Kyberbezpečnost ve Vaší škole

2. důležitá otázka pro ředitele školy:

Jaké jsou největší online hrozby pro školy?

 

Je vůbec škola pro hackery úmyslným cílem?

To je otázka, kterou si klade každá (i potenciální) oběť. Napadá vás něco jako „naše škola přece nemůže být pro útočníky relevantním cílem – snad musí jít o omyl – jakmile si jej hackeři uvědomí, útoku zanechají, protože to pro ně není zajímavé.“?

Bohužel to tak není, praxe mluví zcela jasně.

Hackerský útok si můžete představit jako lov rybářskou sítí, kdy není možné předem vědět, kdo se chytí. K identifikaci napadené oběti dochází obvykle až ve chvíli, kdy je útočník uvnitř síťového prostředí. 

 

Když útočník zjistí, že jde o školu, jde to radši zkusit jinam?

Bohužel ne. Existují jistě lákavější cíle, které dávají šanci na získání více peněz nebo dat. Jak se ale říká – nemusí pršet, stačí, když kape. Hackeři míří na mnoho cílů, a jakmile se jim některý podaří zasáhnout, jsou spokojeni. Zloději, kteří vykrádají domácnosti, se také primárně nezaměřují na nejbohatší vily a luxusní byty, protože dobře vědí, že takové objekty bývají kvalitně zabezpečeny a vybaveny dohledovým systémem. Než by tedy riskovali odhalení, raději si vytipují běžný dům či byt, který je zajištěný mnohdy jen obyčejným zámkem, který snadno překonají.

 

Co tedy hackeři chtějí získat? 

Finálním cílem každého útoku je získat peníze – jakýmkoli způsobem. 

K tomu, aby se k našim penězům mohli dostat, používají četné metody a nástroje, které sami vyvíjejí, nakupují nebo si najímají. Souhrnně jim říkáme hrozby – chcete-li, online hrozby.

Zejména jde o:

  • Finanční fraudy – podvody při použití zkompromitované e-mailové komunikace nebo falešných či pozměněných dokladů.
  • Krádeže peněz přes zkompromitované přístupové údaje k bankovním účtům.
  • Osobní údaje, které je možné po krádeži prodat – obzvláště zajímavé jsou citlivé osobní údaje, což jsou všechny, které se týkají nezletilých osob.
  • Krádeže přístupových údajů, které lze zneužít k páchání další trestné činnosti – třeba jménem oběti, kterou se (kromě školy) může stát i jednotlivec.
  • Znepřístupnění nebo zničení dat na PC, serverech a úložištích zdánlivě bez další snahy o zpeněžení útoku.
  • Vydírání organizace za použití zašifrování PC a serverů, které může vést k přerušení činnosti organizace a ztrátě dat.
  • Vydírání organizace pod hrozbou zveřejnění odcizených citlivých osobních údajů.
  • Phishing a spam, které mohou nést škodlivé odkazy zneužitelné pro výše uvedené hrozby – mohou tak být jakousi vstupní branou útoku.
  • Zneužití technických zranitelností, které jsou zahrnuty v každém softwaru nebo operačním systému – ty patří mezi běžné vstupní brány pro útok. Stačí k tomu váš neaktualizovaný prohlížeč.
  • Odstavení a blokace webových služeb hromadným dotazováním, které zahltí příslušné zařízení – tzv. útoky DOS a DDOS (Denial-of-Services a Distributed-Denial-of-Services).

Druhů kybernetických hrozeb je samozřejmě více, ale je potřeba s nimi počítat a účinně se jim bránit – míří totiž na naše školy stejně jako na další organizace a firmy, udeřit mohou naprosto kdykoli a kamkoli.

 

Musíme znát technické detaily hrozeb?

