Standard konektivity a bezpečnosti školy v 21. století
Stránky: | Moodle - Národní pedagogický institut České republiky |
Kurz: | M17 Principy a možnosti počítačových sítí (České Budějovice 2023) |
Kniha: | Standard konektivity a bezpečnosti školy v 21. století |
Vytiskl(a): | Nepřihlášený host |
Datum: | pondělí, 25. listopadu 2024, 14.12 |
Obsah
- 1. Úvod
- 2. Standard konektivity školy
- 3. Vnitřní konektivita školy
- 4. Vnější konektivita školy
- 5. Standard bezpečnosti pro školy
- 5.1. Oblast 1: Segmentace sítě
- 5.2. Oblast 2: Řízení uživatelských oprávnění
- 5.3. Oblast 3: Zálohování aktiv školy
- 5.4. Oblast 4: Ochrana proti škodlivému kódu
- 5.5. Oblast 5: Řízení aktualizací (Patch management)
- 5.6. Oblast 6: Ukládání auditních záznamů (logování)
- 5.7. Oblast 7: Vzdělávání zúčastněných osob
- 5.8. Rozšiřující bezpečnostní opatření
- 5.9. Řízení obsahu (Content Security Management)
- 5.10. Vyhodnocení auditních záznamů (Logy)
- 5.11. Základní bezpečnostní dohled
- 5.12. Reakce na kybernetický útok
1. Úvod
Dokument je rozdělen na dvě sekce.
I. Standard konektivity školy (autor: MŠMT)
Pro: vedení školy (ředitel/zástupce ředitele), ICT koordinátor/metodik, IT správce
Každá škola je jiná a má různé potřeby, proto byl vytvořen standard dle velikosti škol, resp. počtu koncových zařízení ve škole. Je rozdělen na dvě části – vnitřní a vnější konektivita a ty jsou dále děleny do jednotlivých oblastí. V každé oblasti je zmíněno, proč je důležité ji ve škole řešit, jaké návodné otázky si má vedení školy klást a co je potřeba zajistit. Text je rozdělen na „modré“ části, které definují minimální standard pro jednotlivé kategorie škol, a „zelené“ části, které jsou doporučené a nepovinné, jedná se tedy o „nadstavbu“ standardu.
II. Standard bezpečnosti pro školy (autor: AFCEA[1], NÚKIB[2], NAKIT[3]).
Pro: IT správce
Vedení školy (ředitel/zástupce ředitele) a ICT koordinátorovi/metodikovi doporučujeme si dokument projít.
Tento standard popisuje absolutní minimum, které má každá škola v České republice splňovat. Jeho nenaplnění může vést k vážným bezpečnostním rizikům. Standard bezpečnosti pro školy je však psán více technicky, proto slouží především pro IT správce. Vedení školy by však mělo mít alespoň základní přehled o oblastech, kterých se bezpečnost ve škole týká.
Pokud po přečtení dokumentu přijdete na to, že škola standard nesplňuje, obraťte se jako první na svého zřizovatele a situaci se pokuste společně vyřešit. Podívejte se na https://irop.mmr.cz/cs/vyzvy/detaily-temat/vzdelavani, zda je možné pro rozvoj digitální infrastruktury své školy požádat o dotaci.
S funkční a bezpečnou infrastrukturou souvisí i personální zabezpečení IT správy na škole odborníky. MŠMT připravuje metodickou podporu pro ředitele v této oblasti, pro více informací sledujte web https://edu.cz.
[1] Česká pobočka AFCEA, viz https://www.afcea.cz/
[2] Národní úřad pro kybernetickou a informační bezpečnost, viz https://www.nukib.cz/
2. Standard konektivity školy
Každá škola je jiná a má různé potřeby, proto byl vytvořen standard dle velikosti škol, resp. počtu koncových zařízení ve škole. Je rozdělen na dvě části - vnitřní a vnější konektivita a ty jsou dále děleny do jednotlivých oblastí. V každé oblasti je zmíněno, proč je důležité ji ve škole řešit, jaké návodné otázky si má vedení školy klást a co je potřeba zajistit. Text je rozdělen na „modré“ části, které definují minimální standard pro jednotlivé kategorie škol, a „zelené“ části, které jsou doporučené a nepovinné, jedná se tedy o „nadstavbu“ standardu.
Tato část dokumentu je určena především pro vedení školy (ředitel, zástupce ředitele), ICT koordinátory/metodiky a IT správce. Projděte si tento dokument spolu a proberte, zda standard škola splňuje.
Koncovým zařízením (dále také „KZ“) je pro účely tohoto dokumentu myšleno takové digitální zařízení, které je používáno pro výuku dětmi/žáky/studenty či práci pedagogického a nepedagogického pracovníka a je možné jej připojit do vnitřní sítě školy nebo Internetu (typicky se jedná o počítač, notebook, tablet, mobilní telefon apod.). Tiskárna, promítací zařízení, robotické pomůcky a podobná zařízení se za koncová zařízení v tomto dokumentu nepovažují. Pro účely kategorizace škol dle počtu jejich koncových zařízení se za koncové zařízením školy nepovažují vlastní zařízení žáků nebo pracovníků školy (např. v rámci výuky BYOD). |
3. Vnitřní konektivita školy
Proč?
V případě vnitřní konektivity řešíme zabezpečení a kvalitu IT infrastruktury uvnitř školy, počínaje koncovými zařízeními v majetku školy nebo vlastními zařízeními zaměstnanců a žáků, jako jsou počítače, notebooky nebo mobilní telefony, ale i všechna ostatní zařízení jako routery, tiskárny, servery atd. Na těchto zařízeních a mezi nimi nakládáme na školách také s citlivými daty jako, jsou matriční záznamy, osobní údaje, docházkový a známkovací systém, účetnictví, osobní korespondence atd. Ty jsou vystaveny nebezpečí i „ze světa“ prostřednictvím internetu, a to i když máme data uložená „pouze“ na vlastním počítači nebo tzv. vnitřní síti. Proto je nutné vnitřní IT provoz chránit a mít ho nastavený tak, aby odolal vnějším i vnitřním hrozbám. Ty mohou být automatizované a univerzální nebo cílené a mířit na soukromá a citlivá data právě vás nebo vašich žáků. Následky mohou být ekonomické až likvidační, narušovat soukromí zaměstnanců a žáků nebo také ohrožovat vývoj a psychiku jedince. Za žádných okolností tedy nelze toto riziko podceňovat.
3.1. Oblast 1: Bezpečná správa koncových zařízení
Proč?
Uživatel přistupuje k vnitřní síti nebo internetu pomocí jednotlivých koncových zařízení (notebook, stolní počítač, tablet, mobil apod.). Z vnějšku je tak i se svým zařízením vystaven rizikům. Na druhou stranu, jakmile se připojuje k síťovým zařízením školy, působí tato koncová zařízení jako riziko. V každém případě tedy musí být zabezpečená samotná zařízení. Čím dál větší výzvou je zvládnutí správy s ohledem na vzrůstající počet těchto zařízení a různorodosti hrozeb. Řešením může být tzv. centrální řízení účtů.
Co je potřeba zařídit:
- Pravidelné aktualizace software koncových zařízení – zejména aktualizace operačního systému zařízení tak, aby byly pravidelně řešeny minimálně kritické opravy operačního systému.
- Vhodně zvolená antivirová ochrana zařízení.
- Koncová zařízení mají aktuální operační systém a veškerý používaný software.
- Bezpečné opětovné zapojování mobilních zařízení v majetku školy, které uživatelé používají i mimo školní síť (například zapůjčené zařízení).
