Odborník na kyberbezpečnost Adam Paclt říká, že nejčastější motivací pro hackery je výkupné. „Pokud se bavíme o základních nebo středních školách, jde většinou o klasické vydírání formou ransomwaru, kdy útočník zašifruje data organizace a chce peníze,“ vysvětlil.
To potvrzuje i výzkum Univerzity Palackého v Olomouci. Podle něj téměř čtvrtina správců školních sítí potvrdila, že škola čelila útoku. „Školám u ransomwaru pak nezbývá než obnovit veškerá data ze záloh. V řadě případů však škola o svá data přišla, protože neměla jejich zálohy a nebyla schopna a ani nechtěla uhradit vysoké výkupné,“ říká analytik Kamil Kopecký.
Plzeňské školy napadli hackeři. Za vrácení dat chtěli milionové výkupné |
Průniky přes krádeže hesel jsou podle Kopeckého spíše raritní. Přesto školy reportují také pravidelné snahy o odhalení hesel pro vstup k Bakalářům (systém pro správu školní agendy, pozn. red.) a na vzdálenou plochu pomocí brute-force hádání hesel (náhodné hádání hesel systémem pokus-omyl, pozn. red.).
Situace je ale zcela odlišná, pokud jde vysoké školy. „Tam mohou být motivace úplně jiné. Krádeže dat a to včetně zahraniční špionáže, získání peněz například ze stipendijních programů nebo vytvoření fiktivních studentů a potvrzení o studiu v informačních systémech školy,“ vyjmenovává možné druhy motivací Paclt.
Čínské tajné služby lanaří naše policisty ke spolupráci, varuje BIS |
Představivosti se podle něj meze nekladou. „Problémem jsou samozřejmě ale také soukromá data studentů nebo jejich studijních výsledky. Žijeme v 21. století. Bohužel s tím jde ruku v ruce i bezpečnostní riziko,“ varoval odborník.
Hodně systémů škol již neběží na přímo v jejich budovách, ale jsou poskytovány jako služba třetí stranou. To znamená, že je třeba znát uživatelské jméno a heslo. Cílem útoku může být jeho získání.
Svlékací aplikace zostuzuje Češky, policie už vyšetřuje první případy zneužití |
Paclt iDNES.cz objasnil, jak takový útok vypadá. „Může probíhat zvenku, kdy se útočníci pokusí zneužít zranitelnosti aplikací, VPN nebo serverů na perimetru - to je vše, co je vidět na internetu. Pokud se dostane za vnější perimetr, čeká ho ještě hodně práce, ale většinou je otázka času, než se útočníkovi něco podaří,“ řekl.
Druhou možností je vnitřní útok. „Buď zaměstnanec s potřebným softwarovým vybavením a znalostmi, nebo samozřejmě chytrý student s přístupem na wi-fi síť ve škole. Vnitřním útokům dnes odolá málokterá korporace, natož pak podfinancovaná vysoká škola,“ myslí si odborník na kyberbezpečnost.
Brzda státní digitalizace? Úředníci, kteří neví, proč ji potřebují, zjistil průzkum |
Může tak docházet k různým nepříjemnostem. Od zašifrovaných dat, přes to, že škola bez jejího vědomí bude vydávat potvrzení o studiu lidem, kteří na ni nikdy nestudovali, až po ukradené technické nápady, které na školách vznikají.
Útoky na školy zjednodušuje důvěřivost učitelů i studentů. „Mnohdy si ani samotní zaměstnanci školy nemyslí, že data, která jsou na školních systémech uložena, jsou důležitá. Myslím, že studenti nad tím opravdu nepřemýšlí,“ domnívá se expert.
„Data, která jsou pro ně důležitá, mají ve svých telefonech a o to, že se jejich školní data nedostanou ven, se samozřejmě má postarat škola. Myslím si, že tady by měl v první řadě zasáhnout stát a pokusit se definovat, jaký by měl být požadovaný standard kybernetického zabezpečení na školách,“ pokračoval.
Kybernetičtí útočníci nejvíce vydělávají na vydírání |
Jak se bránit
|
Školy se mohou bránit. „Je třeba naučit učitele zamykat své pracovní stanice, zvýšit komplexitu hesel na wi-fi sítích a segmentovat sítě, nakoupit rozumný firewall, naučit učitele využívat dvoufaktorové ověření nebo požadovat po dodavatelích softwaru reporty z provedených penetračních testů dodávaných aplikací, nestojí to téměř nic,“ míní Paclt.
Jiná otázka se týká velkých vysokých škol. Tam je situace o dost horší, protože komplexita jejich sítí si nezadá s komplexitou sítí velkých firem. „Všechno je o lidech. Když IT administrátor chce, může udělat opravdu hodně. Ale pro skutečné zajištění bezpečnosti potřebujete koupit správné softwarové vybavení a případně mít možnost si pro konzultace najmout externí firmu, aby provedla audit a přesně definovala rizika,“ vysvětlil odborník.
