S jakými hrozbami se univerzita může potýkat? Odpověď zná manažer kybernetické bezpečnosti

Ze všeho nejdříve je potřeba vysvětlit rozdíl mezi informační a kybernetickou bezpečností. Informační bezpečností myslíme ochranu všech informací, ať už v elektronické nebo fyzické podobě, a to během celého jejich životního cyklu. Kybernetická bezpečnost je tedy jen jakousi podmnožinou a řeší pouze digitální prostředí. Jak velký je to aktuálně problém, dokládají statistiky, které pravidelně publikuje Národní úřad pro kybernetickou a informační bezpečnost, kde můžeme v posledních letech vidět výrazný nárůst kybernetických incidentů. „Kyber“ bezpečnost se dostala do povědomí společnosti hlavně po útocích na nemocnice, které byly v důsledku ransomware vyřazeny z provozu, až po nedávný incident u Ředitelství silnic a dálnic ČR. Nutno podotknout, že tyto incidenty se staly hlavně v důsledku chyb uživatelů.

Jaké jsou pro ČZU aktuálně největší hrozby?

Univerzita se v tomto ohledu a z našeho pohledu moc neliší od jiných státních či soukromých organizací. Útočníci hledají slabá místa a snaží se co nejjednodušší cestou proniknout do zařízení univerzity a získat tak přístup k datům a informacím, včetně výsledků výzkumu. Útoky lze obecně členit na dvě skupiny – část směruje na limity či zranitelnosti technického vybavení a část cílí na uživatele. Obvyklé jsou pokusy využít známých zranitelností SW, nepříjemné jsou útoky typu DOS či DDOS, kdy se útočníci snaží zahltit informační systémy pomocí velkého množství požadavků a zamezit tak jejich dostupnosti.

Největší hrozbou však jsou útoky zaměřené na konkrétní uživatele s využitím praktik sociálního inženýrství, které zneužívají nepozornosti, zvědavosti či důvěry uživatele. Typickým příkladem jsou phishingové emaily či podvodné weby, které navádějí uživatele k chybě, např. zadání přihlašovacích údajů, poskytnutí informací či instalaci škodlivého software. Dříve se často uvádělo, že tyto útoky lze snadno rozpoznat na základě špatné češtiny. Toto však již dnes dávno neplatí.

Jak se lze proti těmto typům hrozeb bránit?

Řadu metod technické ochrany poskytuje zaměstnancům i studentům univerzita. Jedná se o všeobecně známá řešení, jako jsou antivirový SW, firewally, spamové filtry či specializované systémy určené k bezpečnostnímu monitoringu. Proti praktikám sociálního inženýrství je však nejlepší ochranou uživatele vzdělávat a školit. K tomu využíváme jak pravidelná školení zaměstnanců, tak nejrůznější osvětové kampaně.

Poskytuje Odbor bezpečnosti kurzy či školení pro jiná oddělení, zaměstnance či studenty České zemědělské univerzity?

V pravidelných intervalech školíme vedoucí zaměstnance, ti pak dále proškolují své podřízené. Také máme k dispozici online školení přes platformu Directis. Nicméně, pokud se na nás někdo obrátí s prosbou o proškolení zaměstnanců ve svém oddělení, snažíme se vyjít vstříc. S takovým požadavek nedávno přišla například ředitelka Knihovny ČZU paní doktorka Landová, tak jsme pro její zaměstnance připravili na míru školení v oblasti informační a kybernetické bezpečnosti. Dříve jsme také využívali online webinář na téma phishingových útoků s organizací CESNET. Webinář je stále dostupný online a kdokoliv se zaměstnanců se na něj může podívat a proškolit se v technikách sociálního inženýrství.

Co se týká studentů, pro ty máme připraveno komplexní školení bezpečnosti v rámci seznamovacích kurzů a následně také v rámci výuky jako předmět „Úvod do studia“.

Mohou studenti a zaměstnanci nějak přispět k posílení bezpečnosti univerzity?

Dle statistik jsou nejslabším článkem chyby uživatelů a jejich nepozornost. Zaměstnanci tak mohou přispět k posílení bezpečnosti tím, že budou postupovat dle pokynů a doporučení zejména ze školení ICT či osvětových materiálů. Důležité je včas komunikovat v případě jakéhokoliv podezření na nezákonné postupy či jednání, protože ne všechny závažné incidenty jsou snadno odhalitelné automatickými nástroji, jimiž univerzita disponuje.

Spolupracuje ČZU na zajištění bezpečnosti s dalšími subjekty?

