Můžu začít pohádkou? Když jste se vydali kdysi dávno ze své jeskyně na lov sehnat něco k jídlu, hrozila vám určitě spousta nebezpečí. V nejhorším případě jste mohli skončit mrtví, mohlo vás zabít zvíře nebo člověk z jiné tlupy. V dnešní době jsme tuhle bezpečnost mezi životem a smrtí přesunuli výše, snad na úroveň národní či mezinárodní. Neřešíme to sami za sebe, řešíme to ve velkých skupinách. Takže když se dnes vydáte ze svého bytu na nákup do supermarketu, máte docela slušnou šanci vrátit se zpět živí a zdraví. (Pokud tedy neberu v potaz drobné půtky nad zlevněným zbožím.)
Podobné je to v online světě. V minulosti byly počítače vcelku izolované stroje. Největším nebezpečím byl uživatel, který přinesl disketu, a o svou kyberbezpečnost se staral víceméně sám nebo v malé skupině. V dnešní době je vše propojené a člověk si už většinou sám nevystačí. (Zůstalo však pravdou, že největším nebezpečím zůstává uživatel samotný.)
Abych se ale dostal k tématu: ani IT oddělení na vysoké škole si samo nevystačí. Řešení kyberbezpečnosti se posunulo mnohem výše. Kyberbezpečnost je už tak složitý obor, že se i zkušení odborníci soustředí jen na nějakou konkrétní oblast, na nějakou určitou výseč oboru. Udržet krok s dobou je složité a je potřeba přizvat kolegy, vytvořit větší skupinu a sednout si nad těmito úkoly spolu.
A přesně to se stalo. 25 českých vysokých škol se sešlo v projektu CRP-KYBER21, aby začaly řešit svou kyberbezpečnost společně. Přesněji: aby zvýšily celkovou úroveň kybernetické bezpečnosti na veřejných vysokých školách. (Ono CRP v názvu označuje centralizovaný rozvojový program MŠMT určený právě pro veřejné vysoké školy.)
Je toho na práci mnoho. Vysokým školám vyplývají určité povinnosti ze zákona a vyhlášky o kybernetické bezpečnosti. Tím, že veřejné vysoké školy v některých svých oblastech vykonávají činnosti orgánů veřejné moci, lze část jejich agend podle zákona o kybernetické bezpečnosti zařadit do kategorie tzv. významných informačních systémů, jejichž narušení by významně ovlivnilo nebo omezilo činnost dané instituce. Splnit všechny povinnosti není úplně jednoduché! Jednak to vyžaduje vyznat se ve spleti předpisů a jednak to vyžaduje dobrou spolupráci právníků, informatiků, úředníků, uživatelů a vedení vysokých škol, zkrátka všech zapojených lidí.
Zásadním krokem je tak zvýšení situačního povědomí o stavu kyberbezpečnosti na dané vysoké škole a nastavení základních procesů identifikace a řízení kyberbezpečnostních incidentů. Důležitá je také pravidelná a důkladná osvěta uživatelů! Bodejť by ne, když většina mediálně známých kyberbezpečnostních průšvihů byla přímo či nepřímo způsobena nepozorností uživatele (a následně zesílena nepřipraveností instituce, že ano).
Samotná jedna vysoká škola by tímto trnitým procesem procházela jen s obtížemi. Proto se vysoké školy zapojené do projektu rozhodly, že si rozdělí práci a navzájem si pomohou v identifikaci svých významných informačních systémů, v nastavení procesů, v implementaci povinností vyplývajících z legislativy, v nastavení různých kyberbezpečnostních nástrojů a tak dále. Zkrátka spojí síly. V projektu pomohl i NÚKIB s CESNETem a zajišťují pravidelná školení a konzultace.
Jedním z hlavních výstupů projektu je pomoc s identifikací významných informačních systémů a ustanovení týmů, které se starají o kyberbezpečnost. Do takového týmu patří řada bezpečnostních rolí podle vyhlášky o kybernetické bezpečnosti:
- manažer kybernetické bezpečnosti, který se stará o systém řízení bezpečnosti informací (SŘBI, ISMS),
- výbor pro řízení kybernetické bezpečnosti, což je skupina lidí odpovědná za celkové řízení a rozvoj kybernetické bezpečnosti, dále například definuje strategické cíle a směrování rozvoje v oblasti kybernetické bezpečnosti atd.,
- garanti aktiv, což jsou lidé, kteří se starají o rozvoj, použití a bezpečnost “svého” aktiva (přičemž aktivum je – mými slovy – jakási jednotka, třeba informace nebo služba nebo nějaký technický či lidský prvek, který souvisí s informačním systémem),
- architekt kybernetické bezpečnosti, jenž zajišťuje návrh a implementaci bezpečnostních opatření,
- auditor kybernetické bezpečnosti, tedy člověk, který provádí audit kybernetické bezpečnosti, což je, jak sami uznáte, definice typově dost podobná definici škvíry ve stázi, ale naštěstí má vcelku podrobné vymezení ve vyhlášce.