Kyberzločin na vzestupu. Nová policejní centrála už obvinila devatenáct lidí |
To bohužel většina organizací, včetně škol, podle Paclta stále podceňuje. „IT správci se zároveň bojí, že firmy při auditu objeví problémy a vedení jim to bude klást za vinu. Což je absolutně špatný přístup,“ říká.
Příklad napadení Univerzity Obrany mluví podle něj za vše. „Vsadím se, že bychom tam našli IT odborníky, kteří dělají co mohou, ale co nemohou, je koupit si produkty a vybavení, které je potřebné k zabezpečení takto velké školy,“ zdůraznil.
Univerzita obrany odmítla zaplatit. Hackeři vyhrožují zveřejněním dalších dat |
Plošně vidíme, že se za podobné útoky svádí vina na IT personál. „Realita je taková, že v našem odvětví neexistuje univerzální ‚IŤák‘. Stejně jako v medicíně i v IT máme specializace. Opravdu schopní bezpečnostní experti pracují v korporátním prostředí nebo mají své firmy,“ říká Paclt.
„Myslet si, že lokální IT tým je schopný pojmout v hlavě celou problematiku oboru a k tomu kybernetické bezpečnosti, to není správné,“ doplnil odborník.
Výkupné, nebo průmyslová špionáž? Kdo spáchal kyberútok na české zbrojaře |
Bezpečnost ve virtuálním prostoru škol je velmi důležitá i podle policistů. Pavel Schweiner z olomouckého oddělení kybernetické kriminality upozorňuje na nebezpečí. „Bude-li škola používat například zastaralý software, lze se do školní sítě velmi lehce nabourat a nasekat pěkné a nenávratné škody,“ řekl.
V dnešní době učitelé využívají technologie k zadání úkolů, klasifikaci a další komunikaci se žáky. „Připojují se často jednoduchým heslem. Zajištění a řádné zabezpečení školní sítě a informačních technologií využívaných ve výuce je základ. Pak se učitel snáze vyhne nepříjemným situacím, třeba že žáci spustí ze svého mobilního telefonu dataprojektor,“ přiblížil policista.
Schweiner upozornil i na další případy, kdy sami žáci jednoduše překonají ochranu školní sítě. „Dokážou z e-mailu pedagoga rozeslat hanlivé zprávy celému učitelskému sboru nebo si upraví známky v jednotlivých předmětech. Žel kyberbezpečnost na školách je vysoce spjatá s finanční stránkou a náročností udržet vše aktualizováno,“ pravil.
Evropa nemá experty na kyberbezpečnost, hledá je na soutěžích pro hackery |
Problém je celosvětový. Podle průzkumu agentury Sophos v roce 2022 uvedly zhruba čtyři z pěti dotázaných organizací z oblasti vysokého školství, že byly napadeny ransomwarem. Ještě o trochu vyšší míru hlásily organizace z nižšího školství.
Výzkumníci dále uvádějí, že tento sektor v roce 2022 zároveň vykázal i jeden z nejvyšších podílů zaplacení výkupného – to zaplatila více než polovina vysokoškolských organizací a téměř polovina vzdělávacích organizací nižších stupňů. To zásadně navýšilo náklady na obnovu, obnovení dat ani po zaplacení nebylo jen tak.
Technický ředitel firmy Sophos Chester Wisniewski říká, že pro školy jsou peníze velký problém. „Většina škol sice nemá mnoho finančních prostředků, ale jedná se o velmi exponované cíle s okamžitým a širokým dopadem útoku na jejich komunity,“ dodal.
Hackeři zaútočili na zbrojaře z Omnipolu. Dostali se k datům citlivým pro stát? |
Wisniewski upřesňuje, že tlak na udržení školy v provozu a reakce v podobě výzev rodičů „něco s tím udělejte“ pravděpodobně ještě zvyšují tlak na co nejrychlejší vyřešení problému, bez ohledu na náklady. „Zjištěné údaje ale bohužel nepotvrzují, že by zaplacení výkupného vedlo k rychlejšímu vyřešení těchto útoků. Je ale pravděpodobné, že si zločinci právě proto vybírají školy za své oběti,“ míní.
V případě vysokoškolských organizací zvládlo 79 % těch, které použily zálohy, obnovu do jednoho měsíce, zatímco během stejného časového období zajistilo obnovu pouze 63 % těch, které výkupné zaplatily.
V případě organizací nižšího stupně vzdělání se 63 % těch, které použily zálohy, zotavilo do jednoho měsíce, zatímco u těch, které zaplatily výkupné, to bylo jen 59 %.