Инфобезопасность затрагивает практически все стороны жизни, включая и образование. И здесь к типичным проблемам, вроде хищения конфиденциальных данных, добавляется также необходимость заботы о благополучии детей. С развитием дистанционных практик обучения с использованием интернета киберугрозы выросли как никогда.
Определение инфобезопасности в образовании
Здесь понимается в первую очередь комплекс разнонаправленных мероприятий в учреждениях системы образования на различных уровнях, включая школы, детские сады, учреждения профессионального образования и объекты инфраструктуры.
В первую очередь, разумеется, речь идет о сохранности персональных данных и защите их от несанкционированного доступа. В РФ есть запрет на распространение любой информации о несовершеннолетних без согласия их законных представителей, поэтому образовательные организации обязаны за этим строго следить.
Разумеется, одними только образовательными учреждениями задачи ИБ в образовании не ограничиваются. Если брать их максимально широко, то добавляет ещё как минимум три важных направления:
- Сохранность данных. Обеспечение того, чтобы образовательная информация не была изменена или повреждена без разрешения;
- Обеспечение доступности данных. Гарантия того, что авторизованные пользователи могут получить доступ к необходимой образовательной информации тогда, когда это нужно;
- Защита интеллектуальной собственности. Охрана авторских прав на учебные материалы, исследования и разработки.
Таким образом, в образовательной среде есть три типа информации, которые подлежат защите:
- Персональные данные учащихся и педагогов;
- Интеллектуальная собственность, например, методики преподавания или инновационные подходы к обучению, разработанные в организации, а также научные разработки;
- Учебная информация, которая используется в образовательном процессе (методические пособия, учебники, базы данных, образовательные программы).
Соответственно, все участники — а это и работники учреждений (педагоги, воспитатели, чиновники и т.д.), и специалисты служб ИБ — несут ответственность за сохранность и информационную безопасность
Основные угрозы информационной безопасности в образовательной среде
Потенциальные риски в образовании примерно такие же, как и в любой другой сфере деятельности. В их числе:
1. Организованные хакерские атаки
Здесь имеются в виду в первую очередь скоординированные DDoS-атаки, направленные на нарушение работы систем. Примером могут служить попытки злоумышленников атаковать ресурсы ЕГЭ и сорвать процесс сдачи Единого госэкзамена в 2019 году.
2. Утрата или утечка данных
Здесь может быть как преднамеренное, так и непреднамеренное воздействие на информацию вследствие человеческого фактора, стихийных бедствий, сбоев системы связи или работы оборудования.
Преднамеренное воздействие может исходить как от учащихся или персонала учебных организаций, так и от злоумышленников извне. Пользоваться они могут самыми разными методами:
- Социальная инженерия (подкуп, обман для получения доступа к системам);
- Применение специальной аппаратуры и физических носителей с вредоносными программами, либо способной перехватывать электромагнитное излучение;
- Программные методики для перехвата данных и получения доступа (фишинг, использование уязвимостей в коде, перехват траффика и т.п.).
3. Нарушение политики конфиденциальности
Несанкционированный доступ к персональной информации, например, у личным данным учащихся образовательного учреждения, либо её неправильное использование.
Методы противодействия
Инфобезопасность обеспечивается разнородными мероприятиями, которые можно разделить на несколько категорий.
1. Нормативно-правовые мероприятия
В России принят ряд законодательных актов, включая такие основополагающие, как Федеральный закон «Об информации, информационных технологиях и о защите информации», Гражданский кодекс РФ, Семейный кодекс РФ, ФЗ «Об основных гарантиях прав ребенка в Российской Федерации», а также Национальная стратегия действий в интересах детей.
Все они тем или иным образом касаются защиты информации в интернете, при этом являясь рамочными. Конкретные мероприятия установлены в ряде ГОСТов по информационной безопасности и локальными НПА.
Отдельно можно выделить защиту детей от нежелательной информации, которая потенциально может травмировать психику и оказать деструктивное воздействие на развитие ребенка. На практике это означает, что система образования обязана не допускать попадание такой информации на территорию образовательных учреждений и ограждать от нее учащихся.
2. Меры административного характера
Здесь имеются в виду организационные и хозяйственные мероприятия, которые устанавливают порядок обращения с информацией для персонала и сотрудников учреждений образования. Сюда можно отнести, например, должностные инструкции, регламенты взаимодействия с уполномоченными органами по вопросам ИБ, перечни конфиденциальной информации, не подлежащей разглашению, и т.д.
Административно-хозяйственные меры принимаются либо на уровне локального законодательства, либо конкретными учреждениями (вузами, школами, департаментами и т.д.). При этом все документы должны быть приведены в соответствие с действующими нормами законодательства.
3. Инженерно-технические мероприятия
Сюда относится большая группа методик и приемов, относящихся к техническим и программным средствам защиты.
Аппаратные методики — это контроль доступа к серверным помещениям, хранение критических данных на отдельных носителях, использование зашифрованных устройств.
Программные средства — все, что связано с защитным софтом. К примеру, в системе образования рекомендуется использовать DLP и SIEM-системы для обнаружения киберугроз, а также Системы управления обучением (LMS), которые дают защищенный доступ к учебным материалам.
4. Меры физического характера
Вся сетевая инфраструктура, которая обеспечивает образовательный процесс, должна обслуживаться авторизованным персоналом. Для этого требуется:
- Организация пропускного режима и ограничение доступа к критическим объектам (серверы, маршрутизаторы, рабочие компьютеры) посторонних;
- Создание систем контроля и определение уровней допуска в систему;
- Регламенты, устанавливающие правила копирования и изменения информации;
- Обучение персонала.
Защита детей от нежелательной информации
Отдельный блок вопросов в инфобезопасности образования связан с защитой детей от различных материалов, относящихся к деструктивным. Сюда следует включить пропаганду экстремизма и терроризма, дискриминацию по различным признакам, употребление наркотиков — одним словом, любую информацию, которая может негативно повлиять на психику и воспитание ребенка.
Здесь в дело вступают уже не специалисты в области кибербезопасности, а педагогическое сообщество. И одна из целей — это повышение компьютерной грамотности детей, а также обучение безопасному поведению в сети.
Методы и практики для защиты:
- Повышение медиаграмотности, включение в школьный курс информатики тем по безопасному обращению с персональными данными;
- Повышение квалификации педагогов в вопросах информационной безопасности для выявления случаев деструктивной пропаганды;
- Организация партнерства с родителями, общественными организациями и органами местного самоуправления по выработке мер противодействия деструктивным идеям;
- Организация анонимных каналов для сообщений о подозрительной активности или содержании;
- Обеспечение доступа к психологической поддержке для учащихся, подвергшихся воздействию деструктивной пропаганды;
- Мониторинг интернет-активности: Использование технологий фильтрации контента, к которому имеют доступ учащиеся, чтобы предотвращать распространение вредоносных идей.
Итог
Информационная безопасность в образовании реализуется в нескольких плоскостях, включающих в себя обеспечение стабильности сетевой инфраструктуры, защиту интеллектуальной собственности (научные исследования, ноу-хау в обучении) и учебной информации от посягательств.
При этом особое место занимает защита персональных данных детей и ограждение от различных деструктивных и экстремистских идей, а также работа над повышением компьютерной грамотности. В последнее время все чаще идут разговоры о привитии школьникам навыков информационной гигиены — умения фильтровать информацию и отделять ложную от правдивой. Это также в перспективе может стать мерой обеспечения информационной безопасности в образовательной системе.
