Počítačová síť školy může sloužit jednak k zajištění provozu školy, k zajištění a podpoře výuky a jednak také žákům, kteří přistupují k systémům školy a v neposlední řadě i k internetu.
Co bych dělal pro bezpečnost své sítě jako ředitel školy?
Mgr.
Vladimír
Rohel
ředitel Národního centra kybernetické bezpečnosti
Sekretariát školy má na síti všechny běžné agendy, vedení školy rozvrhy, výkazy a suplování, vyučující své přípravy na hodiny, prezentace učební látky, testy a žáci si na server mohou ukládat své práce a soubory. Škola má na serveru svůj informační portál pro žáky i rodiče, je zde klasifikace, docházka a důležitá sdělení. Vše, co si jen lze představit v souvislosti se školou, se dnes může dít a stále častěji děje
elektronicky.
Nejen tedy státní organizace nebo soukromé firmy jsou naprosto závislé na správném fungování počítačových sítí a internetu. A stejně jako sítě ostatních organizací i síť školy trpí stejnými neduhy a problémy, které je třeba řešit. Servery i stanice obsahují operační systémy a spoustu aplikací, které je třeba
správně nakonfigurovat, spravovat a ošetřovat
jejich zranitelnosti. Je třeba mít správně nastavenou síť, aby se uživatel z části vyhrazené pro žáky nebo návštěvy nedostal do části sítě, kde jsou interní informace vedení školy. Je třeba se starat o
zabezpečení
vlastní sítě proti útoku z vnějšího internetu, ale i proti útoku z vnitřní části sítě a nezapomínat ani na zneužití sítě útočníkem k útoku na jinou síť. Je toho mnoho, a tak zkusme postupně situaci probrat.Naše pomyslná škola má internetovou síť zavedenou do každé učebny a kabinetu. Vedení školy a sekretariát sdílejí základní agendové aplikace školy. Pomocí této sítě přistupují vyučující ke školním agendám a přehledům a rovněž zde mají přípravy na hodiny včetně podpůrných materiálů. Vyučující i škola zde ukládají materiály a zveřejňují informace pro žáky i rodiče, které jsou přístupné i z veřejného internetu. Žáci přistupují jak k veřejným informacím přístupným z veřejné sítě, tak i k informacím a souborům týkajícím se výuky, přístupným jen z vnitřní sítě školy. V neposlední řadě mají žáci i zaměstnanci školy možnost připojení vlastních zařízení do sítě školy a přistupovat takto do internetu. Jsme tedy dosti pokroková škola.
Poskytování služeb na síti školy s sebou ale nese i rizika, která je třeba vyhodnotit a promyslet, jak jim čelit:
Máme dobře rozdělenou síť na segmenty podle skupin a služeb, které chceme těmto skupinám nabídnout? Znamená to, zda například žáci se svými domácími zařízeními nemohou přistoupit k aplikacím a datům vedení školy. Zda jsou tyto sítě oddělené a průchod, pokud je opravdu nezbytný, je řízený prvkem, kde jsou jasně nastavená pravidla. Tímto prvkem je zpravidla nějaký
.
firewall
Neběží nám vše na jednom serveru? V dnešní době je
výkon serverů
veliký a dostatečný na to, aby jeden zvládl obvyklé agendy běžné školy. Není však nutné kupovat více hardwarových serverů, ale využít možnosti virtualizace a mít vždy jeden
virtuální server
pro skupinu aplikací nebo třeba jen jednu službu. Jelikož jde o softwarové řešení, je třeba dbát na správnou konfiguraci a správu zranitelností a updatů.Máte
zálohované servery a jejich data?
Kde, kdy, co a jak se zálohuje? Zkoušel někdo někdy zálohy obnovit? Často se stává, že si někdo smaže důležitý dokument a je třeba ho obnovit ze zálohy. Horší situace je, pokud vám, třeba po výpadku sítě, nenaběhne server a nutně potřebujete na nový server nahrát zpět software a včerejší data. Prezentace možná vyučující oželí, i když to rozhodně není příjemné, ale data o provozu a chodu školy a výuce jsou pro školu kritická.Máme správně nastavenou
autentizaci
a
autorizaci
v síti? Stará se někdo pravidelně o kontrolu účtů a oprávnění? Lokální účty na stanicích v síti se velmi těžko spravují a nastavení oprávnění ke zdrojům sítě je prakticky jen velmi těžko realizovatelné, tedy pokud nepoužíváme obecné účty typu
User1, User2
, ... Rovněž neplatnost účtů je třeba řešit. „Mrtvé duše“ v systému jsou problém, zejména pokud zjistíme, že někdo účet stále využívá.Máme instalovaný
antivirus
na serverech a stanicích? Aktualizuje se? Dostává někdo informace o incidentech a zjištěních antiviru? Co s nimi dělá? Není nic jednoduššího, než mít dobrý antivirus. Pro jeho výběr se dá obrátit na odborné posudky a výsledky porovnávacích testů. Nestačí jen číst PR výstupy a reklamy, ale to asi u žádného výrobku. Pokud škola nemá ani to, neměla by v dnešní době počítače ani zapínat. Antivirus je základní a nezbytná věc v PC, tabletu či chytrém telefonu. V analýze rizik školy pravděpodobně vyjde, že hrozby, kterým bude čelit, se dají z velké části eliminovat pomocí antiviru a správného chování uživatelů.Máme síť dobře
zdokumentovanou?
