Оценка за кибербезопасность: от чего сегодня защищаются в школах и вузах

Азам кибергигиены хотят обучать на уроках в школе. Депутаты и чиновники говорят об этом уже несколько лет. В 2023-м разговоров стало еще больше. Причины понятны – дети, их родители и образовательные учреждения все чаще становятся жертвами киберпреступников.

Однако сами школы, вузы и даже онлайн-платформы зачастую занимаются кибербезом только на бумаге. Как правило, там нет ни систем информационной безопасности, ни специалистов по ИБ. С какими киберугрозами сталкиваются в образовательной сфере сейчас и что будет дальше – рассказываем в этой статье.

Незачет по защите

Вложить средства в кибербез пока может далеко не каждое образовательное учреждение. Многие по-прежнему тратят средства только на ремонты и другие более приоритетные задачи.

Евгений Баклушин

Руководитель направления аудитов и соответствия требованиям ИБ компании УЦСБ

К сожалению, сегодня нельзя с уверенностью утверждать, что образовательные организации в России обладают достаточным уровнем киберустойчивости. Особенно это касается школ. Зачастую в таком типе организаций вовсе отсутствуют специалисты по кибербезопасности. У учителей информатики просто нет временного ресурса на выполнение данных обязанностей, а объемы бюджета не позволяют привлекать профильные организации для построения кибербезопасности.

Тем не менее базовый уровень защиты в школах все-таки есть. Они обязаны соблюдать ряд технических условий. И в первую очередь это касается контентной фильтрации веб-трафика.

Андрей Сиденко

Ведущий веб-контент-аналитик «Лаборатории Касперского»

Пользователи, подключенные через «школьный интернет», не должны иметь возможность получить доступ к тем же социальным сетям, а также к некоторым категориям контента. Например, такому, где фигурируют сцены насилия, нецензурные выражения, употребление алкоголя, табака, наркотиков. То есть, к контенту, который не совместим с целями и задачами обучения и воспитания.

С кибербезом в вузах ситуация чуть лучше. Хотя такое можно сказать лишь о профильных институтах, которые обучают специалистов по кибербезопасности. Там чаще задумываются о внедрении систем обеспечения информационной безопасности и прочих мерах защиты.

В остальных вузах кибербез обеспечивают в основном на бумаге и компьютерах, подключенных к государственным информационным системам. Также защита используется на устройствах и ПО, где хранятся персональные данные. Архитектуры информационной безопасности на уровне всего вуза, как правило, нет.

Нина Шипкова

Руководитель направления «Академия кибербезопасности» Innostage

В 90% российских вузов нет ни оборудования, ни профессиональной команды, отвечающей за обеспечение информационной безопасности – за эти задачи в лучшем случае отвечает ИТ-служба.

Не все вузы соблюдают должным образом даже нормы 152-ФЗ «О защите персональных данных», которые требуют обязательного использования ими антивирусных систем, средств обнаружения вторжений, средств для анализа защищенности систем и т.д. А это базовое правило цифровой гигиены.

При этом, по ее словам, некоторые высшие заведения обладают лицензиями для ИБ-решений, но часто не могут внедрить их самостоятельно. Они подают заявки в специализированные компании и месяцами ждут обработки заказа.

Что касается образовательных онлайн-платформ, то здесь защита персональных и иных чувствительных данных выстроена намного серьезнее. Обычно они размещают свои информационные ресурсы в крупнейших ЦОДах, которые соответствуют множеству требований по ИБ. Хотя, как отмечают эксперты, сами информационные системы онлайн-платформ нередко содержат уязвимости базового характера – не задаются требования к сложности пароля, отсутствует двухфакторная аутентификация и т.д.

Звонок для хакера

Из-за цифровой беспечности в образовательной сфере растет число атак, которые становятся успешными для преступников. И чаще всего публичные кейсы касаются высших учебных заведений.

Нина Шипкова

Руководитель направления «Академия кибербезопасности» Innostage

В 2023 году ряд вузов Поволжья, Центральной России, Урала и Сибири подверглись массированной DDoS-атаке на свои интернет-ресурсы. Атака была спланирована на старте приемной кампании, когда, во-первых, веб-ресурсы вузов особенно востребованы, а во-вторых, в них активно загружаются персональные данные абитуриентов.

Атаки вели с европейских и американских IP-адресов, в нескольких инцидентах участвовали российские боты. Кроме DDoS, также проводились Deface-атаки и другие более сложные типы атак – делится итогами исследования Нина Шипкова.

В число жертв за последнее время вошли не только региональные, но и ведущие вузы страны. Так, в этом году произошла утечка персональных данных студентов в Высшей школе экономики. В марте почтовые сервисы вуза подверглись атаке злоумышленников. И хотя ее быстро обнаружили, почта и календарь на устройствах в вузе начали работать с перебоями. Позже стало известно, что персональные данные появились в даркнете. За инцидент, о котором вуз сообщил в момент обнаружения, присудили штраф в 60 тыс. рублей.

К слову, высшие учебные заведения активно атакуют во всем мире. В этом году о серьезных кибератаках уже сообщали Манчестерский университет и Цюрихский университет.

Как по учебнику

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Мотивы у преступников очень разные – от вандализма до зарабатывания денег. В том же кейсе про взлом Манчестерского университета задачей было похищение персональных данных и последующая их продажа. А в случае с российскими вузами в прошлом и этом годах DDoS-атаки просто выводили из строя часть инфраструктуры и делали отдельные интернет-ресурсы учреждений недоступными для внешних пользователей.

Чаще всего DDoS-атаками на вузы занимаются хактивисты. Но экспертам также известны случаи, когда преступники использовали программы-шифровальщики для блокировки доступа к важным данным и требовали выкуп. Распространялось такое ПО в основном через email.

