ИБ в образовательных организациях: требования, риски и лучшие практики

В современном цифровом ландшафте киберпреступники значительно расширили зону своих интересов. Если раньше мишенями хакерских атак становились чаще всего госсектор, промышленность, транспортная отрасль и финансовый сектор, то сегодня наблюдается тревожная тенденция: под прицел всё чаще попадают организации социальной сферы — медицинские, культурные и образовательные. Традиционно считавшиеся малопривлекательными для злоумышленников, теперь они регулярно фигурируют в новостях об инцидентах кибербезопасности.

Этот интерес злоумышленников обоснован, прежде всего, стремительным развитием цифровизации в данной сфере при одновременном низком уровне защищённости информационных систем подобных организаций, а также наличием огромного количества цифровых данных, которые привлекают хакеров возможностью их использования в противозаконных целях.

По данным исследований за 2024 год, 74% образовательных учреждений России, включая школы, колледжи и вузы, столкнулись как минимум с одним нарушением информационной безопасности. Основными угрозами для них стали: утечка данных, DDoS-атаки, фишинг и вредоносное ПО. Так, в 2023 году «утекли» персональные данные студентов ВШЭ и, возможно, воспитанников лагеря «Артек» и участников конкурса «Большая перемена»; в 2024 году злоумышленники нарушили работу цифровых служб РАНХиГС. Большинство инцидентов происходили в периоды наибольшей активности — во время экзаменов, приёмной кампании и начала учебного года. К примеру, самыми привлекательными мишенями для DDoS-атак в мае 2024 года стали многие федеральные сайты отечественных вузов. Причём по сравнению с тем же периодом 2023 года этот показатель увеличился в 2,5 раза. Июль 2024 года стал по-настоящему жарким: интенсивность некоторых кибератак достигала 70 тысяч запросов в секунду (!), что дестабилизировало сайты вузов и колледжей.

Согласно прогнозам, в ближайшем будущем будет расти не только число кибератак на образовательную сферу, но и их продолжительность (от нескольких минут до нескольких часов), а также разнообразие используемых злоумышленниками методов. Уже сейчас необходимо применять самые действенные меры!

В 2025 году информационная безопасность в образовательных организациях требует системного подхода, сочетающего выполнение нормативных требований, использование современных технологий защиты, регулярное обучение персонала и обучающихся, а также постоянный мониторинг и аудит состояния ИБ.

Информационная безопасность в образовательных организациях регулируется рядом документов:

1. Указ Президента РФ от 05.12.2016 «Об утверждении Доктрины информационной безопасности Российской Федерации»;
2. Указ Президента РФ №250 от 01.05.2022 «О дополнительных мерах по повышению информационной безопасности»;
3. Федеральный закон от 29.12.2010 № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию»;
4. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
5. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
6. Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в РФ» (в нём установлены конкретные требования к информационным системам в сфере образования и ещё более усилены требования к информационной открытости образовательного учреждения);
7. Письмо Минобрнауки России от 28.04.2014 № ДЛ-115/03, в котором изложены:
   1. методические рекомендации по ограничению и организации системы ограничения в образовательных организациях доступа обучающихся к видам информации, распространяемой посредством сети Интернет, причиняющей вред здоровью и (или) развитию детей, а также не соответствующей задачам образования;
   1. перечень видов информации, распространяемой посредством сети Интернет, причиняющей вред здоровью и (или) развитию детей, а также не соответствующей задачам образования.

Кибербезопасность уже сейчас становится частью образовательных стандартов и программ, что подтверждается интеграцией различных форматов работы с подрастающим поколением и взрослым населением.

Школы предпринимают следующие шаги:

1. проводят тематические уроки по основам информационной безопасности;
2. организуют дискуссионные площадки на тему безопасности в интернете и др.;
3. создают и регулярно обновляют раздел «Информационная безопасность» на официальных сайтах.

Министерство просвещения России выступило в декабре 2024 г. с инициативой начать обучение детей информационной безопасности с 1 класса. Заместитель директора департамента государственной политики в сфере воспитания Владимир Кикнадзе выступил за освоение детьми базовых навыков защиты в Интернете до начала самостоятельной работы с электронной школой и в целом в сети Интернет.

Отдельного внимания заслуживает ежегодный Всероссийский образовательный проект «Урок цифры» (для школьников 1–11 классов), который направлен на развитие цифровых компетенций, ранней профориентации в сфере IT, а также получение базовых знаний в сфере информационной безопасности.

Лучшие практики среди вузов включают в себя их сотрудничество с компаниями, специализирующимися в сфере информационной безопасности. Например, компания «Газинформсервис» предоставляет безвозмездный доступ к своим программным продуктам некоторым вузам и колледжам, предлагает их студентам практику и стажировку, а также организует студенческие киберсоревнования (в рамках ежегодного форума GIS DAYS*), и многое другое.

Только комплексная реализация указанных выше мер позволит минимизировать риски кибератак на образовательные учреждения и обеспечить устойчивое развитие образовательной среды в условиях цифровизации. Интеграция мер по информационной безопасности во все уровни образования действительно необходима и важна для обеспечения национальной безопасности России.

*Global Information Security Days — дни глобальной информационной безопасности

Автор: Автор: Татьяна Буторина, эксперт в области ИИ компании «Газинформсервис».