Naše univerzita je součástí projektu CRP-Kyber, který pod vedením Masarykovy univerzity již druhým rokem řeší problematiku kyberbezpečnosti společně se všemi veřejnými vysokými školami. Partnery tohoto konsorcia jsou NÚKIB a CESNET a metodicky na tyto aktivity dohlíží. Univerzita je také již druhým rokem povinným subjektem podle zákona o kybernetické bezpečnosti a z toho pro nás plynou určité povinnosti.  Základní podmínkou je být v pravidelném kontaktu s NÚKIB, plnit závazné pokyny a reaktivní opatření NÚKIB a hlásit incidenty, které mají závažný dopad na dostupnost, důvěrnost či integritu informací. Další povinnosti budou přibývat s příchodem nové evropské směrnice NIS2.

Nechceme vás zkoušet, ale mohl byste stručně popsat vámi zmiňovanou dostupnost, důvěrnost a integritu?

Je to taková základní bezpečnostní triáda, podle níž se bezpečnost dat a informací hodnotí, a tyto vlastnosti se primárně snažíme ochránit. Dostupnost nám říká, zda je daná informace k dispozici a jestli ji oprávněný uživatel může získat v případě potřeby. Důvěrnost značí, zda se k dané informaci dostanou pouze osoby, jimž byla určena. Integrita zaručuje, aby se informace k příjemci dostala nezměněna a byla zajištěna její správnost a úplnost. Z těchto atributů pak vychází i hodnocení pro analýzu rizik. Narušením některého z těchto základních atributů bezpečnosti vznikají bezpečnostní incidenty.

Kam mohou zaměstnanci takové incidenty hlásit?

Jedná-li se o podezřelý e-mail, např. již zmíněný phishing, existuje konkrétní e-mail spam@oikt.cz, kde se hlášení bude dále věnovat přiřazený pracovník a bude jej blokovat pro naše univerzitní prostředí. Závažnější incidenty, jako například krádeže IT vybavení, neoprávněná manipulace se zařízením, proniknutí jiné osoby do osobního účtu zaměstnance nebo například podezření na špatné nakládání s osobními údaji mohou zaměstnanci hlásit na sběrný e-mail bezpecnost@czu.cz. V blízké době také vznikne nový kanál pro hlášení incidentů přímo prostřednictvím aplikace Helpdesk, kterým se celý proces zjednoduší a zpřehlední.

Kdo na ČZU zajišťuje bezpečnost ICT?

Informační a kybernetická bezpečnost je zajišťována dle Systému řízení bezpečnosti informací (ISMS) a v souladu se zákonem o kybernetické bezpečnosti jako kombinace činností specializovaných bezpečnostních rolí a funkcí. Na univerzitě je jmenován Výbor pro řízení kybernetické bezpečnosti, který zahrnuje jak členy z vedení univerzity, tak specialisty podílející se na provozu IT a specialisty na oblast bezpečnosti. Dále jsou definovány a přiřazeny specializované role k již zmíněnému manažerovi kybernetické bezpečnosti, jako je např. auditor KB či bezpečnostní inspektor ICT, který se zaměřuje na vyhodnocování dat z bezpečnostních dozorových systému. Významnou roli zastávají také další pracovníci Odboru bezpečnosti a Odboru informačních a komunikačních technologií (OIKT), kteří zajišťují provoz a dozor nad ICT technologiemi univerzity.

Často se mluví také o nedostatku odborníků na kyberbezpečnost. Jak tento problém řešíte vy?

Občas je problém najít vhodné lidi pro doplnění týmu, a to lidi s určitými technickými znalostmi a zároveň sociálními dovednostmi. Firmy v soukromé sféře také mohou nabídnout podstatně zajímavější finanční ohodnocení, což bývá bohužel nejčastější motivační faktor v zaměstnání. Nicméně pro nás je nejjednodušší si zaměstnance určitým způsobem vychovat nebo najít vhodného člověka, který má vztah k naší univerzitě. V tento okamžik máme pro informační a kybernetickou bezpečnost vyhrazeny pouze dva plné úvazky, což je vzhledem k počtu uživatelů (zaměstnanci a studenti) a k výše uvedené hrozbě chybovosti uživatelů samozřejmě málo. Je však třeba vyzdvihnout spolupráci s kolegy z OIKT, kteří nám při detektivní činnosti a odhalování incidentů hodně pomáhají. Patří jim za to velké díky.

Rozhovor připravila: Tereza Jedlanová