Projekt
CRP-Kyber21

Nastavení a zvýšení úrovně kybernetické bezpečnosti v prostředí veřejných vysokých škol.

O projektu Materiály a výstupy Oblasti projektu Partneři

O projektu

Projekt CRP-Kyber21 se zaměřuje na podporu nastavení a zvýšení úrovně kybernetické bezpečnosti pro 25 veřejných vysokých škol po celé České republice. Tato vysoce aktuální potřeba je naléhavá v souvislosti s obecně trvalým růstem hrozeb v této oblasti, a ve zranitelných dobách souvisejících s celosvětovou pandemií zvláště. Nastavení kyberochrany je podmínkou pro rozšíření technologií a nasazení distančních metod vzdělávání v prostředí vysokých škol. S výjimkou několika málo univerzit, které mají ustanoveny vlastní kyberbezpečnostní týmy a s nimi související základní procesy, potřebuje většina veřejných vysokých škol v této oblasti pomocnou ruku.

Cílem projektu je využít zkušeností a odborných kapacit univerzit s již nastavenými procesy, aby připravily metodiky a doporučení pro veřejné vysoké školy různých velikostí, které umožní všem těmto školám zásadním způsobem zvýšit úroveň jejich kybernetické bezpečnosti.

Vedle zlepšení situace v kyberochraně považuje projekt za neméně důležitý úkol připravit vysoké školy na plnění zákonných povinnosti, které jim ukládá Zákon o kybernetické bezpečnosti, zejména co se týká významných informačních systémů spravovaných orgány veřejné moci. Je přirozeným požadavkem, aby vysoké školy postupovaly v tomto ohledu jednotným a synchronizovaným způsobem, ať už se to týká výkladů, rozsahu závazků a povinností, které by neměly být pro VVŠ nadměrně extenzivní a zatěžující, tak i harmonogramu potřebných kroků, který by měl být zvladatelný i pro nezkušené. Po věcné stránce se řešení projektu zaměřuje do sedmi oblastí, které řeší zkušení experti. Do těchto oblastí patří:

  • nastavení bezpečného kyberprostředí univerzity,
  • významné informační systémy v prostředí veřejných vysokých škol,
  • osvěta uživatelů,
  • systematické institucionální vzdělávání zaměstnanců,
  • kyberbezpečnost v distančním a kolaborativním prostředí,
  • automatické vyhledávání zranitelností,
  • právní aspekty kybernetické bezpečnosti.

Materiály a výstupy

Kurzy kyberbezpečnosti

Celý kurz kyberbezpečnosti (MBZ)
Soubor pro dávkovou implementaci všech pěti modulů do Moodle včetně grafiky a auto-testů.
.mbz 38 MB
How-to k implementaci MBZ do Moodle
Textový soubor s poznámkami k dávkové implementaci modulů do systému Moodle pomocí importu MBZ souboru.
.txt 1 kB
Základní školení kyberbezpečnosti (MBZ)
Soubor pro dávkovou implementaci základního školení kyberbezpečnosti ve formě BOZP do Moodle včetně grafiky a závěrečného auto-testu.
.mbz 1 MB
Celý kurz kyberbezpečnosti (MBZ) s ENG překladem
Soubor pro dávkovou implementaci všech pěti modulů do Moodle včetně grafiky a auto-testů, doplněný o verzi v angličtině.
.mbz 41 MB
Základní školení kyberbezpečnosti (MBZ) s ENG překladem
Soubor pro dávkovou implementaci základního školení kyberbezpečnosti ve formě BOZP do Moodle včetně grafiky a závěrečného auto-testu, doplněný o verzi v angličtině.
.mbz 1 MB

Jednotlivé moduly celého kurzu

Modul 1: Proč kyberbezpečnost?

Úvodní modul reaguje na problematický postoj, který uživatelé k tématu kyberbezpečnosti často zaujímají: proč by mě něco takového mělo vůbec zajímat? Po této otázce většinou slýcháme argumenty typu "mě se přece nic takového nemůže stát" nebo "proč by se nějaký útočník měl zajímat zrovna o mě, co by z toho měl?".

Modul jsme proto pojali metodou storytellingu. Představuje významné typy útoků, které jsme v rámci předvýzkumů identifikovali jako problematické v prostředí VVŠ, a přibližuje je skrze příběhy zaměstnanců a studentů univerzity. Zvolené persony následují výstupy rešerše zásadních cílových skupin. Příběhy jsou provázány s následnými moduly, které pak témata pojímají více prakticky a do hloubky.

Cíle a smysl modulu
  • Adresovat problematické prekoncepty, se kterými uživatelé přistupují k řešení své kyberbezpečnosti.
  • Přiblížit širokou škálu možných podob útoků a jejich dopadů.
  • Nenásilnou formou dovést k pochopení hrozeb.
  • Vhodným výběrem person ukázat, že se kyberbezpečnost týká všech osob na VVŠ.
  • Vyhnout se kyberbezpečnostnímu nihilismu a u příběhů ukázat, že mají řešení/prevenci.
Jak implementovat?

Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.

Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.

U příběhu studijní referentky Terezy je využit tag <school-specific>, v tomto případě jde o odkaz na institucionální návod ke zprovoznění VPN. Doplnit je třeba i infobox v závěru s popisem hlášení kyberbezpečnostního incidentu.

Materiály ke stažení
modul-1_2021-10-12
Finální text modulu (bez grafiky).
.docx 7 MB
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat.
.zip 60 MB
Modul 2: Bezpečné heslo

Druhý modul se zaměřuje na hesla jako jedno z tradičních a stále zásadních témat kyberbezpečnosti. Modul vede k využívání frázových hesel a předkládaná doporučení jsou harmonizována s vyhláškou č. 82/2018 Sb.. Představena je problematika lámání hesel tak, aby byl argument využívání unikátních frázových hesel lépe podpořen.

Prostor je věnován metodě 2FA, kterou považujeme za významný krok k posílení kyberbezpečnosti a bude do systémů VVŠ dle vyhlášky také implementována - materiál proto připravuje čtenáře na její využívání a vysvětluje význam 2FA. Závěr modulu patří správcům hesel a především pak zobecnění pravidel a doporučení pro vlastní tvorbu hesel.

Cíle a smysl modulu
  • Představit koncept frázových hesel jako preferované moderní varianty.
  • Vést k využívání metody 2FA, kdekoliv je to možné.
  • Upřesnit některé přežité koncepty, které o heslech uživatelé mají.
  • Předat výhody využívání správců hesel.
Jak implementovat?

Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.

Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.

Materiály ke stažení
modul-2_2021-10-12
Finální text modulu (bez grafiky).
.docx 82 kB
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat.
.zip 60 MB
Modul 3: Bezpečná komunikace

Modul především cílí k pochopení skutečnosti, že odesílatel zprávy nemusí být ten, kdo se jako odesílatel podepsal. V rámci modulu se uživatelé seznámí s technikou podvržení odesílatele a mohou si sami vyzkoušet, jak jednoduchá tato strategie je. Prostor dostává i spam jako nástroj k šíření malwaru. Poslední část modulu se věnuje přístupnému vysvětlení šifrované komunikaci a E2E šifrování.

Cílem při implementaci by mělo být provázání modulu s kyberbezpečnostními procesy na univerzitě. Modul je připraven vést uživatele k tomu, aby jakákoliv podezření v této oblasti dostatečně a efektivně hlásili - a především aby přednostně využívali komunikační platformy a řešení nabízené a spravované přímo institucí.

Cíle a smysl modulu
  • Budovat obezřetnější přístup k důvěryhodnosti elektronické komunikace.
  • Seznámit s běžnými technikami podvržení odesílatele.
  • Motivovat k využívání kyberbezpečnostních procesů, tj. např. nahlašování.
  • Vést k využívání komunikačních platforem a řešení přímo nabízených univerzitou.
Jak implementovat?

Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.

Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.

Materiály ke stažení
modul-3_2021-10-12
Finální text modulu (bez grafiky).
.docx 9 MB
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat.
.zip 60 MB
Modul 4: Sociální inženýrství

Čtvrtý modul reaguje na rostoucí hrozby, s kterými se zaměstnanci univerzity i studenti mohou setkat v oblasti sociálního inženýrství. Škála útoků je zde velmi široká, modul je proto postaven na storytellingu a seznamování se s metodami, které byly identifikovány jako nejpalčivější. Na výstupu jsou pak zobecněna pravidla, která mohou pomoci se těmto typům útoků lépe bránit.

Základním cílem modulu je vést čtenáře k uvědomí, že kyberbezpečnostní útoky nejsou jen viry a podvržené e-maily, ale že mohou využívat našich typicky lidských vlastností/slabostí a mohou probíhat i ve fyzickém prostředí.

Cíle a smysl modulu
  • Využít storytelling k ilustraci široké škály podob socinž útoků.
  • Vést k uvědomění, že útoky mohou probíhat i ve fyzickém světě.
  • Poskytnout obecnější rady, jak se podobným útokům bránit.
Jak implementovat?

Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.

Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.

Materiály ke stažení
modul-4_2021-10-12
Finální text modulu (bez grafiky).
.docx 54 kB
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat.
.zip 60 MB
Modul 5: Ochrana zařízení

Závěrečný modul se zaměřuje na bezpečnou práci s počítači a chytrými telefony. V úvodu jsou předávány obecné zásady práce se zařízeními - zásady, které většinou dobře známe, přesto se jimi mnohdy neřídíme: zamykání zařízení, aktualizace SW i systému, problematika využívání soukromých zařízení pro pracovní účely atp. Jedním z obecných pravidel je i šifrování, které pak tvoří další významnou část modulu. V návaznosti na toto téma je modul uzavřen tematizací stále zásadnější hrozby: ransomwaru.

