Kyberbezpečnost ve vaší škole

1. důležitá otázka pro ředitele školy:

Odpovídá úroveň kyberbezpečnosti ve vaší škole jejím skutečným potřebám? 

 

Můžete odpovědět kladně?

Každý ředitel školy hledá ta nejlepší řešení, jak se účinně a efektivně chránit před celou řadou hrozeb. Tato činnost přitom naplňuje nejdůležitější statutární odpovědnost. Bez pochyby do ní spadá také ochrana před hackerskými útoky – obecně tedy před kybernetickými hrozbami.

Pro správné rozhodnutí musíme mít k dispozici dostatečné množství podkladů. S tím by nám měli pomáhat odborní poradci. Spoléhat se na rady kolegů, i když mají zkušenosti s IT, nebo dokonce s hackerským útokem, je sice pohodlné, ale zároveň nebezpečné.

Kybernetické hrozby a ochrana proti nim je totiž oblast, která je mimořádně dynamická. Je proto důležité hledat někoho, kdo se tím zabývá soustavně – ve spojení s řízením informačních rizik. IT odbornost sice dává vhled do technické stránky ochrany – hrozby, které na nás míří, jsou však dílem podvodníků a zlodějů – nikoliv programátorů nebo zdatných „ajťáků“. Zločin je záležitostí sociální, nikoli technickou. Proto také převaha praxe ochrany tkví v řízení, nikoliv v technické správě.

Tak je to s řízením rizik obecně, tedy s jejich zvládáním. Zločinnost zkrátka nevymýtíme. Musíme ji však vzít v úvahu a podle toho se zařídit. Dnes už je běžné, že do školy není volný přístup, jak tomu bylo dříve. Omezit je ale třeba také přístup těm, kteří nepotřebují fyzický vstup do budovy školy, ale vystačí si s přístupem online.

 

Podívejme se, jak to budeme řešit s kyberbezpečností.

Nejdříve je dobré si udělat základní představu o aktuální situaci. Abychom si na otázku z úvodu článku mohli odpovědět, budeme pokračovat dále:

Jak rychle posoudit stav ochrany proti online hrozbám? 

Odpovědí na následující otázky nesmí být hledání v organizačních směrnicích nebo konzultace se zainteresovanými. Tu musíme znát sami:

  • Existuje nouzový plán? 
  • Vědí všichni zainteresovaní, kde se nachází? 
  • Vědí, co dělat ve chvíli, kdy rozpoznají hackerský útok? 
  • Je tento plán dostupný, i když by nefungovaly IT prostředky?

 

Pak doporučujeme pokračovat:

V jakém stavu jsou zálohy dat a zařízení, jejichž výpadek by nás dokázal natolik omezit, že by narušil chod školy? Tedy delší výpadek, který nemůžeme akceptovat nebo trvalá ztráta.

  • Podepisuje pravidelně odpovědná osoba dokument o provedení zálohy?
  • Je součástí procesu také pravidelné ověřování funkčnosti zálohy? Jsme si jistí, že dokážeme zálohy obnovit?
  • Máme dostatečnou diskovou kapacitu pro obnovu zálohy, aniž bychom museli cokoliv smazat?
  • Víme, jak dlouho by trvala obnova zařízení a dat, která jsou kritická pro chod školy? Víme, jak dlouhou dobu můžeme akceptovat?

 

Jestli na výše uvedené otázky odpovíme s klidným svědomím kladně, je to dobré. Zejména je důležité vědět, na jak dlouho by nás takový útok vyřadil z provozu. Nyní můžeme hledat odpověď na tu otázku z úvodu. 

Abychom informační rizika skutečně řídili, budeme si muset položit více otázek. Těm se budeme věnovat zase příště. Některé otázky také budou vyvstávat s vývojem v čase – online hrozby se neustále mění a to, co stačilo včera, nemusí už stačit dnes. Proto nám nezbývá než pravidelně revidovat naše nastavení – organizační (procesy a vnitřní předpisy) i technické. Dobrá dokumentace nám pomůže, abychom opakujícím se věcem nemuseli věnovat tolik času a mohli řešit potřebné změny.

Záměrně jsme se snažili „stáhnout“ řízení informačních rizik mimo problematiku IT technologií. Těm se budeme věnovat až nakonec, když budeme mít představu o hrozbách, našich zranitelnostech, o modelech útoku a o tom, co nás před nimi ochrání.

Bohužel, neexistuje žádné technické řešení, ani služba, která by nás zbavila nutnosti se těmto věcem trvale věnovat. Jestli vám někdo něco takového nabízí, mějte se na pozoru! Každá organizace je totiž jedinečná. A stejně „originální“ jsou útočníci. Dobrou zprávou je snad to, že pro úspěšnou obranu se nemusíme stát IT odborníky, nebo dokonce odborníky na informační bezpečnost.

Nemusíme ani zavádět ISO normu (řízení informačních rizik řeší ISO27000). Systém řízení informační bezpečnosti – i v jednoduché formě – nám ale může hodně pomoci. A možná také ušetřit. Efektivní obrana totiž nebude ani zdaleka tou nejdražší. 

 

Budete-li mít zájem, chystáme do budoucna další článek, kde si povíme více o online hrozbách, o tom, jak hackerský útok vypadá a jak se můžeme bránit.

 

Pokud ale vidíte mezery v ochraně, které potřebujete zaplnit, není dobré dlouho čekat. Rádi vás podpoříme ve stavbě online ochrany a řízení informačních rizik.

Začít se dá rychle – není třeba dělat hned analýzy v rozsahu diplomové práce. Zpočátku postačí tužka a kus papíru a ozvat se nám na jan.skerle@everesta.cz.

 

Autor:

RNDr. Jan Škerle – spolupráce se školami, IT specialista Everesta, s.r.o.

Ing. Josef Javora - řízení informačních rizik a ochrana proti moderním hrozbám

Článek připraven pro Řízení školy 2/23