fb
IT Systems 3/2026 Veřejný sektor a zdravotnictví IT Security 21. 4. 2026 12:00

Audit IT – klíč k vyšší kybernetické bezpečnosti českých škol

Digitalizace českého školství v posledních letech výrazně pokročila: školy mají modernější techniku, rozšiřují bezdrátové sítě a využívají online platformy pro výuku i administrativu. Tento posun však přináší i novou zodpovědnost – zajistit, aby digitální prostředí školy bylo bezpečné, spolehlivé a chránilo data žáků i zaměstnanců. Mohlo by se zdát, že digitální svět nabízí kybernetickým útočníkům zajímavější cíle, než jsou školy. Realita je ale taková, že vzdělávací instituce čelí digitálním hrozbám čím dál častěji. Proč tomu tak je a co s tím? Jak zjistíte, zda je vaše školní IT bezpečné? Prvním krokem k nalezení odpovědí je audit IT.

Proč jsou školy v hledáčku útočníků

Školy disponují velkým množstvím osobních údajů zaměstnanců, žáků i jejich rodičů. V systémech jsou uložena rodná čísla, adresy, zdravotní omezení, studijní výsledky. Tato hodnotná data mohou být v dnešní době jednoduše zneužita, minimálně k vymáhání výkupného. Nakládání s údaji o dětech a mladistvých vyžaduje zvláštní odpovědnost, protože jejich ochrana má značný právní i společenský dopad. To je jeden z důvodů, proč bývají školy ochotnější na výkupné přistoupit. Kromě toho si nemohou dovolit dlouhodobější vyřazení provozu. Ochrana těchto dat by tedy měla být prioritou, ale často tomu tak není, a to hned z několika důvodů:

1. Finance

Kvůli absenci legislativního pravidla pro podíl rozpočtu na ICT je výše investic napříč jednotlivými školami velmi rozdílná. Často se investuje zejména do hardwaru, ale méně už do dlouhodobé správy, aktualizací, softwaru, bezpečnosti a vzdělávání učitelů. To pak dlouhodobou hodnotu těchto investic oslabuje. Základní opatření (firewally, zabezpečení sítí, správa, aktualizace, ochrana dat) by měla být standardem – reálná implementace ale může být náročná, pokud škola nemá dost prostředků nebo správce IT. Investice do bezpečnosti a udržitelné infrastruktury tak bývají výrazně limitované a mnohé školy si je nemohou dovolit. 

2. Priority

Nedostatek kapacit a času brání školám věnovat se aktivitám mimo jejich primární vzdělávací roli. IT problémy tak řeší převážně až ve chvíli, kdy nastanou, bez dlouhodobé koncepce, ucelené strategie a bez odpovídajících nástrojů k hodnocení kvality externích služeb. Často je tak ICT na školách z kapacitních důvodů odsunuto na druhou kolej.

3. Kompetentnost 

Učitelé jsou připravováni především na pedagogickou práci, nikoli na roli IT specialistů, a proto nelze očekávat jejich hlubší orientaci v oblasti IT. Málokterá škola si může dovolit interní IT tým nebo vlastního IT správce. Vedení škol tak spoléhá zejména na externí dodavatele, jejichž práci často nedokáže odborně posoudit. Zároveň často chybí povědomí o rizicích a právních povinnostech při zpracování osobních údajů, zejména v souvislosti s GDPR a ochranou dat, stejně jako porozumění tomu, proč je kybernetická a datová bezpečnost klíčová pro bezproblémový chod školy. 

4. Správa IT

Jak už bylo řečeno, ve většině škol není správa IT systematickou a řízenou oblastí, ale spíše vedlejší agendou, která je řešena nahodile podle aktuálních potřeb. Infrastruktura bývá roztříštěná a mnohdy založená na historicky vzniklých improvizacích, bez jednotné koncepce správy i metodického vedení. Na první pohled by se mohlo zdát, že řešením těchto problémů je externí IT podpora, avšak ani ta nebývá skutečnou záchranou. Externí dodavatelé jsou často vybíráni bez jasných kritérií a bez schopnosti školy vyhodnotit jejich odbornost a kvalitu, což může vést k závislosti na neudržitelných řešeních.
 

5. Kultura bezpečnosti

Kvalitní a bezpečné zajištění informačních technologií nestojí pouze na technických opatřeních, ale především na celkové kultuře bezpečnosti. Ta se ve školním prostředí často teprve formuje. Povědomí o zásadách kybernetické hygieny a bezpečnostní návyky – od správného nakládání s hesly až po ochranu osobních údajů – se zatím nerozvíjejí systematicky a často chybí spolupráce školy, žáků a rodičů. Bez aktivního zapojení všech stran napříč celou školní komunitou zůstává digitální bezpečnost spíše ambicí na papíře než každodenní realitou. 
Výsledkem je prostředí, které zůstává zranitelné a neodpovídá současným bezpečnostním standardům. To činí školy atraktivním cílem pro útočníky, kteří dobře vědí, že zde často najdou snadno zneužitelná místa a cenná data, přičemž pravděpodobnost včasné detekce a účinné obrany je velmi nízká.

