Strony internetowe szkół pod lupą CERT Polska

Niezabezpieczone usługi, przez które niepowołana osoba może uzyskać dostęp do serwera lub niezaktualizowany system do zarządzania treścią strony – to niektóre błędy popełniane przez administratorów stron szkół i innych placówek oświatowych. CERT Polska przeanalizował ponad 20 tys. stron. Większość z nich to szkoły i przedszkola, ale analizą objęto też placówki takie jak poradnie psychologiczno-pedagogiczne czy ośrodki szkolno-wychowawcze. Przeważnie zbadane instytucje prawidłowo dbają o zabezpieczenia, jednak eksperci znaleźli również poważne uchybienia. Placówki, których one dotyczą, zostały powiadomione i podjęły działania prowadzące do poprawy bezpieczeństwa.

Szkoły i placówki oświatowe mają obowiązek dbać o bezpieczeństwo swoich podopiecznych. Często przekazują im też wiedzę na temat zasad bezpieczeństwa online. Dlatego też same powinny dawać przykład dbałości o bezpieczeństwo cyfrowe. Niezwykle istotne jest to, aby szkoły prawidłowo zabezpieczały swoje zasoby, w tym dane osobowe podlegające ochronie, dane finansowe i organizacyjne oraz komunikację z organami administracyjnymi, z uczniami czy rodzicami. 

Specjaliści z zespołu CERT Polska, działającego w Państwowym Instytucie Badawczym NASK przeanalizowali internetowe wizytówki placówek oświatowych, czyli ich strony internetowe. Wnioski przedstawili w opublikowanym właśnie raporcie <https://www.cert.pl/wp-content/uploads/2020/11/Badanie-stron-oswiatowych.pdf>. Łącznie w trakcie badania zarejestrowano 44 039 poważnych błędów. Liczba przebadanych instytucji gdzie zidentyfikowano przynajmniej jeden błąd poważny to 4 824. Informacja o wykrytych podatnościach wraz z niezbędnymi rekomendacjami została przekazana administratorom. Szkoły, które sygnalizowały taką potrzebę, otrzymały też wsparcie w usunięciu błędów.

 

Nie każda placówka decyduje się na samodzielną rejestrację własnej domeny. Jak podkreślają eksperci CERT Polska, bardzo często korzystają z gotowych rozwiązań przeznaczonych dla szkół, utrzymywanych w obrębie jednego dostawcy. Częstą praktyką jest utrzymywanie stron w ramach dedykowanej platformy dla szkół, grupujących strony pod jedną domeną.

 

W momencie, gdy wszystkie usługi na serwerze są na bieżąco aktualizowane, a strona ma jedynie formę reprezentacyjną, taka scentralizowana forma może przynieść korzyści, ponieważ administratorzy stron w poszczególnych szkołach nie muszą pamiętać np. o koniecznych aktualizacjach – wyjaśnia Kierownik CERT Polska Przemysław Jaroszewski. Z drugiej strony, gdy z tego samego serwera korzysta wielu przypadkowych klientów, a nie każdy z nich jednakowo dba o bezpieczeństwo, włamanie do jednego z nich grozi przejęciem pozostałych stron. Przyjęte przez Instytucje podejście powinno wynikać z analizy potrzeb a także uwzględnienia ryzyk związanych z danym podejściem. 

 

Popularnością wśród autorów szkolnych stron cieszą się gotowe systemy do zarządzania treścią (CMS). Najczęściej spotykane są Wordpress i Joomla. Sprawdzając wykorzystanie tych dwóch najpopularniejszych eksperci zaobserwowali, że niestety wiele placówek nie dba o bieżącą aktualizację tych systemów, co niesie ze sobą ryzyko nieuprawnionej ingerencji w zawartość strony. Aktualizacje są konieczne, ponieważ zawierają poprawki, likwidujące znane luki w zabezpieczeniach. Stare wersje systemu mogą umożliwić osobom postronnym zmianę treści na stronie a nawet umieszczenie na niej złośliwego oprogramowania, które będzie infekowało komputery osób, odwiedzających stronę - komentuje Przemysław Jaroszewski.

 

Zagadnienia podlegające sprawdzeniu przez ekspertów to przede wszystkim: dostępność i uzasadnienie usług dostępnych na portach, dostępność i poprawność certyfikatów TLS, system zarządzania treścią strony a także jego wersja, wrażliwe pliki pozostawione na serwerze, poprawność konfiguracji serwerów pocztowych a także DNS. Pozyskane wyniki pokazały, że część z odnalezionych problemów mogła skutkować poważnymi incydentami bezpieczeństwa, takimi jak wyciek danych uczniów lub utrata dostępności do zasobów. Eksperci podkreślili też konieczność aktualizowania danych abonenta w rejestrze domen. 

 

CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty (z ang. Computer Emergency Response Team). Działa od 1996 roku. Zespół ekspertów CERT Polska jest kluczowy w wypełnianiu przez NASK PIB zadań CSIRT NASK w ramach Krajowego Systemu Cyberbezpieczeństwa. CSIRT NASK jest odpowiedzialny m.in. za przyjmowanie zgłoszeń incydentów od dostawców usług cyfrowych, większość operatorów usług kluczowych, a także od jednostek samorządu terytorialnego, przedsiębiorców i osób fizycznych. 

 

CERT Polska prowadzi wszechstronną działalność operacyjną, doskonali metody monitorowania sieci w poszukiwaniu groźnych aktywności i usług podatnych na atak a wiedzą dzieli się ze wszystkimi zainteresowanymi administratorami sieci w kraju. 

 

Badanie bezpieczeństwa stron internetowych placówek oświatowych zostało wykonane w ramach obowiązków zespołu CSIRT NASK, wynikających z ustawy o Krajowym Systemie Cyberbezpieczeństwa i częściowo sfinansowane z dotacji podmiotowej z części budżetu państwa, której dysponentem jest minister właściwy do spraw informatyzacji.