VIC

Kybernetická bezpečnost

Metodika implementace jednotlivých bodů PD 5/2023 Zabezpečení kybernetické bezpečnosti v síti FSv

Dopředu upozorňujeme, že výčet opatření v aktuálním příkazu děkana není v žádném případě konečný. Pokud Vám například některá opatření připadají jako nedostatečná, může tomu tak být. Prostě je třeba někde začít ...

Text níže bude rovněž průběžně aktualizován a doplňován podle Vašich připomínek a poznatků.

Pokyn děkana PD 5/2023 a jeho metodika implementace se týká zaměstnanců a partnerů FSv. Případné dopady na studenty budou specifikovány ve zvláštním dokumentu.

Registrace zařízení, odpovědné osoby

body 2.1, 2.2 a 2.3
Registrace v IS slouží k jednoznačné evidenci síťových zařízení (evidence v Majetku v iFIS je nedostatečná) a osob, odpovědných za zařízení. Ze získaných údajů se jednak síťová zařízení registrují do správného segmentu datové sítě a zejména přes odpovědnou osobu se vytváří komunikační kanál pro řešení problémů nebo incidentů se zařízením.

Zařízení se registrují zadáním tiketu do HelpDesku (projekt FSv_VIC_IT_Problémy a požadavky) a to včetně soukromých zařízení, které se připojují do datové sítě fakulty prostřednictvím pevného (kabelového) připojení. Pokud u fakultního zařízení ještě nemáte přiděleno inventární číslo, je možné do žádosti napsat, že se jedná o nové zařízení, zatím bez IČ. Registrace proběhne a o doplnění IČ budete vyzváni e-mailem.

V tuto chvíli není nutné registrovat zařízení, které do fakultní datové sítě přistupují pouze pomocí bezdrátového připojení.

Přehled zařízení, u kterých jste vedeni jako odpovědná osoba, naleznete po přihlášení na svojí osobní stránce v Portálu FSv. Veškeré změny a nesrovnalosti směřujte výhradně do Helpdesku, u každého požadavku uveďte parametr hostname, který naleznete u každého zařízení ve Vašem seznamu v Portále.

Školení kybernetické bezpečnosti

bod 2.4
Průběh a četnost školení na téma Kybernetická bezpečnost spolu s dalšími informacemi bude doplněn.

Nepodporované operační systémy

bod 3.1
Bod se týká zejména ukončení provozu nepodporovaných operačních systémů jako jsou Windows XP, Windows 7 a Windows 8.1 od firmy Microsoft, stejně tak výrobcem nepodporovaných linuxových distribucí či verzí MAC OS.

Bod může být uplatněn i na ostatní sítová zařízení (tiskárny, IP telefony, NAS, ...), které mají v sobě firmware s bezpečnostní chybou a výrobce již nedodává jeho aktualizace.

Pokud se o Vaše zařízení staráte sami, vydali jsme pro zařízení s OS Windows Metodický pokyn VIC 1/2024 – Doporučené kroky pro správu a servis počítačů. V případě, že si se správou Vašeho zařízení neporadíte, kontaktujte kolegy z HelpDesku, kteří Vám poradí, nebo správu Vašeho zařízení převezmou.

Z tohoto bodu je možné udělit výjimku, podrobnosti naleznete v bodě 3.11.

Nebezpečná zařízení

bod 3.2
Aktuálně NÚKIB vydal varování před zařízeními firem Huawei Technologies Co., Ltd. a ZTE Corporation.

Zařízení těchto firem se nebudou nově pořizovat, stávající mohou dožít, pokud na nich nebude provozována vícefaktorová autentizace (MFA) nebo pracováno s certifikáty. V těchto případech musí být bezodkladně nahrazeny zařízeními jiných značek.

Centrální bezpečnostní řešení FSv

bod 3.3
Jedná se o produkt firmy ESET. Produkt musí být stažen výhradně ze stránky download.cvut.cz a pokud se sám nezaregistruje, je potřeba registraci dořešit prostřednictvím HelpDesku.Je k dispozici i instalační balíček pro MAC OS a Linux.

