Prinášame vám pokračovanie článku o najväčších rizikách v oblasti kyberbezpečnosti pre školy, vrátane tých na Slovensku. Prvú časť článku nájdete na tomto odkaze.
6. Nedostatočné zabezpečenie osobných údajov
Školy spracúvajú veľké množstvo citlivých údajov o študentoch, rodičoch a zamestnancoch, ktoré zahŕňajú rodné čísla, kontaktné údaje, zdravotné záznamy či informácie o študijných výsledkoch. Tieto údaje sú nielen základom efektívneho fungovania školy, ale aj predmetom prísnej ochrany podľa legislatívy. Nesprávne zaobchádzanie s údajmi alebo ich únik môže viesť k vážnym dôsledkom, vrátane porušenia práva na súkromie, finančných strát alebo poškodenia dobrého mena školy.
Prečo sú citlivé údaje v školách ohrozené?
Školy čoraz viac prechádzajú na digitálne systémy na evidenciu údajov, dochádzku, elektronickú komunikáciu a správu učebných plánov. Tieto systémy však môžu byť zraniteľné voči kybernetickým útokom, ako sú phishing, malware alebo ransomware. Rovnako hrozí nebezpečenstvo nesprávneho zaobchádzania s údajmi zo strany zamestnancov alebo študentov, ktorí nemajú dostatočné znalosti o kybernetickej bezpečnosti.
Najčastejšie riziká zahŕňajú:
- Nesprávne nastavené prístupové práva, ktoré umožňujú neoprávneným osobám prístup k údajom.
- Absenciu šifrovania, čo znamená, že údaje môžu byť ľahko odpočúvané alebo ukradnuté.
- Nedostatočné zabezpečenie fyzických a digitálnych archívov, kde sa uchovávajú záznamy o študentoch.
Ako chrániť citlivé údaje v školách?
Na minimalizáciu rizík a zabezpečenie ochrany údajov je nevyhnutné prijať konkrétne opatrenia:
1. Definovanie prístupových práv:
Je potrebné zaviesť systém, ktorý zabezpečí, že citlivé údaje budú prístupné iba oprávneným osobám. Napríklad administratívni pracovníci by mali mať prístup len k údajom, ktoré potrebujú na výkon svojej práce, a učitelia by nemali mať prístup k zdravotným informáciám študentov.
2. Používanie šifrovania:
Všetky digitálne dáta by mali byť šifrované, aby v prípade kybernetického útoku alebo odcudzenia zariadenia neboli údaje čitateľné. Šifrovanie by sa malo používať pri prenose údajov aj pri ich ukladaní.
3. Bezpečné uchovávanie dokumentov:
Digitálne systémy na správu údajov by mali byť chránené heslami, viacfaktorovou autentifikáciou a pravidelnými aktualizáciami softvéru. Fyzické dokumenty by mali byť uložené v uzamykateľných priestoroch, ku ktorým majú prístup len poverené osoby.
7. Slabá ochrana pred phishingom
Phishingové útoky patria medzi najbežnejšie a najnebezpečnejšie formy kybernetických hrozieb, s ktorými sa školy stretávajú. Útočníci sa zameriavajú na zamestnancov, študentov a administratívu, pričom ich cieľom je získať citlivé informácie, ako sú prihlasovacie údaje, finančné údaje alebo iné dôverné informácie. Tieto údaje môžu byť následne zneužité na prístup do školských systémov, krádež osobných údajov alebo šírenie ďalších útokov.
Ako phishing funguje?
Phishing je forma podvodu, pri ktorej útočníci zasielajú e-maily, správy alebo odkazy, ktoré sa tvária ako dôveryhodné. Napríklad môže ísť o falošnú správu od „IT oddelenia školy“, ktorá žiada zamestnanca alebo študenta o prihlásenie na zmenenú stránku alebo o poskytnutie hesla. Kliknutie na podozrivý odkaz alebo odhalenie citlivých údajov otvára útočníkom dvere do školských systémov.
Útočníci môžu následne:
- Získať prístup k interným dokumentom a záznamom.
- Spustiť ransomware útoky na šifrovanie údajov.
- Rozposielať ďalšie phishingové správy z kompromitovaných účtov, čím sa zvyšuje dôveryhodnosť útoku.
Prečo sú školy zraniteľné?
