RNDr. Michal Javorník, Ph.D.
kancelář: bud. A/9.18
Šumavská 525/33
602 00 Brno
Šumavská 525/33
602 00 Brno
| e‑mail: |
|
|---|
Projekt
CRP-Kyber21
Nastavení a zvýšení úrovně kybernetické bezpečnosti v prostředí veřejných vysokých škol.
Projekt CRP-Kyber21 se zaměřuje na podporu nastavení a zvýšení úrovně kybernetické bezpečnosti pro 25 veřejných vysokých škol po celé České republice. Tato vysoce aktuální potřeba je naléhavá v souvislosti s obecně trvalým růstem hrozeb v této oblasti, a ve zranitelných dobách souvisejících s celosvětovou pandemií zvláště. Nastavení kyberochrany je podmínkou pro rozšíření technologií a nasazení distančních metod vzdělávání v prostředí vysokých škol. S výjimkou několika málo univerzit, které mají ustanoveny vlastní kyberbezpečnostní týmy a s nimi související základní procesy, potřebuje většina veřejných vysokých škol v této oblasti pomocnou ruku.
Cílem projektu je využít zkušeností a odborných kapacit univerzit s již nastavenými procesy, aby připravily metodiky a doporučení pro veřejné vysoké školy různých velikostí, které umožní všem těmto školám zásadním způsobem zvýšit úroveň jejich kybernetické bezpečnosti.
Vedle zlepšení situace v kyberochraně považuje projekt za neméně důležitý úkol připravit vysoké školy na plnění zákonných povinnosti, které jim ukládá Zákon o kybernetické bezpečnosti, zejména co se týká významných informačních systémů spravovaných orgány veřejné moci. Je přirozeným požadavkem, aby vysoké školy postupovaly v tomto ohledu jednotným a synchronizovaným způsobem, ať už se to týká výkladů, rozsahu závazků a povinností, které by neměly být pro VVŠ nadměrně extenzivní a zatěžující, tak i harmonogramu potřebných kroků, který by měl být zvladatelný i pro nezkušené. Po věcné stránce se řešení projektu zaměřuje do sedmi oblastí, které řeší zkušení experti. Do těchto oblastí patří:
- nastavení bezpečného kyberprostředí univerzity,
- významné informační systémy v prostředí veřejných vysokých škol,
- osvěta uživatelů,
- systematické institucionální vzdělávání zaměstnanců,
- kyberbezpečnost v distančním a kolaborativním prostředí,
- automatické vyhledávání zranitelností,
- právní aspekty kybernetické bezpečnosti.
Kurzy kyberbezpečnosti
|
Celý kurz kyberbezpečnosti (MBZ)
Soubor pro dávkovou implementaci všech pěti modulů do Moodle včetně grafiky a auto-testů. |
.mbz 38 MB |
|---|---|
|
How-to k implementaci MBZ do Moodle
Textový soubor s poznámkami k dávkové implementaci modulů do systému Moodle pomocí importu MBZ souboru. |
.txt 1 kB |
|
Základní školení kyberbezpečnosti (MBZ)
Soubor pro dávkovou implementaci základního školení kyberbezpečnosti ve formě BOZP do Moodle včetně grafiky a závěrečného auto-testu. |
.mbz 1 MB |
|
Celý kurz kyberbezpečnosti (MBZ) s ENG překladem
Soubor pro dávkovou implementaci všech pěti modulů do Moodle včetně grafiky a auto-testů, doplněný o verzi v angličtině. |
.mbz 41 MB |
|
Základní školení kyberbezpečnosti (MBZ) s ENG překladem
Soubor pro dávkovou implementaci základního školení kyberbezpečnosti ve formě BOZP do Moodle včetně grafiky a závěrečného auto-testu, doplněný o verzi v angličtině. |
.mbz 1 MB |
Jednotlivé moduly celého kurzu
Modul 1: Proč kyberbezpečnost?
Úvodní modul reaguje na problematický postoj, který uživatelé k tématu kyberbezpečnosti často zaujímají: proč by mě něco takového mělo vůbec zajímat? Po této otázce většinou slýcháme argumenty typu "mě se přece nic takového nemůže stát" nebo "proč by se nějaký útočník měl zajímat zrovna o mě, co by z toho měl?".