Technické detaily nikoliv. Je ale dobré mít představu o aktuálních hrozbách i o tom, jak působí a fungují. To nám pomůže se chránit a držet prst na tepu řízení informační bezpečnosti. V této oblasti dochází k rychlému vývoji, takže je nutné informace pravidelně aktualizovat. Doporučuji zapamatovat si alespoň výše uvedené body. 

V dalších článcích se pak podíváme detailněji, jak hackerský útok může vypadat, jaké jsou jeho následky a jak se budeme bránit. Přečtete-li si pak v médiích článek o hackerském útoku, hned budete vědět, o jaký typ útoku jde a bude pro vás snazší přemýšlet, jestli jste taky někde nenechali „klíčky v zámku“.

Cílem získání informací o hrozbách a ochraně je především schopnost řídit související rizika, což je základním posláním ředitele každé organizace. Pomohou pak také s úkolováním IT správce či firmy, která pro školu tyto služby provádí a také s investicí do bezpečnosti. V neposlední řadě pak s nastavením procesů a vnitřních předpisů souvisejících s bezpečností.

 

Kdo jsou ti, kdo na nás míří? Čím jsou motivováni?

Je dobré opustit představu, že jde o programátory a osoby s hlubokou znalostí IT techniky. Tak tomu možná bylo před dvaceti lety. V průběhu doby, kdy rostla naše závislost na informatice, rostl také zájem organizovaného zločinu o tuto oblast. Tím se zločincům značně rozšířilo pole působnosti na celý svět a zvýšily šance na nepoctivý výdělek při snížení rizika odhalení. Vymahatelnost práva je poměrně nízká a možnosti orgánů činných v trestním řízení značně omezené. Vždyť většina útoků probíhá přes hranice států.

Hlavními dovednostmi útočníků jsou organizace trestné činnosti a praní špinavých peněz. Jde tedy o černé podnikání, pro které si budují lidskou i technickou infrastrukturu. Nástroje pro provádění útoků a škod si nakupují nebo pořizují jako službu.

Už jsme si řekli, že nejčastější motivací jsou peníze. Ať už získané přímo krádeží – při odcizení přístupových údajů či autentizačních prostředků, nebo nepřímo – za pomoci kompromitované e-mailové komunikace a podvrhu nebo pozměnění účetních dokladů, které e-maily nesou.

Častým jevem je vydírání oběti pod pohrůžkou zveřejnění ukradených citlivých údajů nebo zašifrování IT prostředí, kdy za nemalou částku nabízejí klíč k dešifrování.

Existují také politicky motivované útoky a nepřátelskými státy sponzorované aktivity hackerů. Tam nejde o získání peněz od oběti, ale od jiného „sponzora“. 

 

Jak z toho ven?

Bohužel neexistuje žádné univerzální řešení, jehož nasazením bychom pokryli všechny online hrozby. Pokud vám někdo něco takového nabízí, mějte se na pozoru! Každá škola je totiž jiná a stejně tak je jiný každý útok. Dnešní hrozby se navíc vyznačují obtížnou možností detekce. Při získání jisté úrovně znalostí a schopnosti řídit informační rizika, je možné se ubránit i poměrně sofistikovaným metodám útoku. Nebo alespoň zmírnit následky. Více si řekneme v dalším článku.

Pokud už teď vidíte mezery v ochraně, které potřebujete zaplnit, není dobré to dlouho odkládat. Rádi vás podpoříme ve stavbě online ochrany a řízení informačních rizik.

Začít se dá rychle – není třeba dělat hned analýzy v rozsahu diplomové práce. Zpočátku postačí tužka a kus papíru a ozvat se nám na jan.skerle@everesta.cz nebo se přihlásit na webináře Kyberbezpečnost ve vaší škole na webových stránkách eshop.everesta.cz, kde se k tématu dozvíte ještě více.

 

RNDr. Jan Škerle – spolupráce se školami, IT specialista Everesta, s.r.o.

Ing. Josef Javora - řízení informačních rizik a ochrana proti moderním hrozbám

Článek připraven pro Řízení školy 3/23