Bezpečnost školních informačních systémů

Vydáno:

Postupný a čím dál tím rychlejší přesun nejrůznějších oblastí lidské činnosti k závislosti na digitálních technologiích s sebou nese řadu nesporných výhod, informační systémy umožňují stále lepší využívání klasického řetězce „Data -Informace - Rozhodování“. Všechny části tohoto řetězce, ať už jsou to technologie, systémy, aplikace, nebo uživatelé všech rolí, jsou zranitelné a můžou být tím slabým článkem, který definuje úroveň bezpečnosti celého informačního systému. Tyto zranitelnosti potom ovlivňují důvěrnost, integritu a dostupnost informací a služeb informačních systémů (dále jen „IS“).

Bezpečnost školních informačních systémů
Ing.
Aleš
Špidla
manažer v oddělení řízení rizik PwC, viceprezident Českého institutu manažerů informační bezpečnosti
Důvěrnost znamená, že k informacím a službám IS se dostane jen uživatel, který je k tomu oprávněn, a to jen k těm, které potřebuje znát a využívat. Integritou se rozumí, že data a informace z nich prezentované pomocí aplikací nejsou poškozeny nebo zmanipulovány. Dostupnost zajišťuje, že informace a služby IS jsou dostupné v každém okamžiku podle potřeb uživatelů.
Výše uvedené platí samozřejmě i pro školní informační systémy (dále jen „ŠIS“). Kvalitní ŠIS poskytují uživatelům celý komplex služeb, jehož složení se liší podle typu školy a nároků uživatelů. Vyšší komplexnost je nepochybně plusem a přináší řadu výhod, ale také řadu úskalí. Komplexní školní informační systém shromažďuje, zpracovává a uchovává větší množinu různorodých informací, které jsou důležité pro efektivní provoz a řízení školy -ekonomické záležitosti, majetek, personalistiku atd., komunikaci v rámci školy i navenek - kontakt s žáky nebo studenty, ale i s rodiči a veřejností, a pro zpracování informací o studiu jako takovém - rozvrh hodin, školní i mimoškolní aktivity a další funkce. Pro ŠIS je typické, že jsou v nich zpracovávány osobní údaje, ať už zaměstnanců školy, nebo žáků či studentů. Nakládání s osobními údaji a také pravidla jejich ochrany upravuje zákon o ochraně osobních údajů (č. 101/2000 Sb.). Shromažďování a zpracování osobních údajů klade zvýšené nároky na zajištění bezpečnosti ŠIS.
V České republice platí od 1.1.2015 zákon o kybernetické bezpečnosti (č. 181/2014 Sb.) a vyhláška o kybernetické bezpečnosti (č. 316/2014 Sb.). Školy nejsou sice tzv. osobami povinnými vůči těmto předpisům, kybernetická bezpečnost však není otázkou zákona, je otázkou pudu sebezáchovy instituce. Její zanedbání může mít dopad na prestiž instituce, může vést k porušení ostatních zákonů, např. již zmíněného zákona o ochraně osobních údajů.
Vyhláška č. 316/2014 Sb. je srozumitelným shrnutím nejlepší praxe v oblasti bezpečnosti IS. Je proto dobrým vodítkem, jakýmsi kontrolním seznamem pro vlastní zhodnocení toho, jak je IS, a tedy i ten školní, zabezpečen.
O kybernetické bezpečnosti ve školách je většinou uvažováno v souvislosti s žáky nebo studenty jako oběťmi nebo pachateli kybernetických přečinů. Méně už se diskutuje o bezpečnosti ŠIS a informací v nich obsažených. ŠIS je stejně zranitelný jako jakýkoliv jiný informační systém. Jeho komplexnost, a tím soustředění důležitých informací v jednom místě, vytváří prostor pro útoky proti jejich důvěrnosti, integritě a dostupnosti.