Školské prostredie je špecifické tým, že zahŕňa rôzne skupiny používateľov s rôznou úrovňou povedomia o kybernetickej bezpečnosti. Učitelia a zamestnanci často nie sú dostatočne vyškolení na rozpoznávanie podvodných e-mailov, zatiaľ čo študenti môžu byť menej opatrní pri práci s technológiami. Zároveň školy často nemajú zavedené robustné systémy na detekciu phishingových útokov, čo zvyšuje ich zraniteľnosť.
8. Nedostatočné zálohovanie údajov
Zálohovanie dát patrí medzi základné nástroje na ochranu pred stratou údajov, no mnohé školy mu nevenujú dostatočnú pozornosť. Chýbajúce alebo zle spravované zálohy môžu viesť k vážnym dôsledkom, najmä pri kybernetickom útoku, výpadku technológií alebo technickom zlyhaní. Bez spoľahlivého zálohovania sa školy vystavujú riziku nenávratnej straty dôležitých údajov o študentoch, zamestnancoch, či dokonca kritických administratívnych informácií.
Riziká spojené s chýbajúcimi alebo nesprávne spravovanými zálohami
1. Strata údajov pri kybernetickom útoku:
Ransomvérové útoky, pri ktorých útočníci zašifrujú údaje a požadujú výkupné, sú čoraz častejšie. Bez záloh zostáva jedinou možnosťou zaplatenie výkupného, čo je finančne aj eticky problematické.
2. Výpadky alebo technické zlyhania:
Hardvérové chyby, poškodenie diskov alebo výpadky elektriny môžu spôsobiť stratu dôležitých dát, ak neexistujú zálohy na externých alebo cloudových úložiskách.
3. Chyby používateľov:
Neopatrná manipulácia s údajmi, ako je omylom vymazanie súborov, môže byť rovnako škodlivá ako kybernetický útok. Zálohy sú v takýchto prípadoch jedinou záchranou.
Ako efektívne zabezpečiť zálohovanie?
1. Pravidelné automatizované zálohovanie:
Automatizácia zabezpečuje, že sa zálohovanie vykonáva pravidelne bez potreby manuálneho zásahu. Zálohy by sa mali vytvárať denne alebo aspoň raz týždenne, v závislosti od množstva spracúvaných dát.
2. Externé a zabezpečené úložiská:
Zálohy je potrebné ukladať na fyzicky oddelené miesta alebo do zabezpečeného cloudu. To chráni dáta pred stratou pri fyzickom poškodení zariadení alebo útoku na primárny systém.
3. Viacnásobné zálohovanie:
Použitie princípu „3-2-1“: tri kópie údajov (vrátane originálu), uložené na dvoch rôznych typoch médií (napr. externé disky a cloud), pričom jedna záloha by mala byť umiestnená mimo lokality školy.
9. Prístupové práva bez kontroly
Jednou z najviac prehliadaných, no závažných hrozieb kybernetickej bezpečnosti v školách je nedostatočná kontrola prístupových práv. Často sa stáva, že bývalí zamestnanci alebo študenti majú stále aktívne prístupy do školských systémov, aj keď už s nimi nie sú nijako spojené. Takéto neaktuálne a neautorizované prístupy predstavujú vážne riziko zneužitia a môžu viesť k narušeniu dôvernosti, integrity či dostupnosti citlivých údajov.
Riziká spojené s nekontrolovanými prístupovými právami
1. Neoprávnený prístup k údajom:
Bývalí zamestnanci alebo študenti s aktívnymi prístupmi môžu získať informácie o študentoch, zamestnancoch alebo interných procesoch školy, čo môže narušiť súkromie alebo dôvernosť údajov.
2. Možnosť sabotáže:
Neaktuálne prístupy môžu byť zneužité na úpravu alebo vymazanie citlivých údajov, čím by mohli narušiť chod školy alebo poškodiť jej povesť.
3. Riziko kybernetických útokov:
Útočníci môžu využiť tieto opustené účty na prienik do školských systémov, napríklad prostredníctvom slabých hesiel alebo phishingových útokov.
Ako zabezpečiť správu prístupových práv?
1. Pravidelná revízia prístupov:
Školy by mali zaviesť proces pravidelného hodnotenia prístupových práv, minimálne raz za štvrťrok. Táto revízia by mala zahrňovať identifikáciu neaktuálnych účtov a overenie, či majú aktívni používatelia prístup iba k tým systémom, ktoré sú pre ich prácu nevyhnutné.
