Výstupy 

Zvýšení zabezpečení prostředí O365

Informační technologie jsou kritické pro zajištění fungování vysokých škol, od administrativy, přes vedení a řízení výuky až po ukládání a zpracování výzkumných dat. Přitom jsou stále častěji cílem útoků (viz upozornění NÚKIB a zkušenosti z provozu).

Většina vysokých škol využívá alespoň v nějakém rozsahu cloudová prostředí pro práci, spolupráci a komunikaci, zejména balíky MS 365 a Google Suite. Vzhledem k významu, který pak tyto služby mají pro provoz univerzit a hodnotě ukládaných a zpracovávaných dat je důležité zajistit dostatečnou úroveň jejich zabezpečení. Cílem jedné z podaktivit projektu CRP-Kyber21 "Zvýšení zabezpečení prostředí O365" bylo připravit sady doporučení pro zvýšení zabezpečení prostředí Microsoft 365. Materiály, které v rámci iniciativy vznikly, jsou dostupné na vyžádání.

Vzdělávací materiály

Zde budeme sdílet připravené vzdělávací materiály k implementaci. Najdete zde postupně jak zdrojové soubory k jednotlivým modulům (textové opory, soubory s grafikou a ilustracemi k využití při implementaci), tak moduly vysázené a připravené pro přímý import do LMS Moodle, poznámky k implementaci a další materiály k nastavení vzdělávání zaměstnanců v oblasti kyberbezpečnosti.

Mgr. Tomáš Marek

odborný pracovník – Katedra informačních studií a knihovnictví

e‑mail:

Kurzy kyberbezpečnosti

Celý kurz kyberbezpečnosti (MBZ)
Soubor pro dávkovou implementaci všech pěti modulů do Moodle včetně grafiky a auto-testů.
.mbz 38 MB
How-to k implementaci MBZ do Moodle
Textový soubor s poznámkami k dávkové implementaci modulů do systému Moodle pomocí importu MBZ souboru.
.txt 1 kB
Základní školení kyberbezpečnosti (MBZ)
Soubor pro dávkovou implementaci základního školení kyberbezpečnosti ve formě BOZP do Moodle včetně grafiky a závěrečného auto-testu.
.mbz 1 MB
Celý kurz kyberbezpečnosti (MBZ) s ENG překladem
Soubor pro dávkovou implementaci všech pěti modulů do Moodle včetně grafiky a auto-testů, doplněný o verzi v angličtině.
.mbz 41 MB
Základní školení kyberbezpečnosti (MBZ) s ENG překladem
Soubor pro dávkovou implementaci základního školení kyberbezpečnosti ve formě BOZP do Moodle včetně grafiky a závěrečného auto-testu, doplněný o verzi v angličtině.
.mbz 1 MB

Další materiály a metodiky

Bezpečnost lidských zdrojů: interpretace a metodická inspirace
Interpretace vyhlášky o kybernetické bezpečnosti z hlediska bezpečnosti lidských zdrojů doplněná o metodickou inspiraci pro nastavení plánů vzdělávání a rozvoje kyberbezpečnostního povědomí na VVŠ.
.pdf 700 kB

Jednotlivé moduly

Modul 1: Proč kyberbezpečnost?

Úvodní modul reaguje na problematický postoj, který uživatelé k tématu kyberbezpečnosti často zaujímají: proč by mě něco takového mělo vůbec zajímat? Po této otázce většinou slýcháme argumenty typu "mě se přece nic takového nemůže stát" nebo "proč by se nějaký útočník měl zajímat zrovna o mě, co by z toho měl?".

Modul jsme proto pojali metodou storytellingu. Představuje významné typy útoků, které jsme v rámci předvýzkumů identifikovali jako problematické v prostředí VVŠ, a přibližuje je skrze příběhy zaměstnanců a studentů univerzity. Zvolené persony následují výstupy rešerše zásadních cílových skupin. Příběhy jsou provázány s následnými moduly, které pak témata pojímají více prakticky a do hloubky.

Cíle a smysl modulu

  • Adresovat problematické prekoncepty, se kterými uživatelé přistupují k řešení své kyberbezpečnosti.
  • Přiblížit širokou škálu možných podob útoků a jejich dopadů.
  • Nenásilnou formou dovést k pochopení hrozeb.
  • Vhodným výběrem person ukázat, že se kyberbezpečnost týká všech osob na VVŠ.
  • Vyhnout se kyberbezpečnostnímu nihilismu a u příběhů ukázat, že mají řešení/prevenci.

Jak implementovat?

Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.

Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.

U příběhu studijní referentky Terezy je využit tag <school-specific>, v tomto případě jde o odkaz na institucionální návod ke zprovoznění VPN. Doplnit je třeba i infobox v závěru s popisem hlášení kyberbezpečnostního incidentu.

Changelog

2021-10-12 - Finální verze k implementaci (text)
2021-09-12_a - Alfa verze k zpětné vazbě

Materiály ke stažení
modul-1_2021-10-12
Finální text modulu (bez grafiky).
.docx 7 MB
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat.
.zip 60 MB

Modul 2: Bezpečné heslo

Druhý modul se zaměřuje na hesla jako jedno z tradičních a stále zásadních témat kyberbezpečnosti. Modul vede k využívání frázových hesel a předkládaná doporučení jsou harmonizována s vyhláškou č. 82/2018 Sb.. Představena je problematika lámání hesel tak, aby byl argument využívání unikátních frázových hesel lépe podpořen.