Modul jsme proto pojali metodou storytellingu. Představuje významné typy útoků, které jsme v rámci předvýzkumů identifikovali jako problematické v prostředí VVŠ, a přibližuje je skrze příběhy zaměstnanců a studentů univerzity. Zvolené persony následují výstupy rešerše zásadních cílových skupin. Příběhy jsou provázány s následnými moduly, které pak témata pojímají více prakticky a do hloubky.
Cíle a smysl modulu
- Adresovat problematické prekoncepty, se kterými uživatelé přistupují k řešení své kyberbezpečnosti.
- Přiblížit širokou škálu možných podob útoků a jejich dopadů.
- Nenásilnou formou dovést k pochopení hrozeb.
- Vhodným výběrem person ukázat, že se kyberbezpečnost týká všech osob na VVŠ.
- Vyhnout se kyberbezpečnostnímu nihilismu a u příběhů ukázat, že mají řešení/prevenci.
Jak implementovat?
Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.
Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.
U příběhu studijní referentky Terezy je využit tag <school-specific>, v tomto případě jde o odkaz na institucionální návod ke zprovoznění VPN. Doplnit je třeba i infobox v závěru s popisem hlášení kyberbezpečnostního incidentu.
Materiály ke stažení
|
modul-1_2021-10-12
Finální text modulu (bez grafiky). |
.docx 7 MB |
|---|---|
|
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat. |
.zip 60 MB |
Modul 2: Bezpečné heslo
Druhý modul se zaměřuje na hesla jako jedno z tradičních a stále zásadních témat kyberbezpečnosti. Modul vede k využívání frázových hesel a předkládaná doporučení jsou harmonizována s vyhláškou č. 82/2018 Sb.. Představena je problematika lámání hesel tak, aby byl argument využívání unikátních frázových hesel lépe podpořen.
Prostor je věnován metodě 2FA, kterou považujeme za významný krok k posílení kyberbezpečnosti a bude do systémů VVŠ dle vyhlášky také implementována - materiál proto připravuje čtenáře na její využívání a vysvětluje význam 2FA. Závěr modulu patří správcům hesel a především pak zobecnění pravidel a doporučení pro vlastní tvorbu hesel.
Cíle a smysl modulu
- Představit koncept frázových hesel jako preferované moderní varianty.
- Vést k využívání metody 2FA, kdekoliv je to možné.
- Upřesnit některé přežité koncepty, které o heslech uživatelé mají.
- Předat výhody využívání správců hesel.
Jak implementovat?
Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.
Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.
Materiály ke stažení
|
modul-2_2021-10-12
Finální text modulu (bez grafiky). |
.docx 82 kB |
|---|---|
|
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat. |
.zip 60 MB |
Modul 3: Bezpečná komunikace
Modul především cílí k pochopení skutečnosti, že odesílatel zprávy nemusí být ten, kdo se jako odesílatel podepsal. V rámci modulu se uživatelé seznámí s technikou podvržení odesílatele a mohou si sami vyzkoušet, jak jednoduchá tato strategie je. Prostor dostává i spam jako nástroj k šíření malwaru. Poslední část modulu se věnuje přístupnému vysvětlení šifrované komunikaci a E2E šifrování.
Cílem při implementaci by mělo být provázání modulu s kyberbezpečnostními procesy na univerzitě. Modul je připraven vést uživatele k tomu, aby jakákoliv podezření v této oblasti dostatečně a efektivně hlásili - a především aby přednostně využívali komunikační platformy a řešení nabízené a spravované přímo institucí.
Cíle a smysl modulu
- Budovat obezřetnější přístup k důvěryhodnosti elektronické komunikace.
- Seznámit s běžnými technikami podvržení odesílatele.
- Motivovat k využívání kyberbezpečnostních procesů, tj. např. nahlašování.
- Vést k využívání komunikačních platforem a řešení přímo nabízených univerzitou.
Jak implementovat?
Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.
Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.
