5. Standard bezpečnosti pro školy

5.1. Oblast 1: Segmentace sítě

Proč?

Nepřetržité připojení školy k internetu má za následek její vystavení nehostinnému prostředí a rychle se vyvíjejícím hrozbám. Zaměstnanci mohou navíc svými činy, ať už úmyslně nebo neúmyslně, interní síť ohrozit. Proto je její zabezpečení jednou z klíčových činností k ochraně dat organizace.

Zabezpečení sítě má obecně tři základní cíle:

  • Ochránit samostatnou síť.
  • Snížit náchylnost koncových zařízení a aplikací vůči hrozbám ze sítě.
  • Chránit data během přenosu.

Segmentace sítě, ochrana perimetru a ochrana bezdrátových sítí

Rozdělení počítačové sítě do logických celků (segmentů) přispívá k lepší orientaci a snadnější správě samotné počítačové sítě. Následně je nutné efektivně definovat pravidla pro komunikaci do daného segmentu. Tato komunikace by měla být omezena na nezbytné minimum. Pokud dojde k napadení takto segmentované sítě škodlivým kódem, nedochází k rozšíření škodlivého kódu po celé síti, ale jen v daném segmentu napadení. Tím eliminujeme výsledné škody.

Samostatné segmenty by měly být vytvořeny minimálně pro následující kategorie systémů, pokud takové systémy škola provozuje:

  • Servery poskytující služby do sítě internet (DMZ).
  • Servery poskytující služby do interní sítě školy.
  • Uživatelské stanice zaměstnanců školy (počítače učitelů, administrativních zaměstnanců apod.).
  • Stanice užívané v rámci výuky na učebnách.
  • Soukromá zařízení žáků a návštěvníků připojujících se na Wi-Fi školy.

Ochrana perimetru

Jak bylo již uvedeno v úvodu, připojení organizace k internetu znamená být připojen k prostředí, ve kterém se kybernetické hrozby dynamicky vyvíjejí.

Je tedy v zájmu školy zabezpečit perimetr počítačové sítě:

  • Povolit pouze nezbytný provoz mezi segmenty a sítí internet (např. povolení komunikace ze stanic v učebnách do internetu pouze na porty TCP 80 a 443 apod.).
  • Povolit přístup k systémům školy ze sítě internet výhradně na stroje umístěné v samostatném segmentu DMZ.

Bezpečnost bezdrátových sítí

Přestože možnost bezdrátového připojení do sítě přineslo řadu výhod v podobě zvýšení mobility a produktivity zaměstnanců, ruku v ruce představilo také řadu hrozeb a výzev. V mnoha případech může dojít ke krádežím duševního vlastnictví či citlivých informací právě skrze bezdrátové sítě, a to z důvodu obcházení tradičních sítí segmentovaných a chráněných na perimetru pomocí firewallu či IDS.

Pro zajištění bezpečnosti by měla být dodržena následující opatření:

  • Veškerý provoz u organizací spravovaných zařízení musí být zabezpečen minimálně AES šifrováním a standardem WPA2-Enterprise. Zabezpečení WPA2-PSK technologií se ve větších organizacích nedoporučuje; zabezpečení WEP technologií je silně nedostačující!
  • Pro nespravovaná zařízení je vyhrazena síť pro hosty, skrze kterou není možné přistupovat k interním systémům či aplikacím kromě těch, jež jsou dostupné z internetu.

Soukromá zařízení (trend BYOD)

Jde o koncept, který v poslední době neustále nabývá na popularitě a umožňuje zaměstnancům a žákům přinést si svá vlastní zařízení do prostředí školy. Zatímco toto řešení přináší z uživatelského hlediska řadu výhod, z pohledu bezpečnosti se sebou nese několik rizik, která je nutné uvážit:

  • Ztráta zařízení společně s daty organizace.
  • Uživatelé mohou, třebaže nezáměrně, nainstalovat celou řadu aplikací, mezi nimiž může být i malware.
  • Integrace rozličných zařízení s různými OS do prostředí organizace.

Předtím, než se rozhodne o povolení užívání vlastních zařízení v organizaci, by mělo dojít k provedení analýzy rizik, na jejímž základě by bylo možné rozhodnout, zda škola dokáže řídit související rizika. Pokud se škola rozhodne pro zavedení BYOD, pak je nezbytné zavést sérii protiopatření ke zmírnění rizik. Souhrn takových protiopatření je dobré přetvořit v interní politiku/směrnici, která by měla obsahovat:

  • Upřesnit, na koho se politika vztahuje (pedagogové/nepedagogové/žáci).
  • Zařízení, která mohou být použita (notebooky, telefony aj.).
  • Služby a informace, které jsou zpřístupněny takovým zařízením (e-mail, sdílená úložiště aj.).
  • Odpovědnosti uživatelů zaměstnavatele a zaměstnanců (včetně odpovědnosti za bezpečnostní opatření, která je nutné přijmout a implementovat).
  • Sankce za nedodržování politiky/směrnice.

Vzdálený přístup

V dnešní době existuje celá řada technologií, prostřednictvím kterých je možné zprostředkovat vzdálený přístup do interní sítě. Nicméně stejně jako v případě bezdrátových technologií i zde je důležitá kontinuální správa, aby nedošlo k neautorizovanému přístupu k interním službám.

K zajištění bezpečného vzdáleného přístupu je dobré dodržet následující body:

  • Vytvořte zásady vzdáleného přístupu a seznamte s nimi zaměstnance, aby se jimi řídili.
  • Vzdálený přístup by měl být poskytován pouze pomocí zabezpečených technologií VPN. Vyvarujte se vytváření přímého přístupu k systémům pomocí dostupných SSH a RDP služeb z internetu. Případně omezte přístup pouze na konkrétní IP adresu a nastavte přístup min. prostřednictvím certifikátu s heslem.
  • Služba VPN by měla být nakonfigurovaná tak, aby nebyl povolen tzv. split tunnelling.
  • Monitorujte a logujte všechna spojení vzdáleného přístupu.
  • Vynuťte více faktorovou autentizaci pro všechna spojení.