7 декабря в Юрайт.Академии прошла онлайн-дискуссия «На страже цифровой среды: информационная безопасность учебных заведений», на которой эксперты из высших учебных заведений обсудили информационную безопасность вузов, реальные угрозы для цифровой образовательной среды и защиту персональных данных от несанкционированного использования.

Безопасность цифровой образовательной среды 

В начале дискуссии эксперты поделились мнением, каковы реальные угрозы для цифровой образовательной среды в области информационной безопасности и защиты информации. 

Пилипенко Александр Витальевич, проректор по развитию Орловского государственного университета имени И.С. Тургенева, кандидат технических наук, доцент, PhD отмечает, что вузу необходимо защищать персональные данные и научные разработки. 

«В моем понимании в государственном учреждении высшего образования может быть только два объекта, которые нужно защищать. Первое — это персональные данные, второе — научные разработки. Эти два объекта имеют полную формализованную нормативно-правовую базу, обеспечивающую информационную безопасность, как на локальном, так и на федеральных уровнях».

Эксперт считает, что научные разработки достаточно защищены интеллектуальной собственностью: 

«С точки зрения научных разработок защищать в вузе просто, потому что есть научные труды, свидетельства о регистрации и патенты, которые обеспечивают защиту интеллектуальной собственности».

Касатонов Илья Сергеевич, кандидат технических наук, проректор по цифровой трансформации Тамбовского государственного технического университета, рассказал к чему приводят атаки на информационные системы вуза и насколько они критичны. 

«Ddos-атаки приводят к тому, что сайт на какое-то время становится недоступен. Мы фильтруем вредоносный трафик, сайт начинает работать, просто медленнее. Но чтобы прервался учебный процесс или университет не мог выполнять свои функции — такого нет. Был проделана большая работа в предыдущие годы по защите основного — персональных данных, финансовой информации».

Моисеев Виктор Игоревич, директор университетского центра «Интернет» Пермского государственного национального исследовательского университета, поделился, как вуз прошел категорирование: 

«Категорирование показало, что наши объекты критической инфраструктуры не являются значимыми по определенным категориям, но наш университет, как научная организация, субъектом критической информационной структуры является».

Эксперт также поделился, какие системы вуза чаще всего подвергаются атакам:  

«Мы регулярно сталкивается с инсайдерскими атаками, помимо банального сканирования, популярны попытки взлома Wi-Fi сетей и фишинг».

«Болевой точкой является резервное копирование. Фиксировали случаи, когда ответственные сотрудники своевременно не провели резервное копирование важных документов, а единственный носитель информации вышел из строя. Стараемся такие случаи отлавливать, принимать меры по предупреждению таких ситуаций в будущем», — добавил эксперт. 

Аитов Василий Григорьевич, директор информационно-вычислительного центра Российского биотехнологического университета, рассказал, какие наиболее эффективные технические, программно-аппаратные подходы к информационной безопасности.

«Большинство решений, даже можно сказать все, в своей основе опираются на Nginx (программное обеспечение). Многие специалисты его используют. Есть интересные сплавы технологий, во многих вузах коллеги сами их пишут». 

«Волшебного черного ящика нет. Все опирается на специалистов, которые работают на местах, и их опыт», — отметил эксперт. 

Информационная атака во время приемной кампании 

Эксперты рассказали, что чаще всего атаки на информационные системы вуза происходят во время приемной кампании, когда студенты подают документы на зачисления. 

«Со старта приемной кампании на нас началась DDoS-атака, которая прекратилась только на прошлой неделе. Было по две тысячи запросов в секунду на центральный сайт, что замедляло его работу. Приняли решение, что на следующую приемную кампанию у нас будет защита от DDoS-атак коммерческого уровня от внешних поставщиков», — отмечает Виктор Моисеев (ПГНИУ). 

Александр Пилипенко (ОГУ имени И.С. Тургенева) отмечает, что вузу удалось отразить атаку во время приемной кампании: 

«С точки зрения информационных систем вуза. Вопрос в том, от кого мы защищаемся. Можно взломать любую систему, но нужны разные ресурсы и усилия. У нас на сайт за год была одна долгая Ddos-атака, когда была приемная комиссия, но мы выдержали, нас к этому готовило Министерство образования».

Студенты и информационная безопасность 

Зачастую в университетах в разработке IT-продуктов участвуют студенты. Эксперты рассказали, влияет ли привлечение студентов на информационную безопасность вуза. 

«Привлечение любого дополнительного разработчика, это не обязательно студент, увеличивает нагрузку на информационную безопасность. В отношении студентов это относительно просто — он не так долго находится в университете. Чтобы модифицировать существующую информационную систему, в нее нужно очень серьезно погружаться», — рассказывает Илья Касатонов (ТГТУ). 

При этом, эксперт считает, что студентов необходимо привлекать к разработке сервисов: 

 «В любом случае, студентов необходимо привлекать к работе с информационной инфраструктурой университета, хотя бы в части разработки небольших цифровых сервисов. Не все университеты имеют большие ресурсы, чтобы разрабатывать свои мобильные приложения, часто это могут выполнять студенты».

Василий Аитов (Российский Биотехнологический Университет) считает, что если привлекать студентов к разработке, то нужно это делать системно: 

 

«Если привлекать студентов к разработке, это нужно делать максимально системно, организовать ответственное рабочее окружение. В целом, должно быть частное облако университета, куда может зайти любой обучающий, преподаватель, административный работник. Все это "покрыто" мантией бесшовной аутентификации на основе SAML и Оpen ID».

Нормативно-правовая база и защита персональных данных 

Александр Пилипенко (ОГУ имени И.С. Тургенева) считает, что не все аспекты с точки зрения нормативно-правовых актов проработаны: 

«Если говорить с точки зрения здравого смысла, то нормативная база у многих не готова. Например, чаты сотрудников и преподавателей, системы соцсетей и сообществ университета, личные страницы в соцсетях, — это все кладезь информации, которой всегда может воспользоваться злоумышленник».

Эксперт считает, что, говоря об информационной безопасности, необходимо начинать с самих людей:

«Любая информационная безопасность начинается с культуры людей. Людей сначала нужно научить правильной цифровой чистоте, чтобы они понимали, что любое их действие — это тоже источник информации, возможно кому-то нужный».

Илья Касатонов (ТГТУ) рассказал, что думает о передачи личных логинов и паролей другим лицам: 

«Если это связано с коммерческим ресурсом, то продавец коммерческого ресурса теряет. Если это касается доступа к корпоративным системам — это критический случай. Каждый раз это единичный, конкретный случай, в котором нужно разбираться. Где-то на это можно закрыть глаза, где-то это неприемлемо».

Уже в конце декабря, 21 числа, пройдет онлайн-конференция «Академическая карьера и эффективный контракт в современных университетах», на которой мы обсудим параметры эффективного контракта, возможности получения дополнительного заработка и индивидуальную траекторию академической карьеры.

Регистрация уже открыта!