- V případě, že škola zvolila přístup BYOD[1], je ošetřeno bezpečné zapojení mobilních zařízení do sítě školy. (doporučení)
Návodné otázky
- Potřebuji centrální řízení účtů? Jsme schopni zajistit aktualizaci, zabezpečení a funkčnost každého koncového zařízení ve škole ručně?
- Jaký způsob řešení centrálního řízení účtů je pro naši školu vhodnější? Univerzální cloudový balíček pro školství, serverový systém nebo kombinace?
Co je to centrální řízení účtů?
Důvodem pro zavedení centrální správy účtů v organizaci je snaha zvýšit bezpečnost, produktivitu a zároveň snížit náklady a opakující se úkony při správě stejných účtů v rozličných aplikacích napříč organizací. Každému uživateli v síti je umožněno přihlásit se pomocí jeho unikátního přihlašovacího jména a hesla na jakoukoliv jemu povolenou stanici či do aplikace.
Centrální řízení účtů umožňuje:
- Jednotnou správu účtů uživatelů a správců s možností nastavení konkrétních oprávnění pro přístup k systémům či jen k datům v rámci sdílených úložišť apod.
- Rozdělovat účty do skupin s různými oprávněními přístupu (např. ke službám).
- Nastavit vícefaktorovou autentizaci pro určitou skupinu účtů (doporučeno pro administrátorské účty).
- Umožňuje mít přehled o jednotlivých stanicích, může být na jednom místě.
Potřebuji zajistit centrální řízení účtů (CŘÚ)?
Doporučení
Škola do 50 koncových zařízení (KZ)
V případě, že má škola správce, který zvládne pravidelně aktualizovat a spravovat koncová zařízení ručně, je možné v závislosti na charakteristice školy fungovat bez centrálního řízení účtů. Centrální řízení účtů je však doporučeno (viz výše).
§ Pozn.: Ruční správa vyžaduje pravidelnou činnost na týdenní bázi v závislosti na charakteristice činnosti školy.
Škola s 51-200 KZ
o Centrální řízení účtů je povinné.
o Pokud je CŘÚ řešeno serverem, je doporučen minimálně jeden server pro doménový řadič[2], který zvládne běh nejméně jednoho virtuálního stroje[3] (virtualizován může být například email, školní informační systém apod.). Server musí mít minimálně dva zrcadlené disky.
§ Data serveru je nutné pravidelně zálohovat.
§ Doporučeno zvážit druhý záložní server pro případ vyřazení prvního serveru z provozu.
o CŘÚ může být řešeno i pomocí univerzálních cloudových balíčků (např. MS Office 365 Education nebo Google Workspace for Education[4]).
Škola nad 200 KZ
o Centrální řízení účtů je povinné.
o Pokud je CŘÚ řešeno serverem, jsou doporučeny minimálně dva servery pro doménový řadič, nejlépe ve dvou budovách nebo co nejdále od sebe z důvodu havárií a nepředvídatelných situací.
§ Je vhodné, aby servery zvládly běh více virtuálních strojů14, aby v případě poruchy byla jednodušší obnova provozu. Servery musí mít minimálně dva zrcadlené disky.
o CŘÚ může být řešeno i pomocí univerzálních cloudových balíčků (např. MS Office 365 Education nebo Google Workspace for Education14).
Server nebo univerzální cloudové balíčky pro školství?
Centrální řízení účtů lze vyřešit dvěma způsoby, které mají své výhody a nevýhody a dají se i vzájemně kombinovat:
1. Univerzální cloudové balíčky pro školství (např. MS Office 365 Education nebo Google Workspace for Education14),
- Škola nemusí mít v budově fyzické servery, o ty se stará poskytovatel služby. V některých případech se jedná o bezplatnou službu.
- Data a informace školy jsou však reálně uložena na serverech, které jsou často mimo ČR, často i mimo EU.
- Je nutné počítat s náklady spojenými s aktivací služeb a vyškolením odpovědného pracovníka.
- Základním předpokladem pro dobrou funkčnost cloudových služeb je kvalitní konektivita; u škol do 50 KZ alespoň 100 Mb/s, u škol nad 50 KZ 1Gb/s.
- Pokud se škola rozhodne využívat cloudové balíčky, tak je řádově snížen nárok na úložiště a správu serveru. Cloudový balíček také ulehčuje online spolupráci v týmu a může pomoci rozvíjet digitální gramotnost žáků a učitelů.
- Poskytovatel služeb musí splňovat nároky na ochranu osobních údajů dle GDPR.
2. Vlastní serverové prostředí
- Data a informace školy jsou uloženy na serveru, který se fyzicky nachází v budově školy.
-
O server se musí starat kompetentní personál,
zejména je třeba zajistit:
- Musí být umístěn na čistém, nejlépe bezprašném místě, kde se nebude přehřívat (nejlepší je klimatizovaná místnost).
- Musí být uložen na bezpečném místě, ke kterému má přístup jen omezený počet lidí.
- Pokud není umístěn v rozvaděči (racku), nesmí existovat překážky před ventilačními otvory.
[1] Z anglického Bring Your Own Device, tzn. žáci ve výuce pracují s vlastními digitálními zařízeními (např. mobilem, tabletem nebo počítačem).
[2] Doménový řadič (Active Direcotry) zajišťuje v počítačové síti autentizaci a autorizaci uživatelů, počítačů i další služby. Řadič domény výrazně ulehčuje administraci počítačové sítě. Dalo by se říci, že pro administrátora je při větším počtu koncových zařízení nezbytná, viz: https://cs.wikipedia.org/wiki/Active_Directory
[3] Virtuální stroj je v informatice software, který vytváří virtualizované prostředí mezi platformou počítače a operačním systémem, ve kterém koncový uživatel může provozovat software na abstraktním stroji. Zjednodušeně řešeno, je to virtuální počítač běžící v jiném počítači (server). Virtuálních strojů může na serveru běžet více, záleží na tom, jak je server dimenzován. Virtualizované stroje se poté při poruchách jednodušeji přenáší na jiné servery a virtualizace odděluje jednotlivé služby, ke kterým lze potom přistupovat jednotlivě a nastavovat pro každé jednoduše vlastní zabezpečení. Důležitá je také záloha virtuálních strojů.
3.2. Oblast 2: Bezpečná správa dat školy
Proč?
Jak bylo řečeno, ve školním prostředí pracujeme často s citlivými daty, při jejichž zneužití hrozí až fatální následky a nemalé náklady. Podobnou hrozbou je ztráta těchto dat, a proto je potřeba je vždy zálohovat.
Při práci s daty také musíme dodržovat platné zákony a nařízení, zejména týkající se ochrany osobních údajů, nebo vnitřní předpisy.
Co je třeba zařídit:
- Bezpečné uložení dat žáků a zaměstnanců školy tak, aby nedošlo k jejich úniku nebo zneužití.
- Uchovávání pouze takových dat, které je v souladu s pravidly pro ochranu osobních údajů dle GDPR.
- Pravidelné zálohování výše uvedených dat.
- Správné nastavení oprávnění pro čtení, ukládání a mazání dat na společných složkách/discích/prostředí.
Návodné otázky
Potřebuji záložní datové úložiště (NAS)?
Škola do 50 KZ
o Ano, záložní datové úložiště je doporučené, a to pro zálohování důležitých dat a souborů a pro uložení společných dat.
o Základní datové úložiště se dvěma pevnými disky může být postačující (nutné konzultovat s odborníkem).
o Je možné využít i univerzálních cloudových balíčků (viz výše), avšak s nastavením šifrovaného ukládání a oprávnění k přístupu/úpravě jen vybraným uživatelům.
Škola s 51-200 KZ
o Ano, záložní datové úložiště je nutné.
o Velikost datového úložiště je potřeba zvolit dle objemu ukládaných dat, v tomto počtu KZ to můžou být už stovky gigabytů. V případě použití dvou serverů lze využít křížové zálohování mezi servery a obejít se bez samostatného datového úložiště.
Škola nad 200 KZ
o Ano, záložní datové úložiště je nutné.
o I v případě dvou serverů je vhodné použít datové úložiště o dostatečné kapacitě hlavně pro zálohy dat. Primární data mohou být uložena na datových pevných discích serverů.
3.3. Oblast 3: Připojení KZ do sítě školy
Proč?
Zabezpečení zařízení uživatelů (viz výše) je jen jedna stránka věci. Tato zařízení se musí bezpečně připojovat i do sítě tak, aby byla funkční a využitelná pro výuku i nepedagogickou práci. Práce s koncovými zařízeními nemá učiteli přidělávat potíže a starosti, ale má pomoci rozvíjet informatické myšlení a digitální gramotnost žáků.
Pokud koncová zařízení nejsou do sítě zapojena správně, jednak nepomáhají vzdělávacím cílům a jednak může být ohroženo zařízení samotné, školní síť nebo i ostatní zařízení v síti.
Co je třeba zařídit:
- Funkční připojení koncových zařízení do sítě školy a vhodně je využívat ve výuce a při práci.
Návodné otázky
Jaké potřebuji prvky aktivní datové sítě (switche)?
Škola do 50 KZ
o
Aktivní prvek – switch s managementem[1].
Doporučujeme minimálně variantu 100/1000 Mb/s.
Škola s 51-200 KZ
o Aktivní prvky – switche /100/1000 Mb/s s managementem, možností virtuálních sítí (VLAN)[2] a základními bezpečnostními prvky proti zneužití sítě žáky / návštěvníky školy.
o Doporučený dohled nad síťovou infrastrukturou pomocí dohledového software (aby bylo možné sledovat incidenty v síti, přetížení, funkčnost, výpadky).
Škola nad 200 KZ
o Aktivní prvky – switche /100/1000 Mb/s s managementem, možností virtuálních sítí (VLAN)16 a základními bezpečnostními prvky proti zneužití sítě žáky / návštěvníky školy s povinným dohledem a aktivním hlášením poruch / přetížení / napadení.
o U větších škol je již dobré se zamyslet i nad switchi s 10 Gb/s s páteřními porty.
o Switche jsou propojeny optickými kabely. Dohledový software nad síťovou infrastrukturou je povinný.
[1] Switch - Síťový přepínač, častěji i v našem prostředí označovaný anglicky switch, je v informatice aktivní prvek v počítačové síti, který propojuje jednotlivé prvky do hvězdicové topologie. Přepínač obsahuje větší či menší množství síťových portů (až několik stovek), na něž se připojují síťová zařízení nebo části sítě. Jednoduše řečeno, switch je základní prvek počítačové sítě. Switche pracují na různých maximálních rychlostech 100 Mb/s, 1000 Mb/s, 10000 Mb/s a dále. V současné době bychom měli směřovat k tomu, aby port pro koncové zařízení měl rychlost 1000 Mb/s (1 Gb/s) a „páteřní trasy“ směřovat k 10000 Mb/s (10 Gb/s). Dále viz: https://cs.wikipedia.org/wiki/S%C3%AD%C5%A5ov%C3%BD_p%C5%99ep%C3%ADna%C4%8D. Přídomek „s managementem“ znamená možnost upravovat nastavení přepínače pomocí příkazové řádky nebo webového rozhraní (HTTP).
[2] VLAN (zkratka pro Virtuální LAN) je výraz pro jednu logickou síť. Jednoduše řečeno, je to počítačová síť v síti. VLAN zajistí, že na jednom datovém kabelu, na jednom Switchi může fungovat více oddělených síti, jejich provoz se neovlivňuje. Dále viz: http://www.cs.vsb.cz/grygarek/TPS/projekty/0405Z/WDS/vlan.php.htm
3.4. Oblast 4: Bezdrátová síť Wi-fi
Proč?
V současnosti se většina zařízení připojuje k síti bezdrátově pomocí Wi-fi. Připojování školních nebo vlastních přenosných zařízení (BYOD) je stále častější. K bezdrátové síti Wi-fi se často mohou připojovat učitelé, žáci i návštěvníci a u všech skupin existuje riziko poškození celé sítě (například zavlečením viru), ať už úmyslně nebo neúmyslně. Zároveň musí být Wi-fi síť spolehlivá, aby se mohl internet využívat pro vzdělávací cíle. Proto je nutné, aby každá skupina uživatelů měla svoji vlastní oddělenou Wi-fi síť. Wi-fi ve škole by měly být správně nastaveny a spravovány. V případě incidentu by měl být jeho původce dohledatelný.
Co je třeba zařídit:
- Kvalitní a kontrolovaný přístup mobilních digitálních zařízení do Wi-fi sítí školy.
- Dohledatelnost uživatelů v případě incidentu pomocí registrace.
- Vytvoření více Wi-fi sítí, tedy více SSID[1](např. pro hosty, zaměstnance, žáky).
- Vhodné nastavení přístupů pro skupinu uživatelů (např. žáci by neměli mít přístup do stejné Wi-fi sítě jako pedagogové).
Návodné otázky
- Kdo bezdrátovou síť Wi-fi využívá a kde? Používá se i ve výuce?
- Je povolen přístup na síť Wi-fi i s vlastním zařízením?
- K čemu by uživatelé Wi-fi sítě ne/měli mít přístup?
Jak efektivně vyřešit bezdrátovou síť Wi-fi?
Škola do 50 KZ
o V případě, že je Wi-fi je využíváno pouze pro zařízení učitelů – stačí běžný přístupový bod (Access point) se zabezpečením kvalitním heslem.
o V případě, že je Wi-fi využíváno pro zařízení učitelů a pro zařízení školy přidělené žákům. Každá skupina uživatelů má vlastní síť Wi-fi, tedy SSID (název sítě).
o Pokud je Wifi používaná i pro připojení soukromých zařízení žáků a dětí (tedy koncept BYOD), musí být síť Wi-fi pro tato zařízení oddělena od školní sítě. Připojování zařízení je logováno[2].
o Doporučená je centralizovaná správa wifi sítě[3].
Škola s 51-200 KZ
o V případě, že je Wi-fi využíváno pouze pro zařízení učitelů – stačí běžný přístupový bod (Access point) se zabezpečením kvalitním heslem.
o V případě, že je Wi-fi využíváno pro zařízení učitelů a pro zařízení školy přidělené žákům, každá skupina uživatelů má vlastní síť Wi-fi, tedy SSID (název sítě).
o Pokud je Wifi používaná i pro připojení soukromých zařízení žáků a dětí (tedy koncept BYOD), musí být síť Wi-fi pro tato zařízení oddělena od školní sítě. Připojování zařízení je logováno[4].
o Doporučená je centralizovaná správa wifi sítě[5].
