Pro školy a školská zařízení to znamená zvýšení uživatelského pohodlí. Rychlé nahlédnutí do PDF/JPG/GIF a hlavně ZFO příloh bez stahování znamená rychlejší třídění podání a lepší orientaci v doručených zprávách. Srozumitelnější e-mailové notifikace: z předmětu a odesílatele v notifikačního e-mailu snáze poznáte důležitost zprávy a kdo ji má řešit, což snižuje riziko, že něco „propadne“ lhůtami.
Z hlediska bezpečnosti je situace trochu komplikovanější.
Na jedné straně tu máme silnější a jednotnou autentizaci, přihlášení přes NIA/Mobilní klíč zpravidla zajistí vícefaktorové ověření a osobní identitu uživatele, tím pádem lepší dohledatelnost i menší tlak na sdílení přístupových údajů. Méně stahování zmenšuje dopadovou plochu možného útoku: náhledy příloh snižují potřebu ukládat soubory na lokální počítače a tím klesá šance na otevření škodlivého obsahu mimo kontrolované prostředí.
Ale jak už to bývá, každá mince má dvě stránky. Jednotná autentizace přináší dvě možná bezpečnostní rizika:
- Pozor na „jedno přihlášení“: výhoda pohodlí zároveň znamená, že kompromitovaný účet může zpřístupnit více schránek; je nutné důsledně používat vícefaktorové ověření, správu rolí a individuální účty.
- Phishingové napodobeniny notifikací: i přes přehlednější e-maily stále platí zásada: neklikat na odkazy z podezřelých zpráv, raději se přihlásit do datové schránky ručně přes oficiální adresu. (Změna notifikací je nová; doporučení je bezpečnostní praxe.)
Dříve notifikace odkaz neobsahovaly a rozpoznání podvodu tak bylo snazší. Nové klikací odkazy zvyšují záměnu s podvrhy; méně zkušeným uživatelům se hůř rozlišuje legitimní/lživý e-mail. DIA to zdůvodňuje i plánovanou změnou adresy portálu (přechod na gov.cz) a snahou vést uživatele na „správný“ link; e-maily jsou ještě podepsány (S/MIME), ale ověření podpisu nebývá pro laiky samozřejmé.
Dopad na školy (shrnutí)
- Provozní komfort: výrazné zlepšení (méně přihlašování, rychlejší třídění, méně stahování souborů).
- Kyberbezpečnost: celkově neutrální až mírně horší u e-mailových notifikací (vyšší phishingové riziko). Naopak SSO přes NIA/Mobilní klíč je bezpečné, pokud vynutíte silné ověření a správu rolí; riziko je hlavně „větší dopad“ kompromitovaného účtu (útočník získá přístup k více schránkám).
Co bezpečnostní experti doporučují zavést hned (praktický checklist)
- Pravidlo „neklikat z e-mailu“: personál a vedení ať chodí do DS výhradně přes záložku v prohlížeči (mojedatovaschranka.cz / budoucí gov.cz) – ne přes odkaz v e-mailu.
- Záložky/whitelist: IT přednastaví školním počítačům záložky na portál DS a Portál občana; případně bezpečnostní upozornění pro externí e-maily.
- Nastavte povinné přihlášení přes NIA/Mobilní klíč pro všechny uživatele schránky; zakažte sdílené přístupy. Vyžadujte 2FA a používejte osobní identity (ne sdílené účty). Nastavte minimální nutné role pro pověřené osoby a auditujte, komu přístup zůstal po odchodu ze školy.
- Upravte spisový a IT postup: primárně využívat náhledy, stahovat jen dokumenty určené k archivaci/úpravám; ukládat do DMS.
- Školení k notifikacím: kdo co sleduje, jak ověřovat legitimitu e-mailu, jak postupovat při podezření na phishing.
- Role a audit: nastavte přístupová práva (kdo smí číst/odesílat) a pravidelně kontrolujte logy přístupů, protože jedno přihlášení zpřístupňuje více schránek.
- Notifikace do centrální schránky: zvažte, aby notifikace chodily na jednotný servisní e-mail sekretariátu (lepší dohled), nebo je při vyšší zátěži klidně vypněte a spolehněte se na pravidelné kontrolní návyky v portálu. (Pozn.: vypínání/řízení notifikací je standardní volba nastavení uživatele.)
- Krátká osvěta k ověřování e-mailu: ukažte, jak v klientovi zobrazit skutečnou adresu odkazu a kde se zobrazuje pečeť/podpis e-mailu. I tak ale držte bod 1.
Zdroje:
