TOP

Platforma kybernetické bezpečnosti

Víte, jak vypadá kybernetická bezpečnost na našich školách?

Každý rodič chce mít jistotu, že jsou jeho děti v bezpečí a nedělají nic nebezpečného. Doma se o to ještě rodiče zvládnou postarat,
ale co ve škole? Václav Šamša ze společnosti TDP patří mezi největší odborníky na kybernetickou bezpečnost na školách v ČR.
Přinášíme Vám jeho pohled z praxe. 

Co si myslíte o kybernetické bezpečnosti na školách? Jaké subjekty vnímate jako nejvíce ohrožené?

Bezpečnost na školách je obecně důležitá, protože o svých žácích a jejich zákonných zástupcích shromažďují a
uchovávají mnoho osobních údajů. Uživateli informačních systémů škol dnes jsou učitelé, nepedagogičtí pracovníci,
rodiče i žáci
. Samozřejmě, čím rozsáhlejší oprávnění pracovat s daty daný uživatel má, tím více je třeba jeho přístup k systému
zabezpečit. Přitom se pohybujeme v relativně otevřeném IT prostředí a čelíme například tomu, že učitel je z praktických důvodů
nucen pracovat na počítačích, ke kterým mají přístup i žáci. Uživatelé školních systémů rovněž využívají mnoho cloudových
řešení a mnohdy v nich používají stejná jména a hesla jako v síti školy, aniž by byli chráněni federací.

Kromě školních informačních systémů sledujeme i jiná rizika, z nichž největší a nejčastější je riziko podvodu – úprava dat o prospěchu,
podvádění při testech, podvody v oblasti splnění podmínek pro zařazení do studijních pobytů apod. Ve známé knize Freakonomics
jsou popsány i podvody učitelů, kteří pomáhali svým studentům uspět ve standardizovaných testech, protože jejich zřizovatel slíbil
finanční odměnu těm, jejichž studenti dosáhnou lepší hodnocení. Tedy, ohroženi jsou všichni, jen pro různé skupiny mají úniky dat
a podvody jiné důsledky.

Jaké tedy zavést opatření k eliminaci těchto rizik? 

Jak už jsem zmínil, IT prostředí ve školách nemůže být tak zabezpečeno jako třeba ve srovnatelně velké korporaci. To již z principu
není možné, používají se výukové programy různé úrovně, kde důležitější je obsah než forma, na projektech se pracuje na vlastních
nebo zapůjčených zařízeních, samozřejmě s různými OS (operačními systémy) a různými verzemi OS atd. Školy potřebují
v maximální míře umožnit svým uživatelům, aby se chovali bezpečně. To zahrnuje technická řešení i sociální opatření – je třeba
například zavést dvoufaktorovou autentizaci a zároveň uživatele naučit ji používat. Naší parketou v oblasti opatření je udělat to
tak, aby vyšší bezpečnost uživatele neobtěžovala, ale aby ji měli rádi. Zní to nepravděpodobně, ale jde to.

 

Jaké jsou v této oblasti současné trendy?

Nevím, zda to lze nazvat trendem, ale hodně často vidíme, že školy neřeší, jaké je TCO (totální náklady na vlastnictví).
Hlavně když je licence “zadarmo” aneb jak jsme šetřili až jsme “ušetřili” – licence je zadarmo ale práce na udržení řešení v chodu je
ohromná. V oblasti bezpečnosti pak ještě neustálé hledání někoho, kdo to “vyřeší za nás”. V internetových diskusích pak vidíme
přispěvatele, kteří říkají – přešli jsme z A na B a lidská přirozenost je, že když to udělali jiní, tak to nemůže být špatně. Staré indiánské
přísloví říká – když  zjistíš, že jedeš na mrtvém koni, sesedni. Lidé ale běžně maskují mrtvé koně starými neduživými osly, hlavně aby
se neukázalo, že jsme se špatně rozhodli, vyhodili spoustu peněz, a ještě nás musí být o polovinu více, abychom to vůbec zvládli.

Jak je to vlastně se zapojením škol do IoT?

Mezi našimi školními zákazníky jsou takové, které pracují na IoT projektech. Rozhodně to ale ani v nejmenším nesouvisí
s kybernetickou  bezpečností ve školách.
Jinak je ovšem IoT z pohledu bezpečnosti veliká legrace, a ještě určitě bude. Ideální
IoT zařízení je takové, které se zkonfiguruje mechanickým piankem a poctivě hlásí, zda nad ním parkuje auto nebo kde právě je
železniční vagon, na kterém je připevněné.