Pátý modul otevírá témata, které mohou být adresována v budoucnu: zabezpečení jednotlivých SW řešení (Windows, Android) či bezpečnost práce z domu (zabezpečení domácí sítě, VPN atp.).

Cíle a smysl modulu
  • Upevnit povědomí o obecných zásadách bezpečné práce se zařízením.
  • Motivovat k jejich dodržování i pomocí storytellingu.
  • Vysvětlit přístupně téma šifrování a navázat ho na předchozí moduly.
  • Ilustrovat reálnou hrozbu ransomwaru a motivovat skrze ní k zálohování dat.
Jak implementovat?

Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.

Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.

Materiály ke stažení
modul-5_2021-10-12
Finální text modulu (bez grafiky).
.docx 52 kB
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat.
.zip 60 MB

Další materiály a metodiky

Bezpečnost lidských zdrojů: interpretace a metodická inspirace

Interpretace vyhlášky o kybernetické bezpečnosti z hlediska bezpečnosti lidských zdrojů doplněná o metodickou inspiraci pro nastavení plánů vzdělávání a rozvoje kyberbezpečnostního povědomí na VVŠ.

Zobrazit příručku

Phishingator

Phishingator je cvičení, zaměřené na naučení uživatelů rozpoznávat jednu z často používaných technik sociálního inženýrství, phishing. Jak Phishingator funguje? Uživateli, který se na webu Phishingator zaregistruje, přicházejí cvičné phishingové zprávy, které obsahují typické znaky zmíněné techniky. Uživatel se tak (časem) naučí v bezpečném prostředí phishing rozpoznávat a nenaletí útočníkovi v případě reálného setkání s tímto útokem.

Webové stránky

Zvýšení zabezpečení prostředí O365

Informační technologie jsou kritické pro zajištění fungování vysokých škol, od administrativy, přes vedení a řízení výuky až po ukládání a zpracování výzkumných dat. Přitom jsou stále častěji cílem útoků (viz upozornění NÚKIB a zkušenosti z provozu).

Většina vysokých škol využívá alespoň v nějakém rozsahu cloudová prostředí pro práci, spolupráci a komunikaci, zejména balíky MS 365 Google Suite. Vzhledem k významu, který pak tyto služby mají pro provoz univerzit a hodnotě ukládaných a zpracovávaných dat je důležité zajistit dostatečnou úroveň jejich zabezpečení. Cílem jedné z podaktivit projektu CRP-Kyber21 "Zvýšení zabezpečení prostředí O365" bylo připravit sady doporučení pro zvýšení zabezpečení prostředí Microsoft 365. Materiály, které v rámci iniciativy vznikly, jsou dostupné na vyžádání.

Jednotlivé oblasti projektu

Bezpečné kyberprostředí

Oblast se zabývá doporučeními a postupy pro nastavení základní úrovně bezpečnosti kyberprostředí veřejné vysoké školy na základě technik „best practices“ s dopadem do interních předpisů VVŠ.


 

Významné informační systémy v prostředí veřejných vysokých škol

Oblast se zaměřuje na řešení problematiky významných informačních systémů v kontextu českých veřejný vysokých škol, dále také na přípravu vzorových dokumentů a postupů pro naplnění povinností správců a provozovatelů významných informačních systémů podle zákona č. 181/2014 Sb. Činnost probíhá ve spolupráci s NÚKIB.

Ing Jiří Richter

Rektorát ČVUT – odbor pro kvalitu a informační systém

Jugoslávských partyzánů 1580/3 160 00 Praha 6 / B-708
e‑mail:

 

Právo a legislativa

Náplní této oblasti je zejména poskytnutí právní analýzy či jakékoli právní podpory při řešení záležitostí v dalších oblastech projektu.


 

Kyberbezpečnosti v kolaborativním a distančním prostředí

Oblast zkoumá bezpečnostní analýzy nástrojů pro distanční vzdělávání a spolupráci, a doporučení pro jejich bezpečné nasazení a využívání s ohledem na potřeby a procesy univerzitního prostředí.


 

Osvěta a vzdělávání

Oblast se zabývá osvětou uživatelů skrze přípravu vzdělávacích materiálů a metodik orientovaných na vybudování vyššího situačního povědomí uživatelů v oblasti kybernetické bezpečnosti.

Mgr. Tomáš Marek

odborný pracovník – Katedra informačních studií a knihovnictví

e‑mail:

 

Hlavní koordinátor

Odborný garant

Kontaktní formulář






Máte dotazy a nevíte na koho se přesně obrátit? Neváhejte nás kontaktovat skrze tento formulář.

Partneři a zapojené školy

 

Hlavní koordinátor


 

Řešitelé


 

Externí partneři


 

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info