Co dělat, když školní síť napadne ransomware nebo DDoS

Ransomware, DDoS i další kyberútoky dnes ohrožují každou školu – a většina z nich přitom nemá vlastní IT experty. Článek nabízí srozumitelný návod, jak útok včas rozpoznat, co udělat v prvních minutách, jak obnovit provoz a jak se příště chránit – od praktického školení učitelů až po incident-response plán a penetrační testy.

1. Proč se to může stát

Školní síť je podobná rušnému školnímu dvoru – každý den se v ní objeví desítky zařízení, od žákovských tabletů po chytré tabule. Mnohé počítače navíc běží na starším softwaru, který už nedostává bezpečnostní záplaty. Útočníkům proto stačí najít jedinou nezabezpečenou křižovatku; pak mohou data zašifrovat a žádat výkupné (ransomware) nebo síť zahltit tak, že přestane odpovídat (DDoS).

2. První kroky, když útok zjistíte

Jakmile si všimnete, že se síť chová podezřele, je klíčové zachovat klid a postupovat podle několika jasných zásad:

Izolujte postižené zařízení – vypojte kabel, vypněte Wi-Fi nebo přepněte příslušnou VLAN.
Nemažte žádná data ani logy; budou důležité při pozdější forenzní analýze.
Informujte vedení školy a rozhodněte, jak budete komunikovat s kolegy, žáky a rodiči.

3. Co přesně se může dít a jak na to

3.1 Ransomware – když jsou data rukojmím

Ransomware je druhem malware (počítačových virů), který zašifruje data v počítačích a za jejich obnovení požaduje finance ("výkupné"). I po zaplacení však ale neexistuje jistota, že budou data obnovena a pachatel vše vrátí do výchozího stavu.

Výkupné neplaťte – není zaručeno, že klíč skutečně dostanete.
Spolehněte se na offline zálohy a po obnově změňte všechna důležitá hesla.
Teprve až si odborník ověří, že systém je čistý, připojte síť zpět.

3.2 DDoS – přetížená silnice

DDoS se projevuje výrazným zpomalením fungování sítě, síťová zařízení jsou zahlcena a postupně přestanou fungovat a vyřizovat požadavky (např. pokud je ve školní síti server s www stránkami, nepůjdou načíst).

Kontaktujte poskytovatele internetu, který dokáže škodlivý provoz odfiltrovat.
Pokud to jde, dočasně vypněte veřejné služby a ponechte interní systémy pro výuku.

3.3 Další útoky – phishing a krádež účtů

Zablokujte kompromitovaný účet.
Zkontrolujte přihlášení z neobvyklých adres a informujte kolegy, aby na podobné e-maily nereagovali.

4. Koho oslovit a proč

Bezpečnostní specialisté nejsou běžnou součástí sborovny, proto je důležité vědět, kam sáhnout pro pomoc:

Poskytovatel internetu – asistuje při DDoS filtraci.
NÚKIB / GovCERT.CZ – metodická podpora a forenzní nástroje.
Policie ČR – vstupuje do hry při podezření na trestný čin.
ÚOOÚ – nutné hlášení do 72 hodin, pokud unikla osobní data.
Pojišťovna – řešení nákladů, pokud máte kybernetické pojištění. Nabízejí jej např. Allianz, Kooperativa, Generali Česká pojišťovna nebo ČSOB Pojišťovna. Pojistka typicky kryje obnovu dat, práci externích IT odborníků, právní služby, komunikační podporu a možné sankce.

5. Jak mluvit s lidmi ve škole

Otevřeně vysvětlete, co se děje, které služby nefungují a kdy očekáváte obnovení.
Připravte krátké FAQ a sdílejte pouze ověřené informace.

6. Obnova provozu krok za krokem

Forenzní analýza – zjistí, kudy útočník prošel.
Obnova klíčových služeb – nejdřív matrika a účetnictví.
Hardening – záplaty, dvoufaktor, segmentace sítě.
Lessons learned – co selhalo a jak tomu příště předejít.

7. Prevence – více než jen seznam pojmů

Řada škol testuje pouze znalost definic, což je klamná jistota a zcela neefektivní a nefunkční způsob trénování zaměstnanců. Ti se učí zbytečné pojmy, např. CIA triáda, barevná klasifikace informací, definice aktiv v ISO normách nebo tzv. zásady čistého stolu. A to je špatně a bezpečnost v dané instituci skutečně tyto znalosti postavané na zapamatování nezajistí. Skutečné školení musí stavět na praktických scénářích (falešná faktura, simulovaný phishing).

Pravidelná výuka pedagogického sboru formou workshopu 2× ročně je efektivnější než jednorázový test. Pokud chybí IT specialista, pomůže online kurz NÚKIBu nebo krajská IT centra.

7.1 Co je penetrační test a proč se ho nebát

Penetrační test (pentest) je etický „útok“, kdy externí odborník prověří, jak snadno lze prolomit školní síť. Výstupem je zpráva se slabinami a doporučeními. Provádí se zhruba jednou ročně.

7.2 Co je incident-response plán a jak vypadá

Incident-response plán je stručný dokument (1–2 strany), který popisuje:

kontakty na klíčové osoby (ředitel, ICT koordinátor, ISP, NÚKIB),
postup izolace napadeného systému,
způsob komunikace s učiteli, žáky a rodiči,
umístění záloh,
harmonogram revizí plánu.

Vytištěný plán by měl viset na viditelném místě ve sborovně podobně jako evakuační řád.

7.3 Školní Wi-Fi: společné, ale bezpečné

Oddělte sítě (SSID) pro učitele, žáky a hosty.
Používejte WPA2-Enterprise nebo WPA3 s ověřením 802.1X.
Rotujte hesla alespoň čtyřikrát ročně.
Nastavte client isolation, aby se zařízení navzájem neviděla.
Filtrujte obsah a blokujte škodlivé domény (DNS filtr).
Monitorujte logy access pointů a neobvyklé špičky provozu.

8. Shrnutí

I bez armády IT expertů může škola zvládnout kybernetickou krizi, když ví, kam sáhnout, jak rychle izolovat problém a jak se z něj poučit. Klíčem je vzdělaný pedagogický sbor, praktická školení a jasný incident-response plán. Pravidelné zálohy a alespoň jednou ročně provedený penetrační test minimalizují škody.