Školení kyberbezpečnosti pro vedení univerzity

Varování! Toto není komplexní školení na kyberbezpečnost. Aplikujeme Paretto princip 80:20. Vydestilovali jsme: jedno technické opatření a jeden návyk, jejichž zavedením výrazně zvýšíte svoji úroveň kyberbezpečnosti. K tomu přidáme pár tipů, co můžete udělat pro sebe i vaše podřízené.

Kyberbezpečnost dnes není jen otázkou technologií. I ta nejlepší ochrana může selhat, pokud uživatelé nejsou obezřetní. Technická opatření nejsou všespásná – každý z nás musí pro svoji bezpečnost aktivně něco dělat. A u vedoucích zaměstnanců to platí dvojnásob.

PREZENTACE

Vedení univerzity, stejně jako manažeři a akademičtí pracovníci s rozhodovací pravomocí, se čím dál častěji stávají cílem útoků. Největší hrozbu přitom nepředstavují pouze viry a další škodlivé soubory, ale manipulace skrze sociální inženýrství. A jeho nejčastější formou je phishing – podvodné e-maily, které se snaží vylákat citlivé informace nebo donutit oběť k určitému jednání.

Myšlení rychlé a pomalé aneb proč útoky fungují

Útočníci spoléhají na to, že oběť často reaguje intuitivně (na autopilota). Vychází přitom z dnes již velmi známých principů fungování lidské mysli, které popsal a popularizoval Daniel Kahneman, známé jako myšlení rychlé a pomalé:

Systém 1: rychlý, intuitivní = autopilot – rozhodování probíhá na základě zkušeností a emocí. Je rychlé a nenáročné, ale zároveň snadno manipulovatelné a náchylné na kognitivní zkreslení. Právě na tento systém útočníci cílí – využívají časový tlak, strach nebo důvěryhodně vypadající podněty, aby oběť reagovala impulzivně.
Systém 2: pomalý, analytický – rozhodování je vědomé, vyžaduje soustředění a pečlivé zvažování informací. Tento systém je odolnější vůči manipulaci, protože dokáže kriticky analyzovat situaci a ověřovat fakta.

Obrana proti phishingu

Co je problém: Phishing – v současnosti nejpopulárnější technika sociálního inženýrství, kdy se útočník snaží oběť přimět k akci.
Proč je to problém: Phishingové útoky na univerzitě zaznamenáváme na denní bázi. Oběti často nevědomky nasdílí své přihlašovací údaje k systémům a přichází o přístup ke svým účtům.
Čeho chceme dosáhnout: Výrazné snížení rizika úniku přihlašovacích údajů, a následné ztráty přístupu (nejen) k univerzitní identitě.
Jak toho chceme dosáhnout: Správce hesel v kombinaci s vícefaktorovým ověřováním

Ikona počítačového monitoru s kódovým znakem a přidruženou ikonou akademické čapky, symbolizující online vzdělávání nebo programování.

Phishing na MU

Útočník si za méně než 200 Kč zakoupil doménu (munl.cz), která napodobuje legitimní doménu Masarykovy univerzity muni.cz. Podle veřejně dostupného návodu na internetu si na této doméně nastavil e-mailový server a rozeslal phishingové e-maily věrně imitující zprávu z INETu. V nich příjemce vyzýval ke kliknutí na podvodný odkaz, který vedl na falešnou přihlašovací stránku.

Tato stránka vizuálně přesně imitovala legitimní přihlašovací portál Jednotného přihlášení. Uživatelé, kteří používají vícefaktorovou autentizaci a spoléhají na metodu ověřovacího kódu (TOTP), v domnění, že se přihlašují na skutečný web univerzity, kód zadali – a tím ho odevzdali přímo útočníkovi. Ten následně získal přístup k jejich účtům a mohl je okamžitě zneužít.

Ponaučení: ani slabší způsoby vícefaktorového ověření vás neochrání. Nahraďte TOTP bezpečnostním klíčem.