Zajištění bezpečnosti ŠIS vyžaduje přijetí organizačních, technických a personálních opatření. Tato opatření jsou srozumitelně popsána v již zmíněné vyhlášce. Organizační opatření jsou dokumentovaná opatření, kterými škola vyjadřuje své odhodlání bezpečnost informačních systémů ve své správě řešit a věnovat jí patřičné zdroje. Důležité je popsání procesů pro zachování kontinuity činností a obnovení provozu po případném výpadku funkčnosti informačního systému. Je velmi důležité mít popsané procesy pro případy úniku či poškození informací a také postupy pro zlepšování bezpečnosti.
Technická opatření jsou zdánlivě nejjednodušší, protože řada správců je přesvědčena, že nákupem technologií, od antivirů přes firewally až po vybudování demilitarizovaných zón, je bezpečnost vyřešena. Opak je však pravdou. Technická opatření bez zodpovědného přístupu k pořízení všech technických prostředků, údržbě a jejich bezpečné likvidaci jsou mnohdy jen budováním iluze bezpečnosti. I technické prostředky mají své zranitelnosti a ty musí být správně ošetřeny. Pro bezpečnost platí, že řetěz je tak silný, jak je silný jeho nejslabší článek, což je samozřejmě člověk. Proto musí být velký důraz kladen na personální bezpečnost.
Personální bezpečnost je ta část bezpečnosti, která se zabývá procesy zlepšování povědomí všech uživatelů o otázkách bezpečnosti informačních systémů. Není nutno za tím hledat cokoliv složitého, je to nastavení procesů vzdělávání v oblasti kybernetické bezpečnosti. Jde zde o vytvoření systému, kterým jsou všichni uživatelé informování o tom, jak bezpečně pracovat s informačními systémy, jak se chovat v případě bezpečnostních incidentů, na koho se obrátit v případě neočekávaných událostí. Je důležité nastavit takový systém, který jasně uživatelům vysvětluje, jakou míru zodpovědnosti ve vztahu k bezpečnosti informací mají.
Celý, výše velmi stručně popsaný soubor opatření musí být pravidelně testován, musí být hodnocena jeho účinnost a efektivnost, a to cestou např. vnitřních a vnějších penetračních testů. Měla by být také hodnocena účinnost systému pro zvyšování povědomí uživatelů.
Je samozřejmé, že i zde platí princip přiměřenosti. Na druhou stranu je třeba si uvědomit, že bezpečnost ŠIS není záležitostí pro nadšené amatéry.
Zavést a provozovat výše uvedená opatření, která by efektivně zajistila bezpečnost ŠIS, není jednoduchá ani levná záležitost, a to i při zachování zmíněného principu přiměřenosti.
Řešení je závislé mimo jiné na způsobu provozování informačního systému. Uveďme si základní varianty.
Vlastní infrastruktura
V tomto případě je ŠIS ve správě školy, je provozován ve vlastní technické a systémové infrastruktuře a zajištění jeho bezpečnosti je plně v režii školy. Veškerá opatření, organizační, technická i personální zajišťuje škola. Bezpečnost informací musí být součástí procesů řízení školy, musí být zavedena, udržována a rozvíjena, což vyžaduje kvalifikovaný personál a nikdy nekončící údržbu a rozvoj bezpečnosti informací ve všech oblastech. Škola tak zodpovídá např. za aktualizace všech systémových prostředků, za ošetření nově objevených zranitelností, za testování všech prvků bezpečnosti apod. Rozvoj samotného ŠIS je na straně dodavatele, nicméně technické a systémové prostředí, ve kterém ŠIS pracuje, si spravuje škola sama z vlastních zdrojů. Takovéto řešení klade vysoké nároky na kvalitu odborného personálu. Trend poslední doby je takový, že cena těchto odborníků na trhu stoupá.
