Chrániť školy je kyberbezpečnostná nočná mora: pracujú s encyklopedickým množstvom citlivých údajov, výrazne sa spoliehajú na dodávateľov softvéru tretích strán a čelia vonkajším hrozbám, ako sú finančne motivované ransomvérové gangy.
Nevyhýbajú sa im ani vnútorné hrozby, či už sú to mladí hackeri, ktorí skúšajú kompromitovať vlastných spolužiakov alebo učitelia, ktorí si riziká kybernetickej bezpečnosti neuvedomujú, respektíve nepripúšťajú.
Riešiť tieto problémy je ťažké. No pre školy to nie je ospravedlnenie. Jediný únik dát, ktorý odhalí citlivé záznamy, môže dieťa poznačiť na celý život.
Školy ako strategické ciele
Začiatkom roka jeden únik dát znepokojivým spôsobom ukázal, aké zraniteľné môžu byť vzdelávacie inštitúcie. Pri incidente Chicago Public Schools (CPS) boli ukradnuté a na dark webe zverejnené informácie o viac ako 700 000 súčasných aj bývalých študentoch – vrátane mien, dátumov narodenia, študentských identifikátorov a identifikačných čísel Medicaid. Hoci samotné Medicaid ID sa nedá použiť na krádež identity, tieto údaje môžu slúžiť ako základ pre ďalšie sociálne inžinierstvo – napríklad na oklamanie obetí, aby prezradili ešte citlivejšie informácie.
Útoky na vzdelávacie inštitúcie sa nevyhýbajú ani Slovensku. Najznámejší je prípad z roku 2023, keď sa terčom ransomvéru stala Univerzita Mateja Bela v Banskej Bystrici. Útočníci získali neoprávnený prístup do infraštruktúry univerzity a odcudzili približne 420-tisíc súborov, vrátane osobných údajov. Útok bol spájaný s ransomvérom Medusa, ktorý je známy aj stratégiou „double extortion“ – teda kombináciou krádeže dát a následného šifrovania systémov.
Z iného súdka sú bombové hrozby, ktoré na Slovensku opakovane paralyzovali vyučovanie. Najväčšia vlna prišla v máji 2024, keď polícia evidovala takmer tisícku výhražných správ adresovaných konkrétnym školám naprieč všetkými krajmi. Výrazný návrat prišiel aj na začiatku školského roka 2024.
Uvedené príklady ukazujú, že školy sa stali strategickým cieľom rôznych typov hrozieb – od únikov a vydieračských útokov až po masové výhražné kampane, ktoré dokážu narušiť výučbu aj bez technického prelomenia systémov.
A prečo sú školy lákavým terčom pre ransomvérové gangy? Spravujú údaje, ktoré sú hodnotnejšie než to, čo sa nachádza vo väčšine firemných databáz.
Citlivejšie než akékoľvek HR oddelenie
Každý, kto si myslí, že školy ukladajú iba mená a známky, situáciu výrazne podceňuje. Objem a citlivosť informácií, s ktorými vzdelávacie inštitúcie denne pracujú, je obrovská. V závislosti od krajiny či regiónu si zápis často vyžaduje oveľa viac než základné osobné údaje:
- zdravotné informácie, ako alergie, lieky alebo stav očkovania
- údaje o zdravotnom alebo sociálnom poistení
- v USA dokonca čísla sociálneho zabezpečenia rodičov
- informácie o zverení do starostlivosti
- núdzové kontakty
- psychologické posudky alebo hodnotenia podpory
- informácie o darcoch
To znamená, že školy ukladajú osobné údaje maloletých a mladých dospelých, ale aj veľmi súkromné informácie o ich rodičoch – nehovoriac o transakčných údajoch darcov. Spolu tieto datasety tvoria zlatú baňu pre krádež identity, podvody alebo cielené vydieranie.
Ako vážne môžu byť dôsledky, ukázal v roku 2018 americký prípad „Blackboard“. Osemnásťročný absolvent strednej školy Dill Demirkapi odhalil zraniteľnosti, ktoré umožnili prístup k viac ako piatim miliónom záznamov – vrátane hesiel, očkovacích záznamov, fotografií, rozvrhov, správ o správaní a zostatkov na účtoch školskej jedálne. Incident vznikol v dôsledku slabín v systéme správy školy od tretej strany. Ak by boli zraniteľnosti zneužité, mohlo byť ohrozených vyše 5 000 škôl.