Správce hesel

Vyplňuje údaje pouze na legitimních stránkách a pomáhá odhalit podvodné weby.

Předchozí Následující

Vícefaktorová autentizace

S bezpečnostním klíčem zabrání útočníkovi v přístupu i tehdy, pokud získá heslo.

Předchozí Následující

Vícefaktorovou autentizaci lze nastavit také v IS MU, a to buď ověřením přes:

Identitu občana bude po zadání UČO a hesla požadováno potvrzení přihlášení pomocí identifikačního prostředku, který tam máte aktivovaný. Zvolíte ho, naskenujete QR kód a v mobilu přihlášení potvrdíte.
Ověřovací aplikaci zadáte při přihlášení i jednorázový šestimístný kód. Buďte však opatrní, na jaké webové stránce kód zadáváte – legitimní stránka bude mít vždy adresu islogin.cz.

Obrana proti spear-phishingu

Co je problém: Spear phishing - cílený phishing na vybrané jednotlivce typicky na vysokých manažerských pozicích.
Proč je to problém: Technické řešení nikdy nedokáže zaručit 100% ochranu. Spearphishing lze těžko rozpoznat. Hrozí významné riziko ztráty reputace, finančních prostředků, know-how. Děje se to i na MU.
Čeho chceme dosáhnout: Vypnutí “autopilota” při rozhodování. Ověřování pravdivosti požadavků.
Jak toho chceme dosáhnout: Systematické budování návyku “vypnout autopilota” pomocí STOPky.

Modrý počítačový monitor s bílými zubatými koly na obrazovce.

Spear-phishing na MU

Co se stalo: Útočníci využili veřejně dostupná data k cílenému spear-phishingovému útoku. Zaměřili se na členské poplatky organizace, kde Masarykova univerzita figuruje jako člen. Přibližně měsíc před termínem skutečné platby zahájili komunikaci se správnou kontaktní osobou na MU a pod záminkou administrativního vyřízení poplatku si s ní vyměnili několik e-mailů. Díky této konverzaci získali důvěru a podařilo se jim přesvědčit zaměstnance univerzity k proplacení falešné faktury ve výši několika tisíc Euro. Podvod byl odhalen až když dorazila skutečná faktura.

Podobné podvody jsou zaznamenávány již minimálně pět let. Stejný útočný vektor byl využit i proti jiným subjektům, například leteckým společnostem. I přes to, že při schvalování plateb je v procesu zahrnuto více lidí, nikomu to nepřišlo divné.

Ponaučení: manipulace oběti ("získali důvěru") a zneužití "autopilota" při rozhodování nelze řešit technickými opatřeními, ale budováním správných návyků.

Vybudujte si návyk...

Po dobu tří týdnů při vyřizování e-mailů aplikujte STOPku – čtyři kroky pro bezpečné posouzení zprávy:

Stůj – zastav se před reakcí.
Testuj – zkontroluj adresu, odkazy, přílohy.
Ověřuj – při pochybnostech ověř jiným kanálem.
Pokračuj – nahlaš podvod nebo pokračuj v práci.

Proč to funguje: STOPka vytváří krátkou pauzu, která aktivuje analytické myšlení (Systém 2) namísto rychlých instinktivních reakcí (Systém 1). Je to podobné, jako když zastavíte na křižovatce, rozhlédnete se a až poté jednáte.

... a šup s tím před monitor

Abyste na toto opatření nezapomněli, připravili jsme pomůcku (připomínáček), kterou si můžete vytisknout a postavit před monitor. Můžete si do ní zároveň zaznačit, které dny jste STOPku zvládli alespoň jednou použít.

Stáhnout STOPku

Kyberbezpečnostní doporučení pro vedoucí

Bezpečnost začíná u vás.