Produkt musí být instalován i na soukromých zařízeních, které se připojují do pevné datové sítě FSv.

"Dočasné" připojení do sítě FSv

bod 3.4
Provoz tzv. "WG serveru" neboli dočasného připojení do sítě FSv byl ukončen. Pokud chcete ze svého zařízení přistupovat do sítě FSv i nadále, postupujte podle bodu 2.1.

Blokování datového provozu do sítě FSv

bod 3.5
Opatření je realizováno na centrálním fakultním firewallu, nemá nic společného s firewally na koncových stanicích od firmy Eset. Ve výchozím stavu je veškerá příchozí komunikace blokována, pokud chcete tento stav změnit, otevřete prosím tiket v Helpdesku.

Aktuální přehled o úrovni ochrany Vašeho zařízení naleznete na vaší osobní stránce v Portále FSv.

Toto opatření se netýká speciálních zařízení jako servery, NAS a vybrané další. Musí být ale provozovány v souladu s pravidly uvedenými dále v bodech 3.7 a 3.8.

Z tohoto bodu je možné udělit výjimku, podrobnosti naleznete v bodě 3.11.

Virtual Private Network - VPN

bod 3.6
Podrobnosti o nastavení VPN lze najít na Portále FSv - VPN (Virtual Private Network). Připomínáme, že pro ověření ve VPN FSv se nepoužívá Hlavní přístupové heslo ČVUT, ale heslo pro EduRoam, známe i jako Mobility Password.

Pro přístup k zařízením, která jsou registrována v privátních adresních rozsazích sítě FSv je nutné použít výhradně VPN FSv.

Pro osoby mimo ČVUT je nutné zřídit vztah Partner k danému pracovišti, tímto osoba získá možnost nastavit si Mobility heslo, a tím použít fakultní VPN. Pravidla zakládání vztahů typu Partner specifikuje Metodický pokyn tajemníka 1/2024.

Provoz serverů ve správě kateder

bod 3.7
Doporučujeme odpovědným osobám jednotlivých serverů, aby kontaktovali VIC FSv prostřednictvím HelpDesku.

Servery musí být provozovány z vyhrazeného adresního rozsahu, musí mít nakonfigurováno vlastní firewallové řešení a pokud je to možné tak i instalováno centrální bezpečnostní řešení FSv.

Problematika konfigurace centrálního firewallu pro katederní servery je popsána v tomto dokumentu, doporučujeme se s ním seznámit před kontaktováním VIC.

Pokud služby fakultních serverů, které jsou omezeny firewallem využívají osoby bez platného vztahu k ČVUT, musí mít zřízený vztah typu Partner. Pravidla zakládání vztahů typu Partner specifikuje Metodický pokyn tajemníka 1/2024. Do žádosti o vztah je potřeba specifikovat i službu/server, kterého se žádost týká.

EDR software zmiňovaný v příkazu děkana 5/2023 nebude z technických důvodů provozován.

Provoz datových úložišť ve správě kateder

bod 3.8
Doporučujeme odpovědným osobám jednotlivých NAS, aby kontaktovali VIC FSv prostřednictvím HelpDesku. Domluvíme se na přeadresaci zařízení, nastavení výjimek na centrálním firewallu a posoudíme stav vaší NAS.

Výjimky z PD

bod 3.11
Výjimky jsou možné z definovaných odstavců tohoto opatření děkana. O každou výjimku je nutné žádat v HelpDesku, žádost musí podat odpovědná osoba daného zařízení.

Udělení výjimky může být časově omezeno.

Udělení výjimky bude vždy podmíněno nějakým technickým opatřením, na omezení rizika, které plyne z bezpečnostní hrozby, kterou daná výjimka obchází. Nejčastěji to bude omezení přístupu k zařízení z Internetu, a to i za pomoci VPN.