Škola nad 200 KZ
o V případě, že je Wi-fi je využíváno pouze pro zařízení učitelů – stačí běžný přístupový bod (Access point) se zabezpečením kvalitním heslem.
o V případě, že je Wi-fi využíváno pro zařízení učitelů a pro zařízení školy přidělené žákům, každá skupina uživatelů má vlastní síť Wi-fi, tedy SSID (název sítě).
o Pokud je Wifi používaná i pro připojení soukromých zařízení žáků a dětí (tedy koncept BYOD), musí být síť Wi-fi pro tato zařízení oddělena od školní sítě. Připojování zařízení je logováno[6].
o Centralizovaná správa Wi-fi sítě je povinná.
o Wifi síť dále může podporovat roaming uživatelů[7], centrální ověřování uživatelů nebo může být zapojena do eduroam.cz.
[1] Název sítě Wi-Fi, neboli SSID (Service Set Identifier), je název, který vaše síť používá k oznamování své přítomnosti jiným zařízením. Více viz https://cs.wikipedia.org/wiki/Wi-Fi.
[2] Je třeba zajistit logování (zaznamenání dat za účelem jejich analýzy), aby byl případný útočník-škoditel dohledán.
[3] Centralizovaná správa wifi sítě – software/hardware, který umožní centrální správu všech wifi zařízení. Od základního nastavení po logování provozu a dohled nad wifi sítí.
[4] Viz poznámka č. 12
[5] Viz poznámka č. 14
[6] Viz poznámka č. 13
[7] Funkce Wi-Fi roaming zajišťuje automatický přechod připojeného zařízení z jednoho přístupového bodu na druhý.
3.5. Oblast 5: Správné nastavení uživatelských účtů a chování uživatelů
Proč?
Ve školní síti se pohybují různí uživatelé, kteří by měli mít přidělená správná oprávnění. Například aby žák nemohl do složek učitelů nebo vedení školy a učitel měl přístup do všech složek, které potřebuje. Nebo aby se nestalo, že se žáci dostanou do matriky a změní si známky. Vše musí být správně zabezpečeno a v souladu s GDPR, takže se například musí umět nakládat s účty ve chvíli odchodu uživatelů ze školy.
Co je třeba zařídit:
- Účty jsou řízeny centrálně (viz výše).
- Účty administrátorů a účty běžných uživatelů jsou odděleny (nelze mít účet, který používá učitel pro svou práci mezi administrátory).
- Žádný běžný uživatel nemá na koncovém zařízení administrátorská oprávnění.
- Každý uživatel má přidělenou správnou sadu oprávnění, aby mohl pracovat pouze s jemu přidělenými prostředky.
- V případě odchodu žáků či zaměstnanců je nutné deaktivovat/smazat jeho účet, s daty se naloží dle GDPR.
- Počet anonymních účtů by měl být minimalizován.
- U všech účtů by mělo být řešeno nastavení: délky, složitosti a intervalu vypršení hesla, neopakovatelnosti hesel při změně a zamykání účtů při neúspěšných pokusech o přihlášení.
- Přístup do BIOS[1] je omezen heslem a zavedení operačního systému je umožněno pouze z pevného disku.
Návodné otázky:
- Je zajištěn přístup do sítě tak, aby nebylo možno zneužít administrátorský účet?
- Dostane se každý uživatel v síti jen tam, kam smí?
- Řešíme účty zaměstnanců/žáků, kteří již ve škole nejsou?
[1] BIOS (z angl. Basic Input/Output Setup) slouží k nastavení/detekci komponent a spolupráce základní desky s operačním systémem. Zdroj: https://it-slovnik.cz/pojem/bios/?utm_source=cp&utm_medium=link&utm_campaign=cp
4. Vnější konektivita školy
Proč?
Vedle vnitřního zabezpečení je nutné zajistit dostatečně kvalitní a bezpečné připojení k internetu. Pandemická situace ukázala vzrůstající nároky na kvalitu nejen vnitřní, ale i vnější rychlosti a kapacity připojení ke světové síti - Internetu. Toto připojení nesmí zůstat otevřené všemu, je tedy nutné vnitřní svět školy chránit ochrannou zdí, a to tzv. Firewallem, tedy virtuální ochranou mezi sítí Internet a vnitřní sítí školy.
Co je třeba zajistit
- Přístup na Internet, který je realizován optickým vláknem, telefonní linkou, bezdrátovým spojem v odpovídající rychlosti a kvalitě.
- Na straně školy je mezi vnitřní a vnější sítí umístěn firewall, který hlavně chrání vnitřní síť a zajišťuje bezpečné spojení s „vnějším světem“.
- Je doporučeno mít záložní řešení pro případ, že by přístup k internetu vypadl (např. datové simkarty apod.).
4.1. Oblast 1: Rychlost přípojky
Proč?
Nároky na připojení v posledních letech nebývale rostou. Jedním z důvodů z poslední doby je přenos celé výuky včetně video-připojení do virtuálního prostředí. K zamyšlení tedy patří nejen, jestli škole stačí současná rychlost připojení, ale jestli bude tato rychlost stačit i ve střednědobém horizontu. Jak ale přijít na to, jakou rychlost připojení škola potřebuje nebo bude potřebovat v budoucnu? Kolegové ze sítě BCO připravili jednoduchou aplikaci, díky které si potřebu školy spočítáte.
Návodné otázky:
- Jakou rychlost přípojky k internetu potřebuji? Bude přípojka stačit i v horizontu 5 let a více?
- Potřebuji symetrickou přípojku (stejný download – směr do školy a stejný upload – směr ze školy)?
Rychlost přípojky k internetu
Škola do 50 KZ
o Připojení o rychlosti minimálně 30 Mb/s, možno i asymetrické, upload od 7 Mb/s výše.
o Doporučeno směřovat k rychlosti 1 Gb/s.
Škola s 51-200 KZ
o Připojení o rychlosti minimálně 100 Mb/s, možno i asymetrické, upload od 50 Mb/s výše.
o Symetrická přípojka doporučena (stejný download jako upload).
o Doporučeno směřovat k rychlosti 1 Gb/s.
Škola nad 200 KZ
o Připojení o rychlosti minimálně 100 Mb/s, možno i asymetrické, upload od 50 Mb/s výše.
o Symetrická přípojka doporučena (stejný download jako upload).
o Doporučeno směřovat k rychlosti 1 Gb/s.
Typ přípojky
- Nejlepší možnou variantou je optické připojení, protože poskytuje největší rychlost připojení.
- případě že není možné optické připojení, doporučujeme snažit se o připojení v co největší možné rychlosti, a to např. bezdrátovou profi technologií, která zajistí kvalitní spojení na co nejbližší bod páteřní sítě internetového poskytovatele. I těmito technologiemi nebývá problém se připojit rychlostmi kolem 100 Mb/s.
- V případě malotřídních nebo vesnických škol, pokud není jiné východisko, je možno využít běžných tarifů od internetových poskytovatelů, využití telefonních linek, které již také dosahují slušných kapacit.
- Pokud si nevíte rady, jaké máte možnosti přípojek ve svém území, spojte se se svým zřizovatelem nebo koordinátorem Broadband Competence Office (BCO, viz https://bconetwork.cz/).
- Metodické materiály a další informace k vnější konektivitě naleznete na stránkách BCO https://bconetwork.cz/.
4.2. Oblast 2: Firewall
Proč?
Ve vnitřní konektivitě škol jsme řešili zabezpečení zařízení a síťových prvků. Ty se dostávají do kontaktu s vnější (celosvětovou) sítí – internetem, a právě odtud hrozí naprostá většina rizik. Firewall je virtuální ochrannou zdí školy před tímto vnějším světem.
Návodné otázky:
- Potřebuji firewall?
- Co vůbec firewall dělá?