Jsme sice škola, ale nepořádek není závislý na velikosti nebo zaměření organizace. Po čase zjistíme, že síť je už tak veliká a je na ní tolik věcí, že se v tom dá jen těžko vyznat a zjistit, proč něco nefunguje, nebo naopak funguje, když nemá, je veliký problém. Dodělávat dokumentaci zpětně je úkol za trest. Je to stejné jako chtít v hotovém domě dodělávat zpětně dokumentaci a plány.Máme jasně napsaná
pravidla chování v síti
a podepisují uživatelé (učitelé, sekretariát, žáci/rodiče...) souhlas s jejich dodržováním? Pokud někoho neseznámíte s pravidly chování na síti, těžko budete následně cokoliv vymáhat.Máte aktivní jen ty datové zásuvky, které jsou využívány? Není někde neobsazená zásuvka (třeba na chodbě nebo ve třídě), která je funkční a umožňuje přístup k internetu, nebo dokonce do agend školy? Je správné, aby do agend školy byl přístup z učeben?
Jak vypadá vaše
smlouva s poskytovatelem internetového připojení?
Obsahuje jen informace o provozních záležitostech, nebo vám poskytuje i pomoc v případě, že vaše síť je napadena a potřebujete pomoc operátora, minimálně z důvodu odborných znalostí s provozem sítě?WiFi
- řízený přístup do sítě a jeho správa. Víme, kam všude síť dosáhne a kdo se do ní hlásí? Komu patří zařízení generující „divný“ provoz nebo stahující nelegální obsah? Spustit WiFi síť dnes není velký problém. Stejně tak není velký problém její zneužití, pokud není správně nakonfigurována a zabezpečena. Pokud by se chtěl útočník dostat do sítě, která má jen kabelové rozvody, musel by se fyzicky dostat k funkční datové zásuvce. Pokud útočí na WiFi síť, stačí být kdekoliv, kam síť dosáhne, což často bývá i mimo areál školy. Hrát si s takovou sítí pak může nepozorovaně hodiny a dny. Navíc škola dost často pouští do své WiFi sítě i soukromá zařízení zaměstnanců a žáků, tzv. BYOD (zkratka Bring Your Own Device, ale odborníci ji často ironicky interpretují jako Bring Your Organisation Down). Tato zařízení jsou pro jakoukoliv síť velké bezpečnostní riziko. Škola nemá tato zařízení pod kontrolou, neví, co je na nich umístěno, zda mají nainstalovaný antivirus, jak jsou instalovány bezpečnostní záplaty a další a další věci. Je tedy třeba zvážit, zda takováto zařízení do sítě pustit, a pokud ano, tak za jakých podmínek. Podmínky jsou jak organizační -podpis nějakého nařízení pro uživatele těchto zařízení, tak technické - správná segmentace sítě, konfigurace prostupů a oprávnění v síti, možnost identifikace zařízení, které v síti škodí... Je nutné si uvědomit, že škola zodpovídá za bezpečnost svých dat v síti, ale i za to, že její síť nebude bezpečnostní hrozbou pro jiné organizace. Právě špatně zabezpečené WiFi sítě jsou ideální pro šíření závadného kódu, pro útočníka, který potřebuje skrytý přístup do internetu, pro páchání trestné činnosti a podobně.Zodpovědnost za zabezpečení dat a informací v síti,
ale i za chování sítě a jejich zařízení v internetu. Tento princip jsem uvedl a považuji za nutné ho ještě zdůraznit. Stejně jako ve fyzickém světě zodpovídáme za vlastní majetek a případné škody, které si způsobíme sami nebo nám je způsobí někdo jiný, a k eliminaci toho podnikáme spoustu kroků a opatření, tak zodpovídáme i za škody, které my nebo náš majetek způsobí někomu jinému. Stejný princip platí i ve světě virtuálním. Toto je často opomíjeno a bezpečnost je vnímána pouze jako zabezpečení se proti vnější hrozbě.Vždy bychom měli mít nasazený monitoring sítě. Není třeba kupovat drahá řešení určená pro velké společnosti. Dostupná jsou i menší a kvalitní řešení, která jsou buď zadarmo, nebo za velmi přijatelné peníze. Rozhodně je třeba nechat vyškolit nebo najmout pracovníka, který se prací a konfigurací tohoto systému bude zabývat. Monitorovat by se měly nejen provozní záležitosti, jako je správný běh aplikací atd., ale i bezpečnostní incidenty v síti. Každé zařízení v síti generuje logy a je třeba je průběžně vyhodnocovat a reagovat na jejich sdělení.
Výše uvedené jsou jen základní věci, které je třeba brát v úvahu, pokud plánujeme školní síť a její služby. Pokud si nedokážeme s problémem poradit sami, je třeba se obrátit na
odborníky
a objednat si kvalitní službu od zodpovědné společnosti. „Melouchaření“, které je u nás stále dosti v oblibě, se nedá provozovat, pokud má být garantována jistá kvalita služeb a bezpečnosti.Zodpovědný vlastník sítě si podchytí poskytované služby kvalitní smlouvou, která mu bude garantovat, že je vše v pořádku, a pokud se vyskytnou problémy, tak budou dobře a rychle vyřešeny. V případě, že je škola schopná si řešit vše výše zmíněné vlastními silami, je nutné počítat s tím, že i toto je práce, která zabere nezanedbatelný čas a prostředky, a je třeba ji patřičně ohodnotit.