Cíle kyberútoků – systémy, data, zálohy

Při útocích na školy se kybernetičtí útočníci zaměřují především na vyřazení klíčových služeb, mezi které patří například webové služby a informační systémy přístupné přes internet. Dále se snaží získat citlivá data a narušit bezpečnost záloh, což může způsobit nevratné ztráty. Často také útočí přes uživatelské účty s vyššími oprávněními, čímž ohrožují chod celé infrastruktury. 

Cesty k ochraně školního kyberprostoru

Vodítkem k dosažení bezpečnější IT infrastruktury může být  směrnice NIS2 v režimu nižších povinností. Ačkoli není pro školy povinná, nabízí osvědčené principy správné praxe. Další z možností, jak lze hrozbám v kyberprostoru předcházet, jsou penetrační testy, které simulují reálné útoky a odhalují zranitelná místa v systémech a sítích. I když jsou užitečným nástrojem, identifikují jen technické slabiny a nemusí vždy odhalit všechna bezpečnostní rizika. 
Komplexnějším řešením je provedení auditu IT infrastruktury, který poskytuje širší pohled na aktuální stav celého školního IT. Kromě identifikace slabých míst rovnou navrhne nápravná opatření, navede ke správnému nastavení pravidel a ukáže správnou cestu, jak dosáhnout větší bezpečnosti. Audit IT je nástroj, který pomáhá školám optimalizovat IT procesy a minimalizovat rizika spojená s jejich provozem.

Přínosy externího auditu

Ačkoli je možné provést IT audit interně, pro školy je výhodnější zvolit nezávislý audit realizovaný externím auditorem. Ten zajišťuje objektivní a nezaujaté hodnocení, využívá širší odborné zkušenosti nezbytné pro analýzu složitějších technických aspektů a umožňuje lépe odhalit rizika i slabá místa, která by mohla být interním týmem přehlédnuta. Externí audity zároveň přinášejí vyšší transparentnost a konkrétní návrhy zlepšení v souladu s aktuálními trendy a osvědčenou praxí v IT.
Audit IT se zaměřuje zejména na:
  • Síťovou infrastrukturu (architektura, zařízení, segmentace, VLAN),
  • Serverovou část (služby, aktualizace, zálohy),
  • Koncová zařízení (OS, oprávnění, hesla, zálohy),
  • Licence, Wi-Fi a antivirovou ochranu,
  • Pravidla a směrnice pro práci v síti a pro nakládání s daty.
Po definování nebo úpravě pravidel vyplývajících z dokončeného auditu je nezbytné proškolit všechny zaměstnance, aby si byli jistí, co mohou a nemohou. Je ale potřeba počítat s tím, že osvojení nových návyků vyžaduje více času. Zatímco technické nedostatky je možné opravit hned, na nová pravidla si mohou učitelé (potažmo i žáci) zvykat i několik let. Útoky v kyberprostoru se navíc neustále mění, proto je žádoucí školení pravidelně opakovat.

Začátek změny ve školách zřizovaných krajem

V některých krajích již školský odbor identifikoval IT jako oblast s potenciálními riziky a doporučil provést audit IT podle jasně stanovených parametrů. Opatření se týká zejména středních, speciálních a základních uměleckých škol, které kraj zřizuje. Základní umělecké školy sice nemají natolik rozsáhlé IT zázemí, ale kvůli vyšší fluktuaci žáků spravují obrovské množství dat. Speciální školy zase uchovávají velmi citlivé údaje, jako jsou zdravotní diagnózy dětí. Bezpečnostní riziko je pak o to větší. Stejný přístup by však měly zvolit i základní školy a další vzdělávací instituce, protože rizika se dotýkají celého vzdělávacího sektoru.

Závěrem

Současná realita ukazuje, že školní IT infrastruktury jsou z mnoha důvodů upozaděny a postrádají dostatečnou podporu, což komplikuje jejich efektivní správu. Finanční podpora je spíše nárazová a putuje více do hardwarového vybavení. Audity potvrzují absenci udržitelného financování provozu, obnovy a ochrany ICT. Jednorázové nákupy technologie nestačí – klíčová je pravidelná profesionální správa. Včasný a komplexní audit je prvním krokem, který může zásadně přispět k prevenci kybernetických incidentů a k vytvoření bezpečnějšího a spolehlivého školního digitálního prostředí. To se neobejde bez intenzivnější práce v oblasti osvěty, která by zřizovatelům, školám, učitelům, rodičům i žákům pomohla lépe pochopit rizika a klíčovou důležitost kybernetické bezpečnosti.
 
Ing. Simona Janíčková
Autorka článku působí jako marketing communications specialist ve společnosti Anafra.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Kontakty - Více o časopisu
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 3 IT Systems 1-2 IT Systems 12 IT Systems 11
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1