Ransomware, DDoS i další kyberútoky dnes ohrožují každou školu – a většina z nich přitom nemá vlastní IT experty. Článek nabízí srozumitelný návod, jak útok včas rozpoznat, co udělat v prvních minutách, jak obnovit provoz a jak se příště chránit – od praktického školení učitelů až po incident-response plán a penetrační testy.

1. Proč se to může stát

Školní síť je podobná rušnému školnímu dvoru – každý den se v ní objeví desítky zařízení, od žákovských tabletů po chytré tabule. Mnohé počítače navíc běží na starším softwaru, který už nedostává bezpečnostní záplaty. Útočníkům proto stačí najít jedinou nezabezpečenou křižovatku; pak mohou data zašifrovat a žádat výkupné (ransomware) nebo síť zahltit tak, že přestane odpovídat (DDoS).

2. První kroky, když útok zjistíte

Jakmile si všimnete, že se síť chová podezřele, je klíčové zachovat klid a postupovat podle několika jasných zásad:

• Izolujte postižené zařízení – vypojte kabel, vypněte Wi-Fi nebo přepněte příslušnou VLAN.
• Nemažte žádná data ani logy; budou důležité při pozdější forenzní analýze.
• Informujte vedení školy a rozhodněte, jak budete komunikovat s kolegy, žáky a rodiči.

3. Co přesně se může dít a jak na to

3.1 Ransomware – když jsou data rukojmím

Ransomware je druhem malware (počítačových virů), který zašifruje data v počítačích a za jejich obnovení požaduje finance ("výkupné"). I po zaplacení však ale neexistuje jistota, že budou data obnovena a pachatel vše vrátí do výchozího stavu.

• Výkupné neplaťte – není zaručeno, že klíč skutečně dostanete.
• Spolehněte se na offline zálohy a po obnově změňte všechna důležitá hesla.
• Teprve až si odborník ověří, že systém je čistý, připojte síť zpět.

3.2 DDoS – přetížená silnice

DDoS se projevuje výrazným zpomalením fungování sítě, síťová zařízení jsou zahlcena a postupně přestanou fungovat a vyřizovat požadavky (např. pokud je ve školní síti server s www stránkami, nepůjdou načíst).

• Kontaktujte poskytovatele internetu, který dokáže škodlivý provoz odfiltrovat.
• Pokud to jde, dočasně vypněte veřejné služby a ponechte interní systémy pro výuku.

3.3 Další útoky – phishing a krádež účtů

• Zablokujte kompromitovaný účet.
• Zkontrolujte přihlášení z neobvyklých adres a informujte kolegy, aby na podobné e-maily nereagovali.

4. Koho oslovit a proč

Bezpečnostní specialisté nejsou běžnou součástí sborovny, proto je důležité vědět, kam sáhnout pro pomoc:

• Poskytovatel internetu – asistuje při DDoS filtraci.
• NÚKIB / GovCERT.CZ – metodická podpora a forenzní nástroje.
• Policie ČR – vstupuje do hry při podezření na trestný čin.
• ÚOOÚ – nutné hlášení do 72 hodin, pokud unikla osobní data.
• Pojišťovna – řešení nákladů, pokud máte kybernetické pojištění. Nabízejí jej např. Allianz, Kooperativa, Generali Česká pojišťovna nebo ČSOB Pojišťovna. Pojistka typicky kryje obnovu dat, práci externích IT odborníků, právní služby, komunikační podporu a možné sankce.

5. Jak mluvit s lidmi ve škole

• Otevřeně vysvětlete, co se děje, které služby nefungují a kdy očekáváte obnovení.
• Připravte krátké FAQ a sdílejte pouze ověřené informace.

6. Obnova provozu krok za krokem

1. Forenzní analýza – zjistí, kudy útočník prošel.
2. Obnova klíčových služeb – nejdřív matrika a účetnictví.
3. Hardening – záplaty, dvoufaktor, segmentace sítě.
4. Lessons learned – co selhalo a jak tomu příště předejít.

7. Prevence – více než jen seznam pojmů

Řada škol testuje pouze znalost definic, což je klamná jistota a zcela neefektivní a nefunkční způsob trénování zaměstnanců. Ti se učí zbytečné pojmy, např. CIA triáda, barevná klasifikace informací, definice aktiv v ISO normách nebo tzv. zásady čistého stolu. A to je špatně a bezpečnost v dané instituci skutečně tyto znalosti postavané na zapamatování nezajistí. Skutečné školení musí stavět na praktických scénářích (falešná faktura, simulovaný phishing).

Pravidelná výuka pedagogického sboru formou workshopu 2× ročně je efektivnější než jednorázový test. Pokud chybí IT specialista, pomůže online kurz NÚKIBu nebo krajská IT centra.

7.1 Co je penetrační test a proč se ho nebát

Penetrační test (pentest) je etický „útok“, kdy externí odborník prověří, jak snadno lze prolomit školní síť. Výstupem je zpráva se slabinami a doporučeními. Provádí se zhruba jednou ročně.

7.2 Co je incident-response plán a jak vypadá

Incident-response plán je stručný dokument (1–2 strany), který popisuje:

• kontakty na klíčové osoby (ředitel, ICT koordinátor, ISP, NÚKIB),
• postup izolace napadeného systému,
• způsob komunikace s učiteli, žáky a rodiči,
• umístění záloh,
• harmonogram revizí plánu.

Vytištěný plán by měl viset na viditelném místě ve sborovně podobně jako evakuační řád.

7.3 Školní Wi-Fi: společné, ale bezpečné

• Oddělte sítě (SSID) pro učitele, žáky a hosty.
• Používejte WPA2-Enterprise nebo WPA3 s ověřením 802.1X.
• Rotujte hesla alespoň čtyřikrát ročně.
• Nastavte client isolation, aby se zařízení navzájem neviděla.
• Filtrujte obsah a blokujte škodlivé domény (DNS filtr).
• Monitorujte logy access pointů a neobvyklé špičky provozu.

8. Shrnutí

I bez armády IT expertů může škola zvládnout kybernetickou krizi, když ví, kam sáhnout, jak rychle izolovat problém a jak se z něj poučit. Klíčem je vzdělaný pedagogický sbor, praktická školení a jasný incident-response plán. Pravidelné zálohy a alespoň jednou ročně provedený penetrační test minimalizují škody.

9. Doporučené zdroje

• NÚKIB – Národní úřad pro kybernetickou a informační bezpečnost
• GovCERT.cz – Gestor řešení kybernetických incidentů v ČR
• ENISA – Good Practices & Guidelines pro vzdělávání
• CISA – K-12 Cybersecurity Resources
• Microsoft Education – Security & Privacy Guides

Redakce E-Bezpečí
s využitím AI