Outsourcing ako riziko
Len máloktoré školy si budujú vlastnú IT infraštruktúru. Namiesto toho sa spoliehajú na kúpené cloudové služby, siete so študentskými informáciami, vzdelávacie platformy alebo digitálne žiacke knižky. Z prevádzkového hľadiska to dáva zmysel, no zároveň to prináša významné riziká.
Mnohé školy nevedia, kde sa ich dáta fyzicky ukladajú, a nemajú odborné kapacity na posúdenie bezpečnostných štandardov poskytovateľa. Podpisujú zmluvy bez požiadaviek na testovanie či garancií aktualizácií a majú minimálnu transparentnosť v tom, kto sa k akým údajom dostane. Jediná zraniteľnosť v systéme tretej strany môže stačiť na kompromitáciu tisíciek citlivých študentských záznamov.
Slabo oddelené siete a množstvo skrytých rizík
Mnohé školy predpokladajú, že ich siete sú správne segmentované – jedna pre študentov, druhá pre administratívu. Realita je však často oveľa nebezpečnejšia. Študentská Wi-Fi a administratívne systémy sú neraz oddelené len „na papieri“, zatiaľ čo interaktívne tabule a IoT zariadenia bežia na tej istej sieti ako učiteľské notebooky. Vzdialený prístup cez Remote Desktop býva často verejne dostupný a slabé alebo opakovane používané heslá sú bežné – v prípade Blackboard Demirkapi našiel heslo do databázy, ktoré bolo „horšie než ‘1234’“.
Ďalším bolestivým miestom sú učitelia pracujúci z domu bez VPN alebo viacfaktorovej autentifikácie, čo necháva školy nebezpečne otvorené kyberútokom.
Čo by mali školy urobiť hneď teraz
Dobrá správa je, že mnoho slabín sa dá odstrániť s rozumným úsilím.
- Prísna segmentácia siete
Študentské a administratívne siete musia byť technicky oddelené pomocou firewallov, VLAN a monitorovania. Nesmie existovať žiadna tichá sivá zóna medzi nimi. - Dôsledná správa zariadení
Patch manažment a ochrana koncových bodov sú nevyhnutné pre smart tabule, digitálne whiteboardy, tablety – nehovoriac o tlačiarňach či systémoch vstupných tokenov. Každé pripojené zariadenie je potenciálny vstupný bod. - Zabezpečiť alebo vypnúť RDP prístup
Remote Desktop Protocol (RDP) je jedným z najčastejších vstupných bodov pre ransomvérové útoky. Ak sa RDP nedá vyhnúť, má byť dostupné iba cez VPN a vždy chránené viacfaktorovou autentifikáciou (MFA). - Stanoviť jasné bezpečnostné požiadavky pre dodávateľov
Školy by mali vyžadovať pravidelné bezpečnostné aktualizácie, penetračné testovanie, šifrovanie a certifikáciu ISO 27001. - Zvážiť prístup zero trust
Zero trust vychádza z princípu „nikdy never, vždy overuj“ a každého používateľa vníma ako potenciálnu hrozbu. V školskom ekosystéme môže byť ťažké presadiť všetky pravidlá zero trust, no niektoré sú aplikovateľné: vynucovať silné heslá, prideľovať používateľom minimum oprávnení a mikrosegmentovať siete, aby sa obmedzil laterálny pohyb útočníka. - Zvýšiť kybernetické povedomie medzi učiteľmi
Kyberhygiena začína pri ľuďoch, preto by učitelia mali vedieť rozpoznať phishing, vytvárať silné heslá, nahlasovať incidenty a bezpečne používať zariadenia. Kyberbezpečnosť je tímová práca, nie iba úloha IT oddelenia.
Chráňme naše deti tým, že ochránime ich dáta
Deti sa nedokážu brániť voči krádeži digitálnej identity. Nevšimnú si, keď im ukradnú údaje, a nemôžeme od nich očakávať, že budú vedieť posúdiť, ktoré aplikácie alebo platformy sú bezpečné. Táto zodpovednosť leží na pleciach školských administrátorov, tvorcov politík, učiteľov a IT profesionálov.
Chrániť dáta našich detí znamená chrániť ich budúcnosť.
