Aktualita

Kybernetická bezpečnost ve školách - zeptali jsme se odborníka na její problematiku

Jak přežít v kybernetickém prostoru bez trvalých následků? Jaké zásady dodržovat a čemu se vyvarovat? V rámci online rozhovoru Jhk Na slovíčko...jsme se zeptali odborníka na informační a kybernetickou bezpečnost Ing. Jiřího Sedláčka. 

Nejčastěji slyšíme o kybernetických útocích v souvislosti s firmami nebo nemocnicemi. Týkají se útoky i škol? Jsou známe nějaké případy?
Ano, znám pár případů. Každý se tím samozřejmě nechlubí a i pro média je určitě zajímavější napadená nemocnice než škola… Také následná škoda není tak závratná jako např. u nemocnice (nejen finanční ztráty, ale i možné dopady na zdraví pacientů v dané spádové oblasti). Nicméně, tak jako mnoho jiných organizací, i školy se mohou stát obětí kyberútoku. Když to vztáhnu k současnosti, poměrně časté bývají ransomware útoky, kdy postižená škola přichází o data.
A školy taktéž zpracovávají osobní údaje. A to nejen žáků, ale i zaměstnanců. I v této oblasti je co napravovat…

Jak předejít napadení? Je to vůbec možné?
Určitě. Stejně tak jako v jiných oblastech. Pokud např. dbám o svoje zdraví, tzn. chovám se zdravě, snižuji riziko onemocnění. To samé platí i v oblasti informační a kybernetické bezpečnosti. Každý statutár či vrcholové vedení by si měli ujasnit jak chtějí k této problematice přistupovat a jestli vůbec chtějí. Na základě toho pak posuzují/nechají posoudit svoji bezpečnostní situaci a následně implementují bezpečnostní opatření, která mohou mít i preventivní charakter. Pokud se bezpečnost snaží kdokoli prosadit a nezíská si podporu vedení, jedná se o velice neefektivní činnost s chabým výsledkem. Každá organizace má tři základní pilíře. Jsou to lidé, procesy, technologie. Každé oblasti se musím věnovat i z bezpečnostního pohledu. A lidský faktor bývá nejslabším článkem řetězu… Osvěta a pravidelná školení, včetně kontroly znalostí a bezpečnostního povědomí jsou zcela na místě. Je také nezbytné mít zpracovánu bezpečnostní dokumentaci a vnitřní legislativu a mít zajištěnu vymahatelnost dodržování stanovených pravidel. Vhodné je samozřejmě konzultovat tuto problematiku s odborníky.

Jaké jsou první kroky při napadení? Jak má škola reagovat? Na koho se obrátit? 
To je asi spíše dotaz na statutárního zástupce nějaké školy. Být na jeho místě, pídil bych se po informacích od zřizovatele či od MŠMT. Obecně vzato bych ale měl počítat s tím, že se může něco stát. Stejně tak, jako musím být připraven řešit výpadek napájení el. energií, vniknutí nežádoucí osoby na půdu školy, či škody způsobené nějakým živlem. Pokud problém řeším až v momentě, kdy se stane, to dle mého názoru není správný přístup. A koneckonců, často si každý musí pomoci sám. Nebo se lépe řečeno spoléhat na sebe a své zaměstnance. Tzn. připravit si scénáře nežádoucích situací a zamyslet se nad tím, jak na ně budu reagovat. A to se vlastně dostáváme do oblasti business continuity a disaster recovery. Řeším tedy jak zajistit kontinuitu poskytování svých služeb (vzdělávání žáků) a jak rychle a jakými prostředky (lidské, finanční, materiální zdroje) zajišťuji nápravu v případě nežádoucí/nechtěné události. Pokud se ptáte na případ napadení školy, myšleno nějaký kybernetický útok, dle jeho povahy zajistím reakci. Např. v případě napadení ransomware musím uvést do karantény všechna kompromitovaná zařízení a zajistit nejen jejich vyléčení či reinstalaci, ale musím se rovněž zabývat tím, proč k tomuto bezpečnostnímu incidentu došlo. To bývá mnohdy obtížnější… Tady jistě můžete spatřit analogii s dnešní COVID situací…

K online výuce často využíváme různé platformy (Teams, Zoom...). Jsou tyto platformy bezpečné? Můžeme něco udělat pro zvýšení bezpečnosti?
Doporučuji navštívit web našeho NÚKIB. Web je velice dobře zpracován. Zde je odkaz.

Myslíte si, že se školy dostatečně věnují KB?
Nerad bych tuto otázku paušalizoval. Některé školy se věnují v maximální možné míře, některé školy méně, jiné vůbec. Je mnoho škol, které např. řeší pouze fyzickou bezpečnost. Není to jen o vůli či chtění vedení školy, ale taktéž o podpoře jak zřizovatele, tak i státu. Pokud mám např. jako statutár problém zajistit odborníky v této oblasti, při sebelepší dobré vůli jsem v poměrně složité situaci.

Jste autorem koncepce JCE. Můžete nám více tuto koncepci přiblížit?
Zkusím odpovědět stručně. Koncepce je volně dostupná na webu našeho klastru. Jednoduše řečeno, reagoval jsem na požadavky Národní strategie kybernetické bezpečnosti ČR na léta 2015 – 2020, kde bylo identifikováno, že je nutné posílit vzdělávaní v kybernetické bezpečnosti i na SŠ a pomáhat tak zajišťovat kvalifikované občany pro rozvinutou informační společnost. Mou snahou bylo zvýšit odbornou úroveň našich středních škol v oblasti informační a kybernetické bezpečnosti. Zastávám názor, že podporou těch nejschopnějších následně povýším odbornou úroveň i těch ostatních. Koncepce je vlastně jakýmsi metodickým materiálem jak se stát kandidátem na tzv. středoškolské Junior centrum excelence informační bezpečnosti (JCE IB). Pokud má určitá SŠ ambici začít JCE IB budovat, podaří se jí získat podporu kraje a postupuje v souladu s Koncepcí, má velkou šanci získat označení JCE IB. Tato centra jsou budována na krajském principu, tzn. v každém kraji jedna taková škola. Nosnou myšlenkou Koncepce je nejen spolupráce JCE IB vzájemně, ale i podpora ostatních SŠ v regionu (případně i ZŠ), včetně podpory (vzdělávání) veřejnosti. Laboratoře v centrech budované budou využívány vzdáleně i pro ostatní školy. Tím je zajištěno maximální využití technologií a efektivní využití finančních prostředků (nákladů na pořízení). Koncepci podporuje náš klastr, Masarykova univerzita a (za což jsem moc rád) i naše národní autorita v této oblasti – NÚKIB.