NIS2 a kybernetická bezpečnost ve školách – Jak být v klidu a připravení?

NIS2 – proč by školy měly vědět, o co jde? 

Požadavky na kybernetickou bezpečnost ve veřejném sektoru rostou a právě to se snaží EU brát v potaz. Směrnice NIS2 sjednocuje pravidla kybernetické bezpečnosti napříč EU a posiluje ochranu klíčových služeb a infrastruktur. Český zákon o kybernetické bezpečnosti, který tuto směrnici převede do českého právního rámce, se zaměří především na velké a klíčové instituce v oblastech jako energetika, zdravotnictví, doprava nebo velké digitální služby. Školy mezi tyto organizace nepatří, pokud neposkytují digitální služby jiným organizacím a nesplňují specifická velikostní kritéria. I když valná většina škol zákonu přímo nepodléhá, očekává se, že úroveň zabezpečení školních systémů bude postupně růst. Znalost základních principů NIS2 a ZoKB může školám pomoci nastavit správné postupy a zajistit jejich připravenost na budoucí změny.

Pokud si potřebujete ověřit, zda se působnost zákona vaší školy týká, doporučujeme k tomu využít kalkulačku připravenou Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).

Připravte školu na možné kybernetické hrozby 

Školy sice nemají zákonnou povinnost plnit požadavky NIS2 a ZoKB, ale i tak by měly kybernetickou bezpečnost řešit – pracují s citlivými údaji žáků, pedagogů i rodičů, využívají e-mail i různé online nástroje. Napadení školní sítě může vést ke ztrátě dat, finančním nákladům, ale i k narušení výuky. Vyplatí se proto zavést základní pravidla, procesy a strategie, díky kterým se podaří předejít možným katastrofickým scénářům. 

Zároveň je důležité udržet rozumný přístup. Pokud školu někdo osloví s nabídkou služeb nebo produktů s odkazem na NIS2 nebo ZoKB, mějte na paměti, že směrnice ani nový zákon žádné konkrétní povinnosti pro školy nestanoví. Dále uvedená doporučená opatření jsou dobrovolná a směřují především k tomu, aby škola fungovala bezpečně a spolehlivě.

Pět doporučených oblastí, na které se zaměřit 

Školy mohou podniknout řadu jednoduchých a nenákladných kroků. Základní pravidla a opatření bývají často jednoduchá a snadno použitelná i v menší škole. Podívejme se na klíčové oblasti, které tvoří základ dobré praxe. 

Správa přístupů 

• Vlastní, unikátní účet pro každého uživatele 

• Silná hesla (min. 12 znaků, kombinace písmen, číslic a znaků) 

• Jedinečné heslo pro každý uživatelský účet minimalizuje napadení dalších účtů, pokud u jednoho účtu dojde k úniku hesla 

• Vícefaktorová autentizace (MFA) zejména u cloudových služeb 

Zálohování dat 

• Automatické denní zálohování důležitých dokumentů a dat 

• Uchovávání záloh mimo hlavní systém (offline anebo v cloudu) 

• Testování obnovy alespoň jednou ročně 

Školení a osvěta 

• Pravidelné školení zaměstnanců (min. 1 ročně) 

• Důraz na zásady bezpečné práce s e-mailem a osobními údaji 

• Možnost testovací phishingové kampaně pro zvýšení připravenosti 

Technická opatření 

• Pravidelná aktualizace operačních systémů a všech aplikací (stolní PC, ale i tablety a další zařízení) 

• Kvalitní antivirový software s aktuální databází virů, malware atp. 

• Segmentace sítě (například oddělení Wi-Fi pro hosty od interní sítě) 

• Zamykání obrazovek a automatické odhlašování po nečinnosti 

• Šifrování disků 

Organizační opatření 

• Osoba odpovědná za ICT bezpečnost (např. ICT koordinátor) 

• Interní směrnice k používání IT ve škole 

• Evidence incidentů a pokusů o útok

Dokumenty a metodická podpora 

Základní bezpečnostní opatření by měla být doplněna o jasně formulované interní dokumenty, které popisují pravidla a postupy při správě školní digitální infrastruktury. Vhodným vodítkem pro školy je například dokument Bezpečná digitální infrastruktura školy, který připravilo Ministerstvo školství, mládeže a tělovýchovy ve spolupráci s odbornými partnery NÚKIB, NAKIT a AFCEA. Tento materiál shrnuje praktická doporučení a pomáhá školám orientovat se v klíčových oblastech ICT bezpečnosti. 

Dalším důležitým dokumentem je Standard konektivity škol – stanovuje řadu technických parametrů, které zajistí minimální standard pro to, aby byla digitální infrastruktura funkční a bezpečná. 

V případě, že potřebujete metodické materiály, doporučení a návody jsou k dispozici na webu NPI, konkrétně na stránce věnované kybernetické bezpečnosti.

Vytvořte si plán reakce na incident 

Každá škola by měla mít jednoduchý plán, jak postupovat v případě incidentu, předejít chaosu a minimalizovat dopady, pokud dojde k bezpečnostnímu incidentu. I v menší škole má takový plán smysl a není složité ho připravit. 

Základní prvky plánu reakce na incident (Incident Response Plan): 

• Definice incidentu: jakých událostí se týká – např. prolomení hesla, ztráta přístupu k datům (ransomware, odcizení zařízení se zálohou), výpadek služeb atp. 

• Odpovědná osoba: kdo má na starosti řešení incidentu (jméno, kontakt) 

• Kontaktní údaje: seznam dalších klíčových osob a institucí (např. vedení školy, zřizovatel, IT správce) 

• Stručný a jasný postup při oznámení incidentu: komu a jakým způsobem nahlásit problém – včetně pokynů, co dělat či nedělat v dané situaci 

• Evidence incidentů: co a jak zaznamenat pro zpětné vyhodnocení a případné poučení – například formulář pro zápis co se stalo, kde a kdy, kdo to zjistil, jaké kroky byly provedeny atp. 

I ten nejlepší plán a kontaktní seznam jsou k ničemu, pokud není možné ztracená data bezpečně obnovit. Proto je důležité, aby škola kromě určení odpovědných osob a postupů také zajistila, že její data budou pravidelně a kvalitně zálohována a že má ověřenou schopnost tato data obnovit. Díky tomu může kontaktní plán skutečně plnit svou roli – usnadnit zvládnutí náročných situací a podpořit hladký návrat školy k běžnému provozu.

Využijte bezplatné podpory a odborných konzultací 

Řešit kybernetickou bezpečnost se vyplatí už dnes, a to především kvůli ochraně dat a plynulému provozu školy. NPI je připraveno školám s tímto tématem pomoci a nabídnout praktickou podporu. Objednat si můžete služby profesionálních IT konzultantů, tzv. IT guru, kteří poskytují odborné konzultace. Zároveň je vhodné si nechat udělat audit stavu digitální infrastruktury vaší školy, abyste zjistili, na co se zaměřit a co můžete zlepšit. Je to krok k bezpečnějšímu a klidnějšímu prostředí pro práci učitelů i vzdělávání žáků. 

Další informace:

• https://portal.nukib.gov.cz/informacni-servis/podpurne-materialy/68666293c0ce8d07aa01b297

• https://portal.nukib.gov.cz/pruvodce-smernici-nis2