Co je třeba zařídit:
- Pořídit a správně nastavit firewall tak, aby nebyl umožněn neoprávněný vstup do školní sítě a zároveň byl zajištěn bezpečný vstup do sítě Internet.
- Firewall je správně nastaven tak, aby jednotlivé skupiny uživatelů měly přístup do určité části sítě (jaké disky apod.).
Potřebuji firewall?
- Ano, firewall je nutný na všech typech škol.
- Tato zařízení jsou škálovatelná dle požadavků školy a jsou jednoduchá na pořízení.
Firewall – co dělá?
- Firewall je prostředníkem mezi vnějším světem a sítí školy.
- Správně nastavený firewall neumožní neoprávněný vstup do školní sítě a naopak umožní bezproblémový přístup sítě k Internetu.
- Firewall propustí dovnitř školy pouze oprávněný provoz a neoprávněné aktivity zastaví.
- Administrátor určí pravidla pro to, do jakých částí sítě (např. disků) jednotlivé skupiny uživatelů mohou (žáci, učitelé, zaměstnanci, hosté).
Další zdroje informací
Bezpečnost – Systém podpory profesního rozvoje učitelů a ředitelů. Úvod - Systém podpory profesního rozvoje učitelů a ředitelů [online]. Dostupné z: https://www.projektsypo.cz/bezpecnost
KOPECKÝ, K., Základy počítačové bezpečnosti. Podpora kompetencí vedoucích pedagogických pracovníků při implementaci digitálních technologií do života školy/školského zařízení. [online]. Dostupné z: http://www.klus.upol.cz/wp-content/uploads/2021/02/pc_bezpecnost_kopecky.pdf5. Standard bezpečnosti pro školy
Jednorázový nákup a počáteční nastavení vybavení k ochraně zařízení a dat škol nestačí. Základem úspěchu je pravidelná a profesionální správa, která je nastavena podle nároků školy a světa 21. století. Minima, relativně nenáročná na náklady, stanovuje následující text.
Následující text „Standard bezpečnosti pro školy“, jehož autorem jsou kolegové z organizací AFCEA, NÚKIB a NAKIT, představuje základní principy, postupy a doporučení v oblasti kybernetické bezpečnosti pro školy, případně další organizace, které nespadají pod regulaci zákona č. 181/2014 Sb., o kybernetické bezpečnosti (dále též „ZKB“).
Standard bezpečnosti pro školy je určen především IT správcům či administrátorům. Vedení školy (ředitelům/zástupcům ředitele) a ICT koordinátorům/metodikům text doporučujeme zběžně projít. Pro další rozvoj vašich bezpečnostních opatření doporučujeme sledovat zejména doporučení Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a Národní agentury pro komunikační a informační technologie (NAKIT).
V dokumentu jsou použity některé termíny a zkratky typické pro oblast ICT a kybernetické bezpečnosti. Použité zkratky jsou vysvětleny níže. Pro výklad terminologie z oblasti ICT a kybernetické bezpečnosti odkazujeme na Výkladový slovník kybernetické bezpečnosti.
Dokument vychází z Minimálního bezpečnostního standardu, který v roce 2020 vydal Národní úřad pro kybernetickou a informační bezpečnost ve spolupráci s Národní agenturou pro komunikační a informační technologie a Ministerstvem vnitra ČR[1], který doporučujeme aplikovat každé organizaci.
Základní bezpečnostní opatření
Základní bezpečnostní opatření jsou koncipována jako opatření, která by měla mít každá škola implementována.
Jako nástroje pro implementaci dále uvedených bezpečnostních opatření obecně doporučujeme zvažovat řešení tzv. otevřeným softwareme (open source)[2], ovšem při zajištění jeho odpovídajícího návrhu, implementace, správy a podpory.
5.1. Oblast 1: Segmentace sítě
Proč?
Nepřetržité připojení školy k internetu má za následek její vystavení nehostinnému prostředí a rychle se vyvíjejícím hrozbám. Zaměstnanci mohou navíc svými činy, ať už úmyslně nebo neúmyslně, interní síť ohrozit. Proto je její zabezpečení jednou z klíčových činností k ochraně dat organizace.
Zabezpečení sítě má obecně tři základní cíle:
- Ochránit samostatnou síť.
- Snížit náchylnost koncových zařízení a aplikací vůči hrozbám ze sítě.
- Chránit data během přenosu.
Segmentace sítě, ochrana perimetru a ochrana bezdrátových sítí
Rozdělení počítačové sítě do logických celků (segmentů) přispívá k lepší orientaci a snadnější správě samotné počítačové sítě. Následně je nutné efektivně definovat pravidla pro komunikaci do daného segmentu. Tato komunikace by měla být omezena na nezbytné minimum. Pokud dojde k napadení takto segmentované sítě škodlivým kódem, nedochází k rozšíření škodlivého kódu po celé síti, ale jen v daném segmentu napadení. Tím eliminujeme výsledné škody.
Samostatné segmenty by měly být vytvořeny minimálně pro následující kategorie systémů, pokud takové systémy škola provozuje:
- Servery poskytující služby do sítě internet (DMZ).
- Servery poskytující služby do interní sítě školy.
- Uživatelské stanice zaměstnanců školy (počítače učitelů, administrativních zaměstnanců apod.).
- Stanice užívané v rámci výuky na učebnách.
- Soukromá zařízení žáků a návštěvníků připojujících se na Wi-Fi školy.
Ochrana perimetru
Jak bylo již uvedeno v úvodu, připojení organizace k internetu znamená být připojen k prostředí, ve kterém se kybernetické hrozby dynamicky vyvíjejí.
Je tedy v zájmu školy zabezpečit perimetr počítačové sítě:
- Povolit pouze nezbytný provoz mezi segmenty a sítí internet (např. povolení komunikace ze stanic v učebnách do internetu pouze na porty TCP 80 a 443 apod.).
- Povolit přístup k systémům školy ze sítě internet výhradně na stroje umístěné v samostatném segmentu DMZ.
Bezpečnost bezdrátových sítí
Přestože možnost bezdrátového připojení do sítě přineslo řadu výhod v podobě zvýšení mobility a produktivity zaměstnanců, ruku v ruce představilo také řadu hrozeb a výzev. V mnoha případech může dojít ke krádežím duševního vlastnictví či citlivých informací právě skrze bezdrátové sítě, a to z důvodu obcházení tradičních sítí segmentovaných a chráněných na perimetru pomocí firewallu či IDS.
Pro zajištění bezpečnosti by měla být dodržena následující opatření:
- Veškerý provoz u organizací spravovaných zařízení musí být zabezpečen minimálně AES šifrováním a standardem WPA2-Enterprise. Zabezpečení WPA2-PSK technologií se ve větších organizacích nedoporučuje; zabezpečení WEP technologií je silně nedostačující!
- Pro nespravovaná zařízení je vyhrazena síť pro hosty, skrze kterou není možné přistupovat k interním systémům či aplikacím kromě těch, jež jsou dostupné z internetu.
Soukromá zařízení (trend BYOD)
Jde o koncept, který v poslední době neustále nabývá na popularitě a umožňuje zaměstnancům a žákům přinést si svá vlastní zařízení do prostředí školy. Zatímco toto řešení přináší z uživatelského hlediska řadu výhod, z pohledu bezpečnosti se sebou nese několik rizik, která je nutné uvážit:
- Ztráta zařízení společně s daty organizace.
- Uživatelé mohou, třebaže nezáměrně, nainstalovat celou řadu aplikací, mezi nimiž může být i malware.
- Integrace rozličných zařízení s různými OS do prostředí organizace.
