Kyberbezpečnost ve vaší škole

3. důležitá otázka pro ředitele školy: Jak vypadá hackerský útok a co nás můžou stát následky?

 

Není zbytečné dělat si zle takovým přemýšlením?

Rozhodně není! Nejde o to se vystrašit, ale poznat, jak online útočníci fungují, jak přemýšlí a co od nich čekat. Budeme-li o tom něco vědět, přemýšlet o možné obraně už není tak složité.

Zkusme si představit následující situaci: V pátek večer volá váš kolega, abyste přijel, že se u vás ve škole chovají divně zapnuté počítače a že na některých svítí obrazovka s podivnou grafikou obsahující logo školy a zprávu o napadení ransomwarem. Ta vyzývá k platbě výkupného. Po zaplacení nemalé částky slibuje, že získáte heslo k dešifrování všech dat a zařízení. Dále se dozvíte, že také ukradli data, jejichž vzorek zobrazují v samostatném okně. Bohužel to vypadá, že je opravdu mají a vyhrožují jejich zveřejněním, když nezaplatíte... Zpráva také sděluje, že zničili zálohy, které se jim podařilo objevit.

V takovém případě šlo o útok s použitím kryptoviru (tedy ransomwaru) doplněný o krádež dat a vydírání.

Sednete si na první židli a přemýšlíte, jak k tomu došlo. 

Nemusíme být IT experty, abychom si představili, že:

  1. Útočník se musel nějak dostat do našeho prostředí. Tedy ovládnout první zařízení a z něho se rozšířit na další... postupně zřejmě na všechna.
  2. Musel vše prozkoumat, aby zjistil, kde jsou servery, data, která by mohl ukrást a co zašifrovat.
  3. Zřejmě také našel zálohy, které zničil.
  4. Následně musel stáhnout hodnotná data. 
  5. Potom zřejmě doručil nějaký škodlivý software a šifrovací klíč.
  6. Následně zašifroval všechna zařízení.
  7. A po dokončení svého díla zobrazil výzvu, kterou jsme si mohli přečíst.

 

Co nám může říct těch sedm kroků k úspěšnému útoku?

Pojďme si to postupně rozebrat, můžeme totiž díky tomu přijít na několik důležitých skutečností:

  • Musí existovat nějaký způsob, jak se útočníci vyhnou antivirové ochraně, kterou máme vždy zapnutou.
  • Útočníci následně získali přístup ke všem ostatním zařízením. Pravděpodobně u nás dokázali pracovat na dálku.
  • Prostřednictvím vzdáleného přístupu zřejmě prozkoumali naše data a spustili jejich stahování (krádež).
  • A také najít a zničit zálohy.
  • Podobné to bude také s doručením šifrovacího klíče a škodlivého softwaru.
  • Pak už stačilo spustit program s klíčem a zahájit šifrování.
  • Zobrazení zprávy na obrazovce už je jen jednoduchý detail...

 

Okamžitě vás napadnou tyto otázky:

  • Jak mohli útočníci překonat antivirovou ochranu?
  • Jaké jsou další cesty k průniku do PC?
  • Jaké jsou možnosti pro šíření po síti?
  • Jak útočníci zajišťují komunikaci s napadeným zařízením nebo jeho vzdálenou správu?
  • K čemu jsou zálohy, které jsou útočníci schopni zničit?
  • Jak dlouho může trvat stahování dat, aby se nedalo snadno odhalit?

 

Je vidět, že pro tyto úvahy nepotřebujeme být hned IT experty. 

Potřebujeme je ale k tomu, aby na naše otázky odpověděli. Když na ně správně zareagujeme, můžeme svou bezpečnost proti takovému útoku značně vyztužit.

Díky tomu zjistíme, jak můžeme blokovat útok malwarem, který dokáže obejít antivirus, omezit nebo hodně ztížit možnosti pohybu mezi jednotlivými zařízeními v naší síti. Omezíme také možnosti vzdáleného přístupu a komunikace hackerů s naší informační infrastrukturou. A budeme hledat způsoby zálohování, které nám zajistí, že zálohy nebudou v případě útoku poškozeny.

Je zřejmé, že takto vylepšené zajištění naší bezpečnosti nebude úplně zadarmo. 

 

Ale kolik peněz je tedy rozumné investovat? 

Dá se to nějak stanovit?

Nabídneme dvě hlediska:

  • Riziko ztráty dostupnosti dat a/nebo služeb.
  • Riziko ztráty reputace v důsledku zveřejnění citlivých dat (následky související s GDPR nevyjímaje).

 

V případě ztráty dostupnosti bude záležet na době, po kterou nebudou IT data/služby v důsledku útoku funkční – a jak vás to ve vaší činnosti postihne. Můžeme zjistit u našeho správce IT, kolik času (a peněz) by stála úplná reinstalace všech koncových zařízení (PC, notebooky, servery) a obnova všech dat. Je možné, že zjistíte, že je tato teoretická doba obnovy pro vás neakceptovatelně dlouhá. Ještě horší je však situace v případě ztráty záloh, kdy budete muset data pořídit znovu. To se snadno protáhne i na dlouhé týdny, kdy nebudete schopni dělat nic, k čemu potřebujete PC.

Ztráta reputace je stejně nepříjemná nebo i horší. Pro školu, která zpracovává citlivé osobní údaje, pro zřizovatele i management to může být záležitost fatální a při takovém průšvihu obvykle „padají hlavy“.

V případě obnovy celé IT infrastruktury můžete spočítat náklady nejsnadněji. Stejně tak můžete počítat náklady způsobené výpadkem činnosti. Ohodnotit finančně dopady ztráty reputace bude obtížnější.

Každopádně je třeba takovou rozvahu provést, protože od výše finančního dopadu lze stanovit, jakou částku budeme ochotni utratit za ochranu: Budete hledat, jak snížit hrozící náklady na dopad rizika. 

To už začínáte riziko opravdu řídit!

Je dobré si uvědomit, že potřebnou kompetenci k tomu má skutečně ředitel/statutár. IT správce bude jistě nápomocný, ale ohodnotit dopad rizika nemůže. Stejně tak ale nemůže být IT manažer odborníkem na ochranu před online útočníky. Těžiště jeho práce je ve správě, kterou samozřejmě musí provádět s ohledem na bezpečnost. Rozhodně ale není v denním kontaktu s rizikem. Znát aktuální trendy v hackingu je skutečně jinou odborností.

Útoků je ale mnoho typů – dnes jsme si řekli o jednom, tom nejaktuálnějším a nejběžnějším. V případě ostatních budeme přemýšlet podobně a hledat obranu, která tkví v organizaci (opět činnost pro ředitele) a v technických nástrojích, kde bude více prostoru pro IT správce. O investici ale bude muset opět rozhodnout sám ředitel nebo zřizovatel.

 

To už ale jsme v procesu řízení rizik. O tom zase až příště.

Pokud už teď vidíte mezery v ochraně, které by vás nechaly zranitelné vůči podobným hrozbám, není dobré jejich nápravu odkládat. Rádi vás při tom podpoříme.

Napište nám na jan.skerle@everesta.cz a probereme s vámi dostupné možnosti nebo přijměte pozvání na webináře Kyberbezpečnost ve vaší škole na webových stránkách eshop.everesta.cz.

 

 Pro časopis Řízení školy 4/23 napsali:

RNDr. Jan Škerle - spolupráce se školami, IT specialista Everesta, s.r.o.

Ing. Josef Javora - řízení informačních rizik a ochrana proti moderním hrozbám