Až do prvního útoku škola netuší, že nemá data zabezpečená

Až do prvního útoku škola netuší, že nemá data zabezpečená

Národní pedagogický institut České republiky

27. 5. 2021 – V rozhovoru s autory KIMcastů Pavlem Matějíčkem a Václavem Maněnou se dovídáme více o populární sérii podcastů na téma kybernetické bezpečnosti pro školy.
Proč jste zvolili téma bezpečnost? Proč by se školy vůbec měly bezpečnosti věnovat?

Pavel Matějíček: Protože bezpečnost v oblasti ICT je pro školy strašně důležitá, nebojím se říct i životně. Školy mají online nebo lokálně ve svých interních systémech velké množství dat – elektronickou třídnicí počínaje přes studijní materiály, výsledky testů, fotky z akcí až po objednávky jídel a kamerové systémy. Učitelé a ředitelé, kteří s nimi denně pracují, však o bezpečnosti zatím nemají moc hluboké povědomí a často si ani neuvědomují, proč by se jí vlastně měli zabývat. Nechci generalizovat a nemohu ani říci, že je to jejich chyba, zkrátka je zatím na tuto problematiku nikdo neupozornil.

S několika školami jsem řešil to, že záznamy z kamer nebyly nijak zabezpečené a kdokoliv, kdo je objevil, mohl sledovat přenosy z tělocvičny či vnitřních prostor. Jindy byly servery škol dostupné pro připojení volně z internetu a vystaveny slovním útokům, navíc operační systémy byly neaktualizované a obsahovaly množství zranitelností.

V případě úspěšného útoku – a byli jsme svědky několika, ke kterým došlo – mohou školy o tato data přijít. Dochází k vydírání, pokud nejsou dobře vyřešené zálohy, často nezbývá než zaplatit. Pokud uniknou osobní údaje žáků, musí se to hlásit úřadu pro ochranu osobních údajů a hrozí pokuta a spousta dalších nepříjemností. Bohužel toto si až do prvního incidentu často spousta lidí neuvědomuje.

K čemu může dojít při nedostatečném zabezpečení?

Pavel Matějíček: Předpokládám, že každý slyšel o hackerském útoku na nemocnici v Benešově. Stejně černý scénář může potkat každou instituci, která své IT nebude řešit komplexně. Podle průzkumů ze zahraničí se na sektor edukace zaměřují útočníci častěji a dá se očekávat, že po zdravotnictví, které se postupně začíná zabezpečovat, se přesunou ke školství.

Jak můžou KIMcasty pomoct ředitelům, ICT metodikům nebo běžným učitelům?

Václav Maněna: Naším původním záměrem bylo vymyslet rychlý informační kanál pro krajské ICT metodiky, zkráceně KIM, kteří působí ve všech krajích při krajských pracovištích NPI a bezplatně pomáhají školám v oblasti ICT. Od začátku myslíme na to, že odkazy na jednotlivé díly podcastu mohou přeposlat učitelům nebo ředitelům. Snažíme se proto udržet podcast v populární rovině, která je přijatelná i pro laiky. Dalším důvodem je také to, že i když nás poslouchají odborníci, často u toho dělají něco dalšího a jejich pozornost nemusí být zaměřená pouze na poslech podcastu. Podrobné informace si pak zájemci mohou přečíst v e-learningu.

Součástí každého podcastu jsou krátké aktuality. Díky nim se třeba ředitel školy může obrátit na svého správce ICT a zeptat se ho, jestli má vyřešený problém, o kterém slyšel v podcastu.

Jaká témata už v KIMcastech zazněla? Kde najdou posluchači více informací?

Pavel Matějíček: Právě jsme v druhé desítce KIMcastů. Zabývali jsme se již mnoha tématy, od úniků dat přes problematiku hesel – od toho, jak tvořit bezpečná hesla, až po vícefaktorové ověřování. Řekli jsme si hodně o správcích hesel, probrali jsme alternativní webové prohlížeče, které ctí uživatelské soukromí, upozorňovali jsme na nebezpečí doplňků pro prohlížeče a v neposlední řadě jsme se věnovali problematice bezpečnosti dětí v kyberprostoru a souvisejícími tématy, jako je sexting, revenge porn a podobně.

Jak vlastně vznikla myšlenka podcastů?

Václav Maněna: Úplně na začátku byla poznámka naší kolegyně, která nám při jednom online setkání říkala, že si při dozoru na obědech pouští do sluchátek podcasty a poslouchá rozhovory na YouTube. Pro mě byly podcasty úplně neznámý svět. Vůbec jsem nevěděl, že je někdo poslouchá při práci nebo cestou do práce. Udělali jsme proto rychlý průzkum, ze kterého jasně vyplynulo, že většina oslovených kolegů poslouchá podcasty místo rádia v autě a také při činnostech typu uklízení a vaření.