Proto jsme sestavili seznam konkrétních opatření, které si můžete snadno zavést i sami. Nejspíš již nyní máte správce hesel a používáte vícefaktorovou autentizaci. Další opatření pak můžete zavést pomocí návodů, na které vedou jednotlivé odkazy. Kromě technických opatření je třeba myslet i na správné návyky. Ať už jde o používání principů STOPky, nebo pravidelné školení.

Buďte vzorem a inspirujte ostatní.

Kyberbezpečnost je proces, který bude z podstaty vždy zahrnovat i lidi. Pokud nastane na vašem pracovišti incident, jste, coby vedoucí, přirozeně součástí jeho řešení. Toto platí i pro incidenty kyberbezpečnostní. Požadujte stejná opatření a návyky i po svých zaměstnancích. Pomozte nám a buďte ambasadory pro bezpečné kyberprostředí univerzity.

Jděte příkladem a zaveďte si technická opatření

Aktivujte vícefaktorové ověření.

Používejte správce hesel.

Nastavte automatický zámek obrazovky.

Používejte antivirový program.

Zapněte automatické aktualizace programů a operačního systému.

Aktivujte šifrování disku.

Využívejte pro ukládání a sdílení dat univerzitní cloudové služby (M365, Google Workspace).

Používejte oficiální univerzitní úložiště.

Zálohujte data pravidelně a automatizovaně.

Vždy používejte eduVPN na veřejných WiFi sítích.
Budujte návyky pro bezpečný pohyb v online prostředí

Zpracovávejte e-maily i další komunikaci vědomě (pomůže např. náš nástroj STOPka).

Absolvujte každoročně kyberbezpečnostní školení (jde o 90 minut vašeho času ročně).

Vyměňte telefon a počítač alespoň jednou za pět let.

Hlaste i podezření na kyberbezpečnostní incident.
Připomeňte si povinnosti vedoucích

Seznamte se s a dodržujte Pravidla IT MU.

Jste spoluzodpovědný/á za dořešení incidentů zahrnující vaše zaměstnance či pracoviště.

Při řešení incidentů reagujte na pokyny Kyberbezpečnostního týmu MU bezodkladně.

Pokud se od vás bude očekávat rozhodnutí; nechte si vysvětlit podstatu problému, aby vaše rozhodnutí bylo opravdu informované.

S čím se obracet na Kyberbezpečnostní tým MU?

Kyberbezpečnostní tým MU (CSIRT-MU) koordinuje řešení bezpečnostních incidentů způsobených phishingem nebo malware, úniky dat či přihlašovacích údajů. Problémy technického charakteru (např. zapomenuté heslo či nefunkční VPN) řeší technická podpora.

Buďte vzorem, nastavte směr a podporujte vzdělávání

Trvejte na to, aby vaši zaměstnanci znali a dodržovali Pravidla IT MU

Požadujte zavedení stejných technických opatření, která uplatňujete vy. S kontrolou dodržování vám umíme pomoct.

Podporujte vzdělávání svých zaměstnanců (alespoň jednou ročně):

Kyberbezpečnostní minimum v IS MU pro zaměstnance (online, vlastním tempem).

Zpracování a ochrana osobních údajů pro zaměstnance MU (školení v IS MU).

Dále velmi doporučujeme:

Zabezpečte si svá zařízení (praktický workshop na vašem pracovišti).

Domluvte si cvičnou phishingovou kampaň (testování odolnosti vůči phishingu).

Základní kurz Microsoft 365 (online, vlastním tempem, základy práce s M365).

Nabídka našich kolegů s řadou specifických školení k aplikacím Microsoft 365.

Slovo závěrem

Doufáme, že vám naše školení pomůže zvýšit úroveň kyberbezpečnosti nejen u vás, ale i na vašem pracovišti. Pamatujte, že i malé změny mohou výrazně snížit rizika spojená s úspěšnými útoky a jen společně můžeme dělat univerzitu bezpečnější. Neváhejte se proto na nás v otázkách kyberbezpečnosti kdykoliv v budoucnu obrátit. Jsme tu pro vás,

Kyberbezpečnostní tým MU

Napište nám Bonus