Předtím, než se rozhodne o povolení užívání vlastních zařízení v organizaci, by mělo dojít k provedení analýzy rizik, na jejímž základě by bylo možné rozhodnout, zda škola dokáže řídit související rizika. Pokud se škola rozhodne pro zavedení BYOD, pak je nezbytné zavést sérii protiopatření ke zmírnění rizik. Souhrn takových protiopatření je dobré přetvořit v interní politiku/směrnici, která by měla obsahovat:
- Upřesnit, na koho se politika vztahuje (pedagogové/nepedagogové/žáci).
- Zařízení, která mohou být použita (notebooky, telefony aj.).
- Služby a informace, které jsou zpřístupněny takovým zařízením (e-mail, sdílená úložiště aj.).
- Odpovědnosti uživatelů zaměstnavatele a zaměstnanců (včetně odpovědnosti za bezpečnostní opatření, která je nutné přijmout a implementovat).
- Sankce za nedodržování politiky/směrnice.
Vzdálený přístup
V dnešní době existuje celá řada technologií, prostřednictvím kterých je možné zprostředkovat vzdálený přístup do interní sítě. Nicméně stejně jako v případě bezdrátových technologií i zde je důležitá kontinuální správa, aby nedošlo k neautorizovanému přístupu k interním službám.
K zajištění bezpečného vzdáleného přístupu je dobré dodržet následující body:
- Vytvořte zásady vzdáleného přístupu a seznamte s nimi zaměstnance, aby se jimi řídili.
- Vzdálený přístup by měl být poskytován pouze pomocí zabezpečených technologií VPN. Vyvarujte se vytváření přímého přístupu k systémům pomocí dostupných SSH a RDP služeb z internetu. Případně omezte přístup pouze na konkrétní IP adresu a nastavte přístup min. prostřednictvím certifikátu s heslem.
- Služba VPN by měla být nakonfigurovaná tak, aby nebyl povolen tzv. split tunnelling.
- Monitorujte a logujte všechna spojení vzdáleného přístupu.
- Vynuťte více faktorovou autentizaci pro všechna spojení.
5.2. Oblast 2: Řízení uživatelských oprávnění
Není vhodné, aby zaměstnanci školy a žáci měli plná, tzv. administrátorská práva na počítači. Uživatel s administrátorskými právy může měnit nastavení operačního systému, instalovat nelegální software nebo spouštět nebezpečné soubory. Uživatel s neomezenými právy může kompromitovat počítač a ohrozit ostatní počítače v síti.
Výjimku pak může tvořit výuka v oblastech, pro něž je používání účtů s vysokými oprávněními nezbytné (např. výuka administrace OS), přičemž tato výjimka musí být podmíněna segmentací a/nebo restrikcemi vůči zbytku sítě.
Optimální cestou je centrální řízení účtů s využitím adresářových služeb, které umožňují správci sítě z jednoho místa spravovat uživatelské účty, definovat politiku hesel a nastavit práva pro přihlášení na jednotlivé počítače.
Pokud není možné využít centrální řízení účtů, je možné vytvářet jednotlivé účty na konkrétních počítačích, což je ale časově náročnější a zvyšuje se riziko kompromitace jednotlivých počítačů z důvodu sdílení uživatelských účtů nebo opomenutí nastavení bezpečnostních politik na některém z počítačů.
- Nenastavujte běžným uživatelům administrátorská práva.
- Využívejte centrální správu uživatelských účtů s využitím adresářových služeb.
- Definujte centrální politiku hesel.
- Omezte práva uživatelů pro přihlášení na jednotlivé počítače.
- Zakažte výchozí administrátorský účet v operačním systému.
- Nepřidávejte lokální účty na jednotlivé počítače, pokud to není nutné.
5.3. Oblast 3: Zálohování aktiv školy
Při určování adekvátní úrovně ochrany aktiv je vhodné definovat si jejich hodnotu na základě vyhodnocení požadavků na jejich důvěrnost, integritu a dostupnost. Tyto požadavky je třeba zohlednit v havarijním plánu a plánu obnovy a záloh tak, aby byla zajištěna kontinuita a bezpečnost činností u nezbytných systémů/dat (zpravidla „interní“ servery a systémy – například ty, které obsahují účetnictví školy, informace o klasifikaci žáků apod.) a zároveň nebyly vynakládány neúměrné prostředky na ochranu tam, kde to není účelné.
Zálohy mohou být ukládány lokálně (například na diskové pole připojené k interní síti), nebo do prostředí cloudu. U cloudu je ale vždy třeba vyhodnotit vhodnost tohoto řešení s ohledem na požadavky na ochranu důvěrnosti dat. Doporučuje se aplikovat pravidlo 3 – 2 – 1 (Vytvoření nejméně tří kopií dat – Uložení kopie na nejméně dva typy médií – Udržování alespoň jedné kopie zálohy mimo pracoviště).
Bez ohledu na použitý mechanismus zálohování musí být přístup k zálohám, ve smyslu jejich čtení, modifikace nebo mazání, umožněn pouze k tomuto účelu specificky určené množině technických/administrátorských účtů.
Škola by měla pravidelně ověřovat nejen čitelnost, ale především obnovitelnost zálohovaných dat.
5.4. Oblast 4: Ochrana proti škodlivému kódu
V dnešní době se uživatelé setkávají s různými nástrahami prakticky na denní bázi. Většina útočníků se zaměřuje ve svých útocích přímo na uživatele a snaží se využít jejich chybných reakcí na vzniklou situaci. Abychom minimalizovali možnost úspěšného provedení takového útoku, musíme uživatelům nastavit prostředí tak, abychom jim dali šanci se těmto útokům bránit nebo je alespoň odhalit.
Z toho důvodu je potřeba se držet následujících doporučení:
- Mít na stanicích a serverech nainstalovanou a pravidelně aktualizovanou antivirovou ochranu s nastaveným reportingem na správce.
- Zapnutý a správně nastavený lokální firewall (povolit pouze ta pravidla/protokoly, které uživatel potřebuje pro svoji práci).
- Nepoužívat zastaralé a zranitelné verze protokolů (např. Samba v. 1 a 2).
- Omezeno spouštění spustitelných souborů (např. s příponou .EXE, .BAT aj.).
- Běžnou práci provádět pouze pod uživatelským účtem, nikoliv pod privilegovaným.
- Zakázat uživatelům spouštění maker, případně politikou omezit na makra podepsaná organizací.
- Pravidelně zálohovat (ochrana proti ransomware).
- Pravidelně aktualizovat operační systém a provozované aplikace.
5.5. Oblast 5: Řízení aktualizací (Patch management)
S rostoucím počtem koncových zařízení a aplikací je spojena i jejich různorodost. Což způsobuje, že správa těchto systémů a softwaru nadměrně zatěžuje IT správce. Neprovedená nebo opomenutá včasná aktualizace může navíc způsobit narušení zabezpečení sítě, incident a finanční škody. Proto je potřeba tuto problematiku správně řešit.
Co je potřeba splnit pro správné nastavení správy aktualizací:
- Centralizované aktualizace – urychlí a zpřehlední proces aktualizace. Správce nebude muset obcházet jednotlivá zařízení a spouštět na nich aktualizace OS a nainstalovaných aplikací. Současně bude mít přehled, kde aktualizace proběhly a kde ne.
- Nepoužívat nepodporované verze OS a aplikací – zabraňuje zneužití známých zranitelností. Pokud je to vyžadováno např. z důvodu provozu nějakého staršího zařízení nebo aplikace, je nutné přijmout jiná bezpečnostní opatření, např. zařízení přesunout do izolované VLANy s minimálními prostupy.
