohovacím softwarem pro řízení a správu záloh a obnovy. Existuje celá řada produktů a služeb, ze kterých je možné si vybrat. Zálohování doporučujeme nastavit podle osvědčeného pravidla 3-2-1: mít tři záložní kopie, na dvou různých médiích a minimálně jedna záloha uložena mimo prostředí organizace.

 

Ochrana e-mailu (spam, phishing, CEO fraudy)

Je nutná před škodlivými zprávami a jejich přílohami, a to jak na příjmu, tak na výstupu z poštovního serveru. Na příjmu chráníme sebe a své prostředí před hrozbami, které představují vysoké riziko zavlečení nákazy. Na výstupu chráníme naše adresáty a reputačně sami sebe proti spamu zasílanému z našeho prostředí, pakliže k takovému útoku dojde. Samostatnou kapitolou je ochrana proti CEO fraudům a finančním podvodům při zneužití zkompromitované e-mailové komunikace. Řešením je vyhledat vhodný software a služby, které tyto úrovně ochrany nabízí.

 

Skupinové zásady (politiky)

jsou nástroje pro hromadnou správu bezpečnostních produktů i celého IT prostředí. Při výběru je nutné myslet na bezpečnost samotného nástroje a nároky na jeho správu: hromadná správa usnadňuje řízení prostředí. Není však složité si představit, co by získal hacker, pokud by se mu podařilo správu zkompromitovat a převzít.

 

Logové záznamy

Většina nástrojů pro pokrytí výše uvedených vrstev ochrany zahrnuje také záznam aktivit – důležitých událostí, které jsou využitelné pro případné vyšetřování hackerského útoku nebo jeho pokusu. Tuto povinnost nám ukládá také GDPR.

 

 

Obecně je důležité hledat nástroje, které jsou pokud možno automatizované (nepotřebují dohled či reakci odborníka) v kombinaci, která má jednotnou správu a podporu. Hledáme samozřejmě řešení finančně dostupné pro školu, které odpovídá jejím aktuálním potřebám.

Není nezbytné a často ani finančně možné pořídit vše najednou. Můžeme například začít s výše uvedeným systémem EDR a naplánovat si další vrstvy ochrany pro rozvoj do budoucna. 

Článek nemá ambice postihnout všechny nástroje, které jsou v dnešní době k dispozici. Je-li našim cílem úroveň bezpečnosti odpovídající potřebám dneška, bude třeba vynaložit nějaké peníze. Vhodnou kombinací jednotlivých prvků můžeme dosáhnout dobré efektivity. Jestliže nám ovšem mají IT systémy usnadňovat život, mělo by být zajištění bezpečnosti v naší škole vysokou prioritou.

Co dál? Určitě se zeptejte vašeho ajťáka, co z tohoto máte pokryto a jak, tím získáte důležité podklady pro další rozhodování při hledání produktů a služeb. Vše pak konzultujte s někým, kdo se informační bezpečností profesně zabývá.

Přestože váš IT manažer může mít spoustu zkušeností a být profesionálem v oboru, jeho znalosti jsou limitované, protože správa IT a informační bezpečnost jako taková jsou dnes oddělené odbornosti. Je to stejné jako v medicíně - obsahuje řadu specializací a neexistuje lékař, který by pokryl všechny.

Pakliže už teď vidíte mezery v ochraně, které by vás nechaly zranitelné vůči moderním hrozbám, řešení neodkládejte, rádi vás při tom podpoříme.

Napište nám na jan.skerle@everesta.cz a probereme s vámi dostupné možnosti nebo přijměte pozvání na webináře Kyberbezpečnost ve vaší škole na webových stránkách eshop.everesta.cz.

 

Pro časopis Řízení školy 6/23 napsali:

RNDr. Jan Škerle – spolupráce se školami, IT specialista Everesta, s.r.o.

Ing. Josef Javora - řízení informačních rizik a ochrana proti moderním hrozbám