Celý tým má za cíl jednak pracovat průběžně na kybernetické bezpečnosti jemu svěřených aktiv a jednak mít vypracované postupy, co dělat, když se objeví problém. Zní to byrokraticky nadneseně, ale je důležité vědět, co dělat, když objevíte ransomware v síti, cizího hackera v kapuci v serverovně, požár, povodeň nebo jinou pohromu. Nebo když někdo zakopne o kabel a vytrhne něco ze zdi. A také je fajn vědět, co dělat, aby tyto situace, pokud nastanou, neohrožovaly chod systémů.
Jestli máte pocit, že jde o jednorázovou práci, pak jste na omylu. Po vstupním martyriu bude následovat nikdy nekončící maraton. Stejně jako by nám na univerzitě nestačila protipožární opatření z roku 1348, nebudou nadosmrti platit ani opatření týkající se kyberbezpečnosti. Nejde jen o to, mít funkční hasicí přístroj a jednou za čas ho nechat zkontrolovat nebo koupit nový. Jde o celý proces okolo toho: opakovaně analyzovat rizika, aktualizovat postupy a případně protipožárně zabezpečit i zbrusu novou budovu v kampusu. Je to takový nekonečný (O)PDCA cyklus. Podobné je to s kyberbezpečností.
Jestli máte pocit, že jde o jednoduchou záležitost, pak jste také na omylu. Všichni, kdo pracují v nějaké složitější instituci, ať už jde o školu, státní správu, nemocnici, továrnu nebo firmu, tak víte, že za desítky let invaze počítačů a informačních technologií se nastřádal určitý ne zcela pořádek. Probrat všechny systémy, ohodnotit je, zorganizovat pravidla bezpečnosti okolo každého z nich, dá obrovskou práci, byť samozřejmě žádná instituce nežije ve vakuu a postupně nějaké podobné aktivity prováděla průběžně i v minulých letech. Jenže teď se blíží lhůty pro zabezpečení významných informačních systémů, a to už je silný podnět k pořádnému úklidu.
Projekt CRP-KYBER21 se zároveň zabývá nastavením bezpečného kyberprostředí na školách. V průběhu pandemie například spousta škol takříkajíc přes noc přešla na nějaký systém distanční výuky, např. v prostředí Microsoft 365, bylo potřeba zařídit vzdálené přístupy zaměstnancům, nainstalovat nové programy a tak dále. V rámci projektu existuje tudíž skupina lidí, kteří zkoumají nástroje používané na vysokých školách a vzájemně si sdílejí poznatky k jejich správnému a bezpečnému nastavení.
V neposlední řadě existuje neustálá potřeba vzdělávat uživatele. Jak jsem psal už na začátku, uživatel byl, je a vždy bude vcelku slabým článkem kyberbezpečnosti. Některé studie uvádějí, že podvodnému e-mailu naletí až 70 % nepoučených uživatelů (zatímco u poučených uživatelů se jedná o jednotky procent, nikdy samozřejmě ne nulu). Vysoké školy proto navzájem sdílejí jednak výukové materiály pro zaměstnance i studenty, jednak i nástroje sloužící k ověřování znalostí. Součástí projektu je tedy i společná tvorba materiálů pro institucionální školení kyberbezpečnosti pro uživatele dle vzoru BOZP a PO, jak to vyžaduje § 9 vyhlášky o kybernetické bezpečnosti.
Máme rozhodně na čem stavět. Například Kyberkompas z dílny Masarykovy univerzity představuje velmi dobrý základ, další materiály volně dávají k dispozici téměř všechny univerzity. Západočeská univerzita kromě svých výukových materiálů postupně zpřístupňuje svůj vynikající systém na rozesílání cvičných podvodných e-mailů Phishingator. Ve spolupráci všech univerzit vznikají nové, volně dostupné výukové moduly a školení, která bude možno na kterékoli vysoké škole využít coby webovou aplikaci nebo třeba kurz v Moodle.
Samozřejmostí je neustálé sdílení různých kyberbezpečnostních zpráv, novinek, postupů nebo upozornění mezi všemi zapojenými školami, což také velmi pomáhá. Žádná škola nemá čas a prostor sledovat vše. V takovéto velké skupině dochází k pohodlnému sdílení informací, které jsou aktuální.
Celkově můžu říct, že jsem příjemně překvapený ochotou a nadšeným zapojením všech. Za tento rok, kdy projekt běží, se podařilo rozehrát opravdu hodně muziky a po těchto dobrých zkušenostech připravujeme další témata spolupráce pro nadcházející rok.
ČLÁNKY DO MAILU