- Provádět pravidelné aktualizace OS a používaných aplikací – zabraňuje zneužití známých zranitelností.
- Kritické aktualizace doporučujeme provádět v co nejkratším možném čase, aby se předešlo zneužití známých zranitelností. Ostatní aktualizace je možné provádět ve větším časovém rozmezí.
- Aktualizace provádíme vždy na určitém vzorku zařízení, abychom předešli situaci, kdy nám aktualizace způsobní nefunkčnost zařízení. Pokud je možné zranitelnost opravit jiným způsobem než aktualizací, doporučujeme tuto možnost zvážit.
- V souvislosti s aktualizacemi je vhodné co nejvíce sjednotit používané typy OS a aplikací.
- Pro aktualizace je vhodné zvolit čas mimo pracovní dobu, aby se předešlo nedostupnosti služby, případně jiným problémům.
Všechny aplikace i operační systém musí být aktuální. Staré verze s neopravenými zranitelnostmi často bývají terčem útočníků. Zároveň se ujistěte, že vaše zařízení jsou správně nakonfigurována a bezpečnostní funkce zapnuty.
Opravný SW musí být implementován neprodleně po jeho zveřejnění. Kontrola existence záplat a aktualizací aplikací a SW komponent musí probíhat periodicky u všech aktiv, minimálně 1x do měsíce.
5.6. Oblast 6: Ukládání auditních záznamů (logování)
Ve chvíli, kdy dojde na stanici či serveru k problémům (konfiguračním, napadení stanice škodlivým kódem) se logy stávají jediným vodítkem ke zjištění, k jakým změnám na stanici došlo. Cílem je zaznamenávat jednotlivé události tak, aby zapsaly posloupnost činností (auditní stopu), ze které by bylo možné pochopit aktuální chování systému a diagnostikovat případný problém. Zároveň je vhodné tyto logy zabezpečit proti manipulaci či smazání.
Správné nastavení logování zaznamenává následující události:
- Úspěšné/neúspěšné přihlášení.
- Odhlášení.
- Přihlášení privilegovaného uživatele.
- Auditování příkazové řádky.
- Manipulace s účty.
- Manipulace se skupinami.
- Změna politiky autentizace.
- Spuštěné procesy.
5.7. Oblast 7: Vzdělávání zúčastněných osob
Cílem vzdělávání v oblasti informační bezpečnosti je naučit žáky, pedagogy a další zaměstnance školy dodržovat bezpečnostní zásady využívání moderních technologií.
Doporučujeme si ideálně zvolit pro vzdělávání jednu platformu/jeden systém. Pokud se budou vzdělávat žáci, pedagogové nebo obecně všichni zaměstnanci školy v jednom systému, vyhnou se mnoha nástrahám. Více též https://osveta.nukib.cz/local/dashboard.
Pokud je ve škole ICT správce jako nepedagogický pracovník, musí procházet periodickým školením o hrozbách, proškolením principů ISMS a tvorby bezpečnostní architektury:
- Skenování zranitelností.
- Zajištění alespoň částečného logování a monitorování sítě a jejich prostředků.
- Principy fungování sítí a její bezpečné konfigurace.
- Realizace rizikových analýz, seznámení se základními sadami hrozeb/zranitelností, způsobu identifikace aktiv.
- Volba a správa odolných kryptografických prostředků a jejich slabiny.
- Hardening koncových zařízení.
- Stanovení přístupů rolí a oprávnění.
- Výběr, poučení a řízení dodavatelů, zakotvení vztahu do smluvních ustanovení.
- Principy tvorby, správy a testování záloh vč. použití v případě incidentu.
- Ochrana citlivých informací, znalost příslušné legislativy (např. ZKB, autorský zákon, GDPR).
Pokud je ICT správa školy řešena externím dodavatelem, zajímejte se, zda pracovníci firmy pravidelně školení absolvují.
5.8. Rozšiřující bezpečnostní opatření
Rozšiřující bezpečnostní opatření jsou koncipována jako opatření, která rozšiřují Základní opatření a nabízí školám vyšší úroveň kybernetické bezpečnosti, a proto doporučujeme všem školám, aby je v závislosti na svých podmínkách rovněž aplikovaly.
5.9. Řízení obsahu (Content Security Management)
Jak bylo již zmíněno výše, velká část útoků cílí přímo na uživatele s pomocí podvodných mailů, škodlivých příloh nebo odkazů na podvodné stránky. Tyto techniky útoku se do jisté míry dají eliminovat s pomocí níže uvedených technologií, spadajících pod pojem content security.
V případě, že škola používá vlastní e-mailový server, je vhodné zajistit i spamový a antivirový filtr, který je určen pro filtraci škodlivých zpráv a příloh. Doporučujeme pro zvýšení účinnosti filtrování zpráv nakonfigurovat protokoly SPF, DKIM a DMARC. Pokud škola využívá externího subjektu pro provoz e-mailového serveru, může přenést tuto povinnost na poskytovatele služeb.
Škola by měla zajistit filtrování přístupu k potenciálně škodlivému obsahu v internetu (domény a stránky spojené se škodlivým kódem apod.) z interní sítě. Filtraci je možné provádět například s pomocí odpovídajících mechanismů na webových proxy serverech nebo s využitím specializovaných bezpečných DNS služeb.
Za minimální funkční řešení lze považovat nasměrování interních DNS serverů na službu bezpečných DNS překladů a zablokování přístupu k jiným DNS serverům z těch segmentů sítě, v nichž jsou umístěny uživatelské stanice.
5.10. Vyhodnocení auditních záznamů (Logy)
Toto doporučení rozšiřuje základní požadavek na logování (výše). Ve chvíli, kdy zajistíme sběr a bezpečné uložení logů, dalším logickým krokem je pravidelné vyhodnocení informací, které nám logy poskytují. Na základě proaktivní analýzy lze odhalit špatné konfigurace, ale i předcházet napadení či kompletnímu převzetí stanice útočníkem.
Primárně se jedná o logy ze serverů, stanic a logy z bezpečnostních nástrojů.
V případě vyšetřování incidentu jsou důležitým zdrojem informací a pomohou odhalit mj. i stupeň rozšíření nákazy. Regulované subjekty mají z VKB definovanou dobu uchováni logů minimálně 12 nebo 18 měsíců dle druhu regulovaného subjektu. Tuto minimální dobu doporučujeme používat všem administrátorům škol.
5.11. Základní bezpečnostní dohled
S ohledem na personální kapacity školy lze uvažovat o spolupráci nad bezpečnostním dohledem s externími subjekty. Tým bezpečnostního dohledu aktivně sleduje probíhající datovou komunikaci v reálném čase s cílem odhalit škodlivou činnost. V případě pozitivního nálezu dochází k okamžité reakci a následné spolupráci k odstranění nalezené hrozby.
Po dohodě s dalšími subjekty nebo ideálně ve spolupráci se zřizovatelem je vhodné hledat partnera zajištění základních služeb bezpečnostního dohledu. Svou úlohu teoreticky mohou sehrát SOC týmy poskytovatele internetového připojení. Alternativně lze přistoupit k nasazení síťové sondy na perimetr školní sítě a sdílet informace o datové komunikaci s třetí stranou poskytující SOC služby.