Materiály ke stažení
|
modul-3_2021-10-12
Finální text modulu (bez grafiky). |
.docx 9 MB |
|---|---|
|
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat. |
.zip 60 MB |
Modul 4: Sociální inženýrství
Čtvrtý modul reaguje na rostoucí hrozby, s kterými se zaměstnanci univerzity i studenti mohou setkat v oblasti sociálního inženýrství. Škála útoků je zde velmi široká, modul je proto postaven na storytellingu a seznamování se s metodami, které byly identifikovány jako nejpalčivější. Na výstupu jsou pak zobecněna pravidla, která mohou pomoci se těmto typům útoků lépe bránit.
Základním cílem modulu je vést čtenáře k uvědomí, že kyberbezpečnostní útoky nejsou jen viry a podvržené e-maily, ale že mohou využívat našich typicky lidských vlastností/slabostí a mohou probíhat i ve fyzickém prostředí.
Cíle a smysl modulu
- Využít storytelling k ilustraci široké škály podob socinž útoků.
- Vést k uvědomění, že útoky mohou probíhat i ve fyzickém světě.
- Poskytnout obecnější rady, jak se podobným útokům bránit.
Jak implementovat?
Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.
Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.
Materiály ke stažení
|
modul-4_2021-10-12
Finální text modulu (bez grafiky). |
.docx 54 kB |
|---|---|
|
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat. |
.zip 60 MB |
Modul 5: Ochrana zařízení
Závěrečný modul se zaměřuje na bezpečnou práci s počítači a chytrými telefony. V úvodu jsou předávány obecné zásady práce se zařízeními - zásady, které většinou dobře známe, přesto se jimi mnohdy neřídíme: zamykání zařízení, aktualizace SW i systému, problematika využívání soukromých zařízení pro pracovní účely atp. Jedním z obecných pravidel je i šifrování, které pak tvoří další významnou část modulu. V návaznosti na toto téma je modul uzavřen tematizací stále zásadnější hrozby: ransomwaru.
Pátý modul otevírá témata, které mohou být adresována v budoucnu: zabezpečení jednotlivých SW řešení (Windows, Android) či bezpečnost práce z domu (zabezpečení domácí sítě, VPN atp.).
Cíle a smysl modulu
- Upevnit povědomí o obecných zásadách bezpečné práce se zařízením.
- Motivovat k jejich dodržování i pomocí storytellingu.
- Vysvětlit přístupně téma šifrování a navázat ho na předchozí moduly.
- Ilustrovat reálnou hrozbu ransomwaru a motivovat skrze ní k zálohování dat.
Jak implementovat?
Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.
Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.
Materiály ke stažení
|
modul-5_2021-10-12
Finální text modulu (bez grafiky). |
.docx 52 kB |
|---|---|
|
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat. |
.zip 60 MB |
Další materiály a metodiky
Bezpečnost lidských zdrojů: interpretace a metodická inspirace
Interpretace vyhlášky o kybernetické bezpečnosti z hlediska bezpečnosti lidských zdrojů doplněná o metodickou inspiraci pro nastavení plánů vzdělávání a rozvoje kyberbezpečnostního povědomí na VVŠ.
Phishingator
Phishingator je cvičení, zaměřené na naučení uživatelů rozpoznávat jednu z často používaných technik sociálního inženýrství, phishing. Jak Phishingator funguje? Uživateli, který se na webu Phishingator zaregistruje, přicházejí cvičné phishingové zprávy, které obsahují typické znaky zmíněné techniky. Uživatel se tak (časem) naučí v bezpečném prostředí phishing rozpoznávat a nenaletí útočníkovi v případě reálného setkání s tímto útokem.
Zvýšení zabezpečení prostředí O365
Informační technologie jsou kritické pro zajištění fungování vysokých škol, od administrativy, přes vedení a řízení výuky až po ukládání a zpracování výzkumných dat. Přitom jsou stále častěji cílem útoků (viz upozornění NÚKIB a zkušenosti z provozu).
Většina vysokých škol využívá alespoň v nějakém rozsahu cloudová prostředí pro práci, spolupráci a komunikaci, zejména balíky MS 365 a Google Suite. Vzhledem k významu, který pak tyto služby mají pro provoz univerzit a hodnotě ukládaných a zpracovávaných dat je důležité zajistit dostatečnou úroveň jejich zabezpečení. Cílem jedné z podaktivit projektu CRP-Kyber21 "Zvýšení zabezpečení prostředí O365" bylo připravit sady doporučení pro zvýšení zabezpečení prostředí Microsoft 365. Materiály, které v rámci iniciativy vznikly, jsou dostupné na vyžádání.