Артем Избаенков

Директор по развитию направления кибербезопасности компании EdgeЦентр

Атаки через фишинговые письма, маскированные под официальные запросы, вводили в заблуждение сотрудников и студентов, заставив их раскрывать конфиденциальные данные или учетные записи. Это привело к нарушению безопасности и утечки данных.

Еще одна причина атак – неактуальное программное обеспечение. Отсутствие обновлений и патчей сделало систему одного пострадавшего вуза уязвимой к известным уязвимостям, которые были использованы хакерами.

С методами социальной инженерии также часто сталкиваются онлайн-школы. Обычно они сводятся к манипулированию пользователями, чтобы завладеть важными данными.

Екатерина Старостина

Директор по развитию компании «Вебмониторэкс»

Вариантов обмана ученика множество, и все они работают. Самый простой пример такой атаки – обман в процессе помощи в выполнении заданий. Ученики предоставляют данные для доступа в свои личные кабинеты или переводят деньги злоумышленникам, которые гарантируют решение, прохождение тестов. И, конечно, используют такую доверчивость в своих целях.

В первую очередь, как отмечают эксперты, атаки на образовательные учреждения интересны тем, кто торгует базами персональных данных. Сведения в дальнейшем используются для обыкновенного фишинга. Обычно такой слив напрямую не несет существенного ущерба самим субъектам – обучающимся, родителям, преподавателям. Но утекшие персональные данные в дальнейшем используются мошенниками для их же обмана.

В ожидании перемены

Часто главной угрозой для образовательного учреждения становятся не внешние пользователи, а учащиеся. Некоторые из них намеренно блокируют работу систем или взламывают преподавательские ресурсы, чтобы посмотреть предстоящие контрольные или проставить отметки посещения лекций.

Хотя в большинстве случаев студенты и школьники вредят учебным заведениям неосознанно. Почти каждый из них носит с собой смартфон, планшет или ноутбук на учебу. Гаджеты, как поясняют эксперты, не только помогают в учебе и на переменах, но и расширяют плацдарм для кибератак. 

Евгений Баклушин

Руководитель направления аудитов и соответствия требованиям ИБ компании УЦСБ

Можно зашифровать всю инфраструктуру университета, если зарядить зараженный смартфон на уроке информатики и т.п. Таким образом угрозой становится не только внешний злоумышленник, но и внутренний пользователь.

Это все несет не только риски утечек персональных данных или каких-то патентов образовательных учреждений, но и нарушения работы инфраструктуры в целом, от которой напрямую зависит возможность предоставления образовательных услуг или хранение важнейших знаний. Кто-то, например, может не смочь подать документы на поступление из-за этого, а кто-то потеряет результаты важнейшего исследования.

Как результат, по словам эксперта, образование уже хотят включить в сферы деятельности с критической информационной инфраструктурой. Впрочем, новых требований от регуляторов и законодателей ожидают многие собеседники Cyber Media.

Владимир Дащенко

Эксперт по кибербезопасности Kaspersky ICS CERT

Выпуск нормативной документации или требования со стороны регуляторов, касательно обеспечения ИБ в образовательных учреждениях – вот что может быть реальным толчком к усилению мер информационной безопасности.

Кроме законодательных требований, на развитие кибербезопасности в образовательной сфере также повлияет технологический прогресс. Игнорировать его в школах и вузах будет нереально. 

Владислав Билай

Cloud DevOps Engineer | Tech Lead в Aquiva Labs

В ближайшие пять лет развитие информационной безопасности в образовательной сфере России будет под влиянием нескольких факторов. Во-первых, ожидается усиление требований к обеспечению безопасности персональных данных, что приведет к более активному внедрению современных методов защиты. Во-вторых, рост использования технологий в образовательных процессах потребует более глубокой интеграции кибербезопасности в учебные программы.

При этом эксперты особенно выделяют технологии, которые позволяют оцифровать образовательные процессы и перевести их в онлайн. Многие пользователи к ним готовы – спасибо пандемии за это.

Павел Кравцов

Технический эксперт MONT

Опыт COVID-19 показал, что дистанционное обучение может быть необходимым. Это также означает, что образовательные учреждения должны обеспечивать безопасность для удаленных учебных платформ и сетей.

Эксперт считает, что сейчас особенно важно обучать студентов и учащихся соблюдать кибергигиену, защищать свои данные и распознавать потенциальные угрозы. Текущие образовательные программы сегодня вполне можно дополнить уроками по кибербезопасности. 

Выводы

Антон Морозов

Руководитель по развитию направления ИБ компании «МАКСОФТ»

К сожалению, всякие изменения в образовательной сфере происходят в результате происшествий. Это касается как физической безопасности, так и информационной. Так что до тех пор, пока не случится какой-то громкий инцидент, серьезные подвижки в этой сфере вряд ли случатся.

Многие учебные заведения действительно пока не торопятся что-то менять. При этом вузы и школы понимают, что нужны ИБ-специалисты, системы обеспечения безопасности и прочие меры защиты. Без них спасти чувствительные данные от преступников они не могут. Но дальше обсуждений дело так и не заходит. Виной тому скромные бюджеты организаций. Причем проблема касается сферы образования как в России, так и за рубежом.

Однако есть исключения. В частности, в Татарстане недавно появился первый межвузовский SOC. Он создан и работает на базе четырех вузов: КНИТУ (КАИ), КФУ, Казанского энергоуниверситета (КГЭУ) и университета Иннополис.

Эксперты считают, что именно сотрудничество поможет улучшить ситуацию с ИБ в отрасли. Причем речь идет о взаимодействии не только между учреждениями, но и с индустрией кибербезопасности и государственными органами.