5.12. Reakce na kybernetický útok
I s kvalitně nastavenými bezpečnostními opatřeními je stále třeba počítat s rizikem, že může dojít k bezpečnostnímu incidentu. Je tedy vhodné mít pro tyto situace definované plány a procesy, které umožní co nejrychlejší obnovu a sníží potenciální finanční a materiální škody.
Proces zvládání/řešení kybernetických incidentů je vhodné dekomponovat na prevenci a reakci. Dále jsou uvedeny doporučené aktivity, které je doporučeno vykonat v etapě před a v etapě po zjištění kybernetického útoku na vaši organizaci. Seznam aktivit je koncipován jako seznam, kterého se můžete v případě incidentu držet a umožnit tak efektivnější řešení incidentu.
Před útokem
- Mějte připraven seznam klíčových lidí z organizace (vedení školy, IT správce, příp. zřizovatel) a stanovte komunikační plán pro případ takového incidentu.
- Vytvořte plán reakce na kybernetický útok (seznam dílčích kroků a posloupností, které bude administrátor provádět v návaznosti na vybrané, nejvíce pravděpodobné, scénáře). Do plánu reakce a obnovy zakomponujte i systémy nezbytné pro vaši činnost, které jsou pod správou třetí strany (např. cloudové služby, server spravovaný dodavatelem), a to dle uzavřených smluv.
- Vytvořte havarijní plány (DRP) a otestujte jejich funkčnost.
- Vytvořte dostatečný rozpočet pro řešení následků incidentů (přesčasy pracovníků, najmutí konzultační firmy, případná potřeba výměny hardware).
Neprodleně po útoku
Tato opatření jsou určena především pro situace, kdy došlo k závažnému incidentu s následkem kompromitace značné časti sítě, nebo k jejímu znepřístupnění (např. zašifrování ransomwarem), a je třeba infrastrukturu (nebo její část) odstavit, aby se zabránilo dalším škodám. Nejedná se o univerzální postup a vždy je třeba zvážit konkrétní situaci a možné dopady.
- Odpojte zálohovací server od sítě, popř. od elektřiny.
- Maximálně omezte síťovou komunikaci mezi stroji (např. panic mode na firewallech).
- Pokud nejste zařízení v síti schopni vypojit na síťové úrovni, odpojte je od zdroje elektrické energie.
- Odpojte komunikaci do veřejné sítě.
- Zjistěte rozsah napadení a napadené systémy izolujte, dokumentujte zjištění.
- Pozastavte virtuální stroje, pokud je to možné, jinak pořiďte snapshot a vypněte je.
- Kontaktujte manažera kybernetické bezpečnosti, vedení vaší organizace a osoby zodpovědné za dané systémy.
- Požádejte o logy ze sondy/firewallu/od poskytovatele internetu.
V případě napadení ransomwarem důrazně doporučujeme neplatit výkupné, ani jakkoliv jednat s útočníky bez účasti Policie ČR a dalších orgánů, a to z mnoha důvodů, které se týkají jak ochrany kyberprostoru jako celku, tak ochrany oběti konkrétního útoku:
- Zaplacení utvrdí útočníka v ziskovosti jeho jednání a motivuje jej k dalším útokům.
- Neexistuje záruka, že útočník data skutečně odblokuje.
- Odblokování dat neodstraní samotný ransomware ani další potenciální malware, situace se tak může i přes zaplacení výkupného rychle opakovat.
- Z právního hlediska může představovat zaplacení výkupného porušení zásad péče řádného hospodáře.
Podrobnější postup určený pro řešení následků ransomware útoku lze nalézt například v metodickém materiálu:
Před zahájením obnovy
- Stanovte postup obnovy jednotlivých částí systému – v návaznosti na zpracované havarijní plány (DRP).
- Pokud se řešení incidentu na místě účastní více organizací (dodavatelská či konzultační firma, policie), ustanovte si dostupný a bezpečný komunikační kanál. Pokud se aktéři neznají, pro rychlejší a efektivnější komunikaci přímo na místě je doporučeno připravit označení pro každého, kdo se bude účastnit obnovy (např. jednoduše pomocí nalepovacích jmenovek, které obsahují jméno, organizaci, funkci a případně další potřebné informace).
- Zajistěte dostatečně velkou místnost pro analytiky, dodavatele a další zúčastněné, ideálně vybavenou tabulemi (whiteboard, flip chart).
Postup při obnově dat/sítě
- Zjistěte stav online a off-line záloh.
- Zajistěte alternativní internetové připojení.
- Navrhněte novou architekturu sítě.
- Definujte segmentaci sítě.
- Vytvořte čistou VLAN, ve které se začne budovat nová infrastruktura.
- Proveďte audit administrátorských účtů a reset všech administrátorských hesel v celé infrastruktuře.
- Připravte čisté administrátorské stanice, kterým můžou administrátoři plně důvěřovat.
Další zdroje informací z oblasti kybernetické bezpečnosti
V případě potřeby zavedení komplexního systému řízení bezpečnosti informací nebo jako zdroj inspirace lze využít vyhlášku č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „VKB“).
Webové stránky NÚKIB mohou rovněž sloužit jako zdroj informací o problematice kybernetické bezpečnosti. Lze je nalézt pod tímto odkazem: https://www.nukib.cz.
NÚKIB dle potřeby vydává další podpůrné materiály, které lze využít v rámci řešení jednotlivých oblastí kybernetické bezpečnosti. Tyto materiály jsou dostupné zde: www.nukib.cz/cs/kyberneticka-bezpecnost/regulace-a-kontrola/. Dalším zdrojem jsou také informace o aktuálních hrozbách, které lze nalézt zde: www.nukib.cz/cs/infoservis/hrozby/, nebo doporučení, která se nacházejí zde: www.nukib.cz/cs/infoservis/doporuceni/.
Při zabezpečování informací a osobních údajů musí být rovněž zohledněno nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a k tomu vydané metodické pokyny MŠMT. Více zde: https://www.msmt.cz/dokumenty-3/gdpr-na-skolach.
AFCEA, Policejní akademie ČR v Praze, 2015, Výkladový slovník Kybernetické bezpečnosti https://www.cybersecurity.cz/data/slovnik_v310.pdf nebo https://www.nukib.cz/download/publikace/podpurne_materialy/vykladovy_slovnik_KB_3_vydani.pdf
NÚKIB, 2020, Minimální bezpečnostní standard, https://nukib.cz/download/publikace/podpurne_materialy/2020-07-17_Minimalni-bezpecnostni-standard_v1.0.pdf
NÚKIB, 2020, Ransomware: Doporučení pro mitigaci, prevenci a reakci, https://nukib.cz/download/publikace/podpurne_materialy/Ransomware%20-%20Doporuceni_pro_mitigaci_prevenci_a_reakci.pdf
NÚKIB 2020, Bezpečnostní standard pro videokonference v1.0, https://nukib.cz/download/publikace/podpurne_materialy/2020-07-17_Standard-pro-VTC_1.0.pdf
NÚKIB, 2020, Poskytované služby, https://nukib.cz/cs/kyberneticka-bezpecnost/vladni-cert/poskytovane-sluzby/
NÚKIB, 2020, Analýza hrozby ransomware, https://nukib.cz/download/publikace/analyzy/Analyza_hrozby_ransomware.pdf
NÚKIB, 2020, Spear-phishing a jak se před ním chránit, https://nukib.cz/cs/infoservis/doporuceni/1514-spear-phishing-a-jak-se-pred-nim-chranit/
NÚKIB, 2019, Bezpečnostní doporučení NÚKIB pro administrátory 4.0, https://www.nukib.cz/download/publikace/vzdelavani/Admin%204.0%20brozura.pdf