V prosinci minulého roku se Vysoká škola ekonomická (VŠE) stala terčem kybernetického útoku. Řada studentů Fakulty mezinárodních vztahů, kteří měli zapsány předměty s identem 2SM, obdržela oznámení o odebrání z termínu zkoušky, státní závěrečné zkoušky nebo o zanesení výsledné známky.
Na Facebooku se pár dní poté mezi studenty rozšířila zpráva, že útok zasáhl i Fakultu financí a účetnictví. Obavy se však nakonec nepotvrdily. Vedení VŠE záhy rozhodlo o omezení přihlašování do Integrovaného studijního informačního systému (InSIS) výhradně ze školní sítě. Poté podalo trestní oznámení na neznámého pachatele u obvodního státního zastupitelství, které následně postoupilo podání policii. Podrobnosti o útoku nejsou zatím k dispozici, jelikož vyšetřování ještě nebylo oficiálně ukončeno.
Podle ředitele Výpočetního centra VŠE Karla Nenadála nebyla přes veškeré prověrky shledána žádná bezpečnostní díra v informačním systému nebo v síti školy. Nedošlo ani k prolomení žádného bezpečnostního opatření. „V kostce se jednalo o to, že neznámý pachatel využitím cizích přístupových údajů konal jménem jiných uživatelů. Není důvod se domnívat, že by došlo k pochybení některého z pracovníků VŠE,” vysvětluje. “Je pravděpodobné, že údaje byly získány velmi sofistikovanou formou, jako například phishing (získávání přístupových údajů uživatelů prostřednictvím přesné kopie důvěryhodné stránky nebo emailu požadujícího zadání hesla, pozn. red.), jak tomu bylo při minulých incidentech, které byly odhaleny,“ dodává Nenadál. V minulosti se totiž několikrát pokoušeli neznámí útočníci získávat přihlašovací údaje studentů přes vytvořenou falešnou síť eduroam.
Úroveň ochrany informačního systému školy pořád roste
Zcizení a následné zneužití hesel hrozí všem systémům, které pro autentizaci používají pouze hesla. To se týká i studijního systému VŠE. „S vědomím toho, jakož i faktu rostoucí agresivity v kybernetickém prostoru neustále zlepšujeme bezpečnost informačních systémů,“ komentuje ředitel Výpočetního centra. Výrazně se podle něj zlepšila bezpečnost uložených hesel, nastavila se ochrana proti útokům Man in the Middle na šifrovaném spojení a zpřísnily se požadavky na vytváření hesel, což výrazně snižuje úspěšnost jejich případného hádání. “Intenzivně spolupracujeme s dodavateli na zlepšení ochrany,” uvádí Nenadál.
Kromě vícestupňového ověřování, které bývá u bankovních operací pro uživatele s vyššími oprávněními, uvažuje škola také o formě posílání informačních zpráv, pokud se uživatel přihlásí z nového či neznámého zařízení, z neočekávané sítě, IP adresy nebo geografické lokality. Aplikace by se také mohla rozšířit o přehledný výpis posledních přihlášení a jejich parametrů pro každého uživatele. Kromě těchto technických opatření však škola nepodceňuje ani informovanost uživatelů o hrozících kybernetických rizicích a způsobech, jak jim předcházet nebo je minimalizovat.
Několik rad z webových stránek Výpočetního centra:
1. Přihlašování k webovým službám školy se vždy ujistěte, jestli je v adresním řádku prohlížeče napsána správná adresa (například www.vse.cz), jestli stránka používá šifrovaný protokol HTTPS a prohlížeč nezobrazuje varování o neplatnosti certifikátu. Pokud vás prohlížeč upozorní na neplatnost či nedůvěryhodnost certifikátu, stránku neotvírejte a nezadávejte žádná hesla nebo osobní údaje.
2. Pokud vám přijde do mailové schránky správa podepsaná jako „webmaster vse“, která po vás bude vyžadovat přihlašovací údaje do InSISu, nic nevyplňujte. Škola takové maily nikdy nerozesílá. Pokud vás správa vyzve k otevření formuláře mimo domény vse.cz nebo s podezřelým designem, opět se jedná o podvrh.
3. Pořád mějte aktuální verzi operačního systému a antiviru.