2. Okamžité zrušenie prístupov po odchode:
Pri odchode zamestnanca alebo študenta je kľúčové okamžite deaktivovať všetky ich účty a prístupy do školských systémov. Tento krok by mal byť štandardnou súčasťou procesu ukončenia pracovného alebo študijného vzťahu.
3. Centralizovaná správa prístupov:
Použitie nástrojov na správu identity a prístupu (IAM) umožňuje školám mať lepší prehľad o všetkých účtoch a právach v školských systémoch. Centralizované systémy tiež umožňujú jednoduchšiu kontrolu a úpravu prístupov.
10. Chýbajúce bezpečnostné politiky
V mnohých školách absentujú jasne definované pravidlá a smernice na zaistenie kybernetickej bezpečnosti. Táto absencia bezpečnostných politík vedie k zmätku medzi zamestnancami a študentmi, ktorí často nevedia, ako bezpečne používať školské zariadenia, siete a aplikácie. Bez konkrétnych pravidiel sú používatelia náchylnejší na chyby, ktoré môžu otvoriť dvere kybernetickým útokom a narušeniu bezpečnosti citlivých údajov.
Dôsledky chýbajúcich bezpečnostných politík
1. Nejasné zodpovednosti:
Bez smerníc zamestnanci a študenti nemajú jasne stanovené povinnosti a kompetencie pri práci s digitálnymi technológiami. To vedie k rizikovému správaniu, ako je používanie nezabezpečených aplikácií alebo ignorovanie varovných signálov pri phishingových útokoch.
2. Nekonzistentné postupy:
Bez jednotných pravidiel môže každý zamestnanec alebo študent pristupovať k technológiám odlišne, čo zvyšuje pravdepodobnosť ľudských chýb a zraniteľností.
3. Vyššia zraniteľnosť voči útokom:
Ak chýbajú pravidlá na používanie sietí, zariadení a aplikácií, útočníci majú jednoduchší prístup k systémom školy prostredníctvom slabých miest, ako sú zle spravované prístupové práva, slabé heslá alebo nezabezpečené zariadenia.
Ako zaviesť účinné bezpečnostné politiky?
1. Identifikácia rizík:
Školy by mali začať analýzou svojich súčasných systémov, aby identifikovali hlavné rizikové oblasti. Tento krok pomôže určiť, ktoré aspekty bezpečnostných politík sú najdôležitejšie.
2. Vytvorenie jasných smerníc:
Bezpečnostné politiky by mali pokrývať nasledujúce oblasti:
- Používanie školských zariadení: Kto, kedy a na aké účely môže používať počítače, tablety a ďalšie zariadenia.
- Prístup k sieti: Pravidlá na pripojenie k školským Wi-Fi sieťam, vrátane používania hesiel a obmedzenia prístupu pre externé zariadenia.
- Správa hesiel: Požiadavky na vytváranie silných hesiel, ich pravidelnú zmenu a zákaz zdieľania.
- Inštalácia a používanie aplikácií: Povolené a zakázané aplikácie, proces schvaľovania nových softvérov a pravidlá aktualizácie.
- Ochrana osobných údajov: Pokyny na spracovanie a uchovávanie citlivých údajov v súlade s GDPR.
3. Vzdelávanie zamestnancov a študentov:
Po zavedení politík je dôležité, aby všetci používatelia boli s nimi oboznámení. Pravidelné školenia a informačné kampane zabezpečia, že zamestnanci aj študenti pochopia význam týchto pravidiel a naučia sa ich aplikovať v praxi.
Kybernetická bezpečnosť by mala byť v školskom prostredí jednou z hlavných priorít, pretože školy spracúvajú citlivé údaje a sú vystavené rôznym hrozbám. Väčšina rizík vyplýva z nedostatku informovanosti, zastaraných technológií a absencie pravidiel. Zavedenie jasných postupov, pravidelných školení a moderných bezpečnostných riešení môže výrazne znížiť zraniteľnosť školských systémov. Investícia do kybernetickej bezpečnosti nie je len ochranou pred útokmi, ale aj zárukou bezpečného a efektívneho vzdelávacieho prostredia.