Bezpečné kyberprostředí
Oblast se zabývá doporučeními a postupy pro nastavení základní úrovně bezpečnosti kyberprostředí veřejné vysoké školy na základě technik „best practices“ s dopadem do interních předpisů VVŠ.
Významné informační systémy v prostředí veřejných vysokých škol
Oblast se zaměřuje na řešení problematiky významných informačních systémů v kontextu českých veřejný vysokých škol, dále také na přípravu vzorových dokumentů a postupů pro naplnění povinností správců a provozovatelů významných informačních systémů podle zákona č. 181/2014 Sb. Činnost probíhá ve spolupráci s NÚKIB.
Ing Jiří Richter
Rektorát ČVUT – odbor pro kvalitu a informační systém
Jugoslávských partyzánů 1580/3 160 00 Praha 6 / B-708
| e‑mail: |
|
|---|
Právo a legislativa
Náplní této oblasti je zejména poskytnutí právní analýzy či jakékoli právní podpory při řešení záležitostí v dalších oblastech projektu.
JUDr. Mgr. Jakub Harašta, Ph.D.
kancelář: S146
Veveří 158/70
611 80 Brno
Veveří 158/70
611 80 Brno
| e‑mail: |
|
|---|
Kyberbezpečnosti v kolaborativním a distančním prostředí
Oblast zkoumá bezpečnostní analýzy nástrojů pro distanční vzdělávání a spolupráci, a doporučení pro jejich bezpečné nasazení a využívání s ohledem na potřeby a procesy univerzitního prostředí.
Mgr. Břetislav Regner
vedoucí pracoviště – Centrální a systémová správa
kancelář: bud. A/8.16
Šumavská 525/33
602 00 Brno
Šumavská 525/33
602 00 Brno
Osvěta a vzdělávání
Oblast se zabývá osvětou uživatelů skrze přípravu vzdělávacích materiálů a metodik orientovaných na vybudování vyššího situačního povědomí uživatelů v oblasti kybernetické bezpečnosti.
Mgr. Tomáš Marek
asistent – Katedra informačních studií a knihovnictví
kancelář: bud. C/C.127
Arna Nováka 1
602 00 Brno
Arna Nováka 1
602 00 Brno
| e‑mail: |
|
|---|
Hlavní koordinátor
RNDr. Miroslav Bartošek, CSc.
vedoucí pracoviště – Open Science
kancelář: bud. A/6.15
Šumavská 525/33
602 00 Brno
Šumavská 525/33
602 00 Brno
| e‑mail: |
|
|---|
Odborný garant
Bc. Tomáš Plesník
vedoucí pracoviště – IT provoz a vývoj
kancelář: bud. A/15.18
Šumavská 525/33
602 00 Brno
Šumavská 525/33
602 00 Brno
| e‑mail: |
|
|---|
Hlavní koordinátor
Řešitelé
Externí partneři
Seznam zapojených univerzit
Akademie múzických umění v Praze
Akademie výtvarných umění v Praze
Česká zemědělská univerzita v Praze
České vysoké učení technické v Praze
Janáčkova akademie múzických umění v Brně
Jihočeská univerzita v Českých Budějovicích
Masarykova univerzita
Mendelova univerzita v Brně
Ostravská univerzita
Slezská univerzita v Opavě
Technická univerzita v Liberci
Univerzita Hradec Králové
Univerzita J. E. Purkyně v Ústí nad Labem
Univerzita Karlova
Univerzita Palackého v Olomouci
Univerzita Pardubice
Univerzita Tomáše Bati ve Zlíně
Veterinární a farmaceutická univerzita Brno
Technická univerzita Ostrava
Vysoká škola ekonomická v Praze
Vysoká škola chemicko-technologická v Praze
Vysoká škola polytechnická Jihlava
Vysoká škola Technická a ekonomická v Českých Budějovicích
Vysoké učení technické v Brně
Západočeská univerzita v Plzni