Poslední dobou se hodně mluví o monitoringu studentů. Budou školy špehovat žáky?

Jak jsem říkal, stává se například, že student ovládne a zneužije účet učitele. V takovém případě žádný monitoring aktivit
nepomůže, nehledě na to, že je to morálně dost špatná věc. Ve více zemích má škola povinnost ne monitorovat, ale
přímo řídit tak, aby žáci a studenti  nemohli být vystaveni “nevhodnému” obsahu.
Jen plnoletí studenti mohou podepsat
souhlas, že již chráněni být nechtějí. Ani toto ale není o kybernetické bezpečnosti.

Vzhledem k rizikům, dochází u škol ke zvyšování úrovně jejich bezpečnostních systémů?

Ano, to je důležité, ale jak jsem říkal – nejčastěji propojí uživatel velmi bezpečný systém a málo bezpečný systém tím, že do
obou zadá stejné přihlašovací údaje. Vlastně, viděl jsem ve světě hodně škol, kde toto propojení zařídí sami správci IT pomocí
pořádně drahého řešení pro správu identit a říkají tomu SSO – všude můžete zadat stejné jméno a heslo, prostě pohodlíčko.
Zkušené organizace a školy nic takového nedopustí a jdou důsledně cestou federace – používají informační systémy
cloudové, 
hostované i onpremises, ale veškerá autentizace uživatele je koncentrována do jednoho systému, kterému
důvěřují a který 
reálně mohou hlídat, auditovat a chránit. Ten tedy může být rozdělen na IdP a na trezor přihlašovacích údajů
pro systémy, které práci s IdP nepodporují. I my to máme rozdělené na dva produkty – KeyShield (autentizace) a
SecureAnyBox (trezor).

Pracujete nějakým způsobem na předání vašich poznatků z praxe?

My se snažíme neustále naše poznatky sdílet a jak naše zákazníky vzdělávat, tak se od nich vždy co nejvíce naučit. Pořádáme
semináře, na kterých probereme bezpečnost, zeptáme se účastníků, v jakých situacích se ocitají a přímo během semináře
nastíníme řešení. Máme v tom velkou výhodu,
protože se zabýváme jak správou identit a autentizací pomocí IdP, tak agendami pro
nastavení hesel a bezpečným sdíleným úložištěm. Pro některé zákazníky jsme vytvořili přímo řešení na míru – školy a univerzity,
nemocnice a zdravotnictví vůbec, státní správa a všichni, kteří třeba ne ze zákona, ale z důvodu bezpečnosti chtějí
vyhovět ZoKB
.

Co pro vás osobně znamená spojení vzdělávání a kybernetické bezpečnosti?

Takové spojení mi stále trochu chybí. Děti je potřeba upozornit na rizika, která si neuvědomíte tak, že na něco sáhnete, ono to pálí,
a tak už to příště neuděláte. Larry Ellison, majitel Oracle, správně říká: „Cloud? Není žádný cloud. Na druhě straně je jen počítač
někoho jiného.“ Hesla jsou jako v armádě – stráž u brány ví, jaké je heslo dne a proto vás pustí dovnitř. Když někam zadáte
své heslo, protistrana ho prostě ví nebo ho může zjistit hrubou silou, pokud není dost bezpečné. Tohle je třeba dětem říkat
stejně jako že jednou publikovanou fotografii již nelze vzít zpět a že je třeba si dobře rozmyslet, zda se vyplatí takové riziko
jako mít třeba účet na Facebooku. A pokud ho již máte, tak co tam psát můžete a co ne
. To potřebují vědět mnohem dříve a lépe
než třeba znát matematickou podstatu kryptování – jsou lidé, kteří tu matematiku znají, ale to jim nebrání používat Facebook a chovat
se na něm neopatrně.

O společnosti TDP: 

Firma TDP (Továrna na dokonalé programy) vznikla již roce 1989. Společnost disponuje pestrým portfoliem produktů. Mezi ně
patří například informační a distribuční systém AVIDIS, který používaly i Universal Pictures a Warner Bros či burzovní systém
BOIS vyvinutý pro burzu s elektrickou energií. Část společnosti TDP se dlouhodobě věnuje kybernetické bezpečnosti
na školách, se kterou pomáhají jejich produkty KeyShield,
SecureAnyBox, Contant Keeper nebo ZfCR
.

 

Mohlo by Vás zajímat: 

Jak zabezpečit firemní e-learning? 

Hradecká škola cílem kybernetického útoku 

Umírá Silicon Valley?