V té době jsme zároveň řešili, jak co nejefektivněji dostávat ke krajským ICT metodikům SYPO informace z oblasti kybernetické bezpečnosti. To vše tak, abychom je u toho nezatěžovali a nenutili je studovat třeba nějaké newslettery na počítači nebo mobilu. V současné situaci jsou to hodně vytížení lidé a každé ulehčení má velký význam. Důležité v rozhodování bylo také to, že vyrobit jeden díl podcastu je daleko jednodušší a rychlejší než třeba video, takže můžeme vysílat jeden díl týdně. Rychlost, pohotovost a pravidelnost jsou v této oblasti klíčové.

Jak vznikl název KIMcasty?

Václav Maněna: Krajské ICT metodiky, pro které byl podcast primárně určen, zkráceně označujeme jako KIMy. Běžně jim tak v projektu říkáme a oni jsou na takové označení zvyklí. Chtěli jsme zdůraznit, že je to něco určené hlavně pro ně, s čím se mohou lépe ztotožnit a nebudou mít zábrany nám navrhovat další témata a vylepšení. Navíc jsme potřebovali vymyslet název, který bude originální a snadno vyhledatelný na různých podcastových platformách.

Co obnáší příprava jednoho KIMcastu? Kde hledáte témata?

Pavel Matějíček: Podcast se skládá z hlavního tématu a aktualit. Součástí každé epizody je také informační servis, tedy plno podrobnějších informací, doplňujících textů a odkazů, které posluchači najdou na webu projektu SYPO.

Přípravy každého dílu začínají hned po skončení toho předešlého, jakmile určíme hlavní téma. Společně pracujeme ve sdíleném dokumentu, kde se téma rozpracovává, a vzájemně si jej komentujeme.

Aktuality přidáváme průběžně. Buď podle toho, co aktuálně hýbe světem IT, případně se inspirujeme na webech TheHackerNews, root.cz, v aktualitách z NÚKIBu nebo na dalších tematických webech. Na(ne)štěstí je v IT bezpečnosti vždy co řešit, a tak o aktuality ani témata nemáme nouzi.

Prakticky nepřetržitě monitorujeme profesní skupiny na sociálních sítích, ve kterých se sdružují učitelé. Díky tomu přesně víme, jaké problémy učitelé aktuálně řeší, a dokážeme na ně reagovat. A samozřejmě si zapisujeme dotazy z praxe, které přicházejí neustále od učitelů a obyčejných uživatelů. Nejraději jsme, když si o témata napíšou sami posluchači. A samozřejmě přinášíme také tipy na užitečné aplikace, které sami používáme.

S jakými reakcemi posluchačů se setkáváte?

Václav Maněna: Zatím pouze s kladnými a doufáme, že to vydrží. Od posluchačů jsme dostali tipy na několik témat a například když jsme natáčeli díl o OrgPadu, byla skvělá komunikace i s vývojáři tohoto nástroje. Poskytli nám mnoho informací a věnovali nám spoustu svého času. Je skvělé, že kromě ICT metodiků SYPO nám své náměty a postřehy píšou úplně neznámí posluchači. Snažíme se být lidští a přiznávat chyby. Možná i proto máme zatím jen kladné reakce.

Na co se mohou posluchači těšit?

Pavel Matějíček: Do budoucna bychom rádi přizvali další hosty. Jaké? To si zatím necháme pro sebe, ale v jednání máme několik zajímavých odborníků na různá témata. Plánujeme také rozšiřovat Moodle, v němž máme podklady k podcastům, o další informace pro veřejnost a materiály, které by mohli využít metodici, učitelé i rodiče.


Viz také: Podcasty pomáhají učitelům při zajištění kyberbezpečnosti


Spoluautoři KIMcastu

Václav Maněna

Učitel ICT na lyceu v Březové, spoluautor knihy Moderně s Moodlem: jak využít e-learning ve svůj prospěch?, spoluautor YouTube kanálu Videovýuka, správce skupin Výuka informatiky a Moodle CZ & SK. Několik let připravoval budoucí učitele informatiky a školil ICT koordinátory na Univerzitě Hradec Králové a má mnohaleté zkušenosti se zaváděním vzdělávacích technologií ve školství.

Pavel Matějíček

Specialista na IT bezpečnost a hacking, provozuje web spajk.cz a pracuje jako manažer technické podpory ve společnosti ESET.