Prostor je věnován metodě 2FA, kterou považujeme za významný krok k posílení kyberbezpečnosti a bude do systémů VVŠ dle vyhlášky také implementována - materiál proto připravuje čtenáře na její využívání a vysvětluje význam 2FA. Závěr modulu patří správcům hesel a především pak zobecnění pravidel a doporučení pro vlastní tvorbu hesel.

Cíle a smysl modulu

  • Představit koncept frázových hesel jako preferované moderní varianty.
  • Vést k využívání metody 2FA, kdekoliv je to možné.
  • Upřesnit některé přežité koncepty, které o heslech uživatelé mají.
  • Předat výhody využívání správců hesel.

Jak implementovat?

Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.

Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.

Changelog

2021-10-12 - Finální verze k implementaci (text)
2021-09-12_a - Alfa verze k zpětné vazbě

Materiály ke stažení
modul-2_2021-10-12
Finální text modulu (bez grafiky).
.docx 82 kB
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat.
.zip 60 MB

Modul 3: Bezpečná komunikace

Modul především cílí k pochopení skutečnosti, že odesílatel zprávy nemusí být ten, kdo se jako odesílatel podepsal. V rámci modulu se uživatelé seznámí s technikou podvržení odesílatele a mohou si sami vyzkoušet, jak jednoduchá tato strategie je. Prostor dostává i spam jako nástroj k šíření malwaru. Poslední část modulu se věnuje přístupnému vysvětlení šifrované komunikaci a E2E šifrování.

Cílem při implementaci by mělo být provázání modulu s kyberbezpečnostními procesy na univerzitě. Modul je připraven vést uživatele k tomu, aby jakákoliv podezření v této oblasti dostatečně a efektivně hlásili - a především aby přednostně využívali komunikační platformy a řešení nabízené a spravované přímo institucí.

Cíle a smysl modulu

  • Budovat obezřetnější přístup k důvěryhodnosti elektronické komunikace.
  • Seznámit s běžnými technikami podvržení odesílatele.
  • Motivovat k využívání kyberbezpečnostních procesů, tj. např. nahlašování.
  • Vést k využívání komunikačních platforem a řešení přímo nabízených univerzitou.

Jak implementovat?

Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.

Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.

Changelog

2021-10-12 - Finální verze k implementaci (text)
2021-09-12_a - Alfa verze k zpětné vazbě

Materiály ke stažení
modul-3_2021-10-12
Finální text modulu (bez grafiky).
.docx 9 MB
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat.
.zip 60 MB

Modul 4: Sociální inženýrství

Čtvrtý modul reaguje na rostoucí hrozby, s kterými se zaměstnanci univerzity i studenti mohou setkat v oblasti sociálního inženýrství. Škála útoků je zde velmi široká, modul je proto postaven na storytellingu a seznamování se s metodami, které byly identifikovány jako nejpalčivější. Na výstupu jsou pak zobecněna pravidla, která mohou pomoci se těmto typům útoků lépe bránit.

Základním cílem modulu je vést čtenáře k uvědomí, že kyberbezpečnostní útoky nejsou jen viry a podvržené e-maily, ale že mohou využívat našich typicky lidských vlastností/slabostí a mohou probíhat i ve fyzickém prostředí.

Cíle a smysl modulu

  • Využít storytelling k ilustraci široké škály podob socinž útoků.
  • Vést k uvědomění, že útoky mohou probíhat i ve fyzickém světě.
  • Poskytnout obecnější rady, jak se podobným útokům bránit.

Jak implementovat?

Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.

Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.

Changelog

2021-10-12 - Finální verze k implementaci (text)
2021-09-12_a - Alfa verze k zpětné vazbě

Materiály ke stažení
modul-4_2021-10-12
Finální text modulu (bez grafiky).
.docx 54 kB
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat.
.zip 60 MB

Modul 5: Ochrana zařízení

Závěrečný modul se zaměřuje na bezpečnou práci s počítači a chytrými telefony. V úvodu jsou předávány obecné zásady práce se zařízeními - zásady, které většinou dobře známe, přesto se jimi mnohdy neřídíme: zamykání zařízení, aktualizace SW i systému, problematika využívání soukromých zařízení pro pracovní účely atp. Jedním z obecných pravidel je i šifrování, které pak tvoří další významnou část modulu. V návaznosti na toto téma je modul uzavřen tematizací stále zásadnější hrozby: ransomwaru.

Pátý modul otevírá témata, které mohou být adresována v budoucnu: zabezpečení jednotlivých SW řešení (Windows, Android) či bezpečnost práce z domu (zabezpečení domácí sítě, VPN atp.).

Cíle a smysl modulu

  • Upevnit povědomí o obecných zásadách bezpečné práce se zařízením.
  • Motivovat k jejich dodržování i pomocí storytellingu.
  • Vysvětlit přístupně téma šifrování a navázat ho na předchozí moduly.
  • Ilustrovat reálnou hrozbu ransomwaru a motivovat skrze ní k zálohování dat.

Jak implementovat?

Tento modul bude zpracován i pro přímou implementaci do Moodle. Pokud využíváte jiné e-learningové prostředí, můžete využít tyto soubory s textovými podklady, grafikou apod.

Některé části textu v modulech jsou označeny tagem <school-specific>, který označuje věty a místa, která je v textu třeba přepracovat pro každou univerzitu specificky - např. místo s kontaktem na kyberbezpečnostní tým atp.

Changelog

2021-10-12 - Finální verze k implementaci (text)
2021-09-12_a - Alfa verze k zpětné vazbě

Materiály ke stažení
modul-5_2021-10-12
Finální text modulu (bez grafiky).
.docx 52 kB
graficke-podklady
Jednotný soubor grafických podkladů ke všem modulům spolu s manuálem, jak grafické prvky využívat.
.zip 60 MB

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info