Vlastní infrastruktura s externí servisní službou
ŠIS je provozován ve vlastní technické a systémové infrastruktuře a veškeré servisní služby jsou zajišťovány externím dodavatelem. Je zde řada variant z pohledu toho, co vše který dodavatel zajišťuje. Někdy je dodavatelů více a každý se stará o určitou část aplikací, systémů nebo technologií. Potom se složitě řeší otázka „kdo za to může a kdo to vyřeší“. Velmi náročný je proces nastavení smluvního vztahu a vymezení kompetencí. To klade velmi vysoké nároky na odborné posouzení takovýchto smluv. Z vlastních zkušeností vím, že velkým problémem je proces ukončení smlouvy, tzn. co kdo komu a jak předá v případě ukončení poskytování služeb. Složitost zajištění správného fungování takovéhoto systému exponenciálně stoupá s počtem dodavatelů.
Školní informační systém jako služba
Trendem současné doby jsou online služby (cloudové služby). Budování, provozování a rozvoj IS, a jak už jsem uvedl, školní informační systém je IS jako kterýkoliv jiný, je stále složitější a náročnější na zdroje. Zvyšující se složitost vyplývá z pochopitelných a oprávněných požadavků na komplexnost ŠIS, na jejich uživatelskou přívětivost a na pokud možno minimální péči ze strany uživatelů. Trend online služeb vychází vstříc právě těmto požadavkům. Na straně školy vyžaduje pouze zajištění základní infrastruktury, která je budována pouze za účelem připojení k poskytovateli takovéto služby. Školní informační systém poskytovaný jako služba z datového centra dodavatele kromě toho, že snižuje nároky na robustnost, a tím i cenu infrastruktury školy, přináší i mnoho dalších nesporných výhod. Jednou z největších je právě zajištění bezpečnosti ŠIS a informací v něm obsažených. Bezpečnost je dána bezpečností samotného datového centra, která je typicky zajištěna na špičkové technologické úrovni a špičkovými profesionály. Sledování trendů v bezpečnosti, řešení nových zranitelností, zajištění upgrade technologií, to vše je starostí dodavatele online služby. Na straně školy je nutno zajistit bezpečnost koncových stanic a samozřejmě zodpovědné chování uživatelů. Faktem je -a to je doporučení pro školy - že kvalitní dodavatelé těchto služeb jsou schopni pomoci školám i v těchto oblastech. Školy často nemají zkušenosti s nastavením procesů pro zvyšování bezpečnost, resp. toho dílu, který v případě využívání online služeb zůstává na jejich bedrech, proto je lepší přesunout tyto záležitosti k odborníkům.
Neméně důležitou výhodou je rozvoj ŠIS, který je v tomto případě plně na straně dodavatele, a odpadá tím často bolestný proces nasazování nových verzí nebo modulů do infrastruktury školy. Asi největší výhodou jsou nesporné a významné finanční úspory, které takovéto řešení přináší, náklady na provoz jsou často výrazně nižší než mzdové náklady na potřebný personál na straně školy.
Jako odborníka na kybernetickou bezpečnost se mě často veřejnost ptá, jestli online služby nejsou snáze napadnutelné, a data v datových centrech nejsou tím pádem více ohrožena. S lehkou nadsázkou odpovídám asi takto: „Ano, pravdou je, že pokud jsou data na jednom místě, tak se na ně lépe útočí, ale na druhou stranu také se lépe chrání.“ Argumentem pro důvěru ve vyšší bezpečnost online řešení je soustředění špičkových technologií a špičkových profesionálů v datových centrech poskytovatelů, kteří se soustředí na zajištění bezpečného a spolehlivého provozu online služeb. Je však nutno podotknout, že je dobré věnovat odpovídající pozornost výběru dodavatele takovéto služby. Stejnou pozornost je nutno věnovat i parametrům smlouvy mezi školou a dodavatelem. Zde platí, že kvalitní dodavatel si nedovolí používat nekvalitní smlouvu.
Závěrem lze říci, že s ohledem na finanční, kapacitní a personální možnosti škol je pro nemalé procento z nich nejvýhodnějším řešením právě využívání online školních informačních systémů. A to takových, které splní maximum požadavků školy v celém komplexu. Stručně řečeno -od žákovské knížky až po řízení školy.