Динамика развития защиты персональных данных от несанкционированного доступа в образовательном учреждении

Тенденциозность образовательных учреждений к внедрению и применению информационных технологий позволяет повысить качество управления контентом, которое помогает преподавателю взаимодействовать с учащимися. Одновременно, растёт количество угроз, которые стремятся нанести вред источникам информации работающих в режиме сбора, обработки, хранения сетевого трафика.

Необходимо подчеркнуть, с учетом законодательства в образовательных учреждениях России существуют три основные категории защищенных данных:

1. Персональные сведения, касающиеся учащихся и преподавателей, оцифрованные архивы;
2. Ноу-хау образовательного процесса, носящие характер интеллектуальной собственности и защищенные законом;
3. Структурированная учебная информация, обеспечивающая образовательный процесс (библиотеки, базы данных, обучающие программы).

Необходимость проводить занятия в средних специальных (профессиональных) учебных заведениях во время пандемии CoVid-19 подтолкнула к новому витку онлайн-курсов. По этой причине количество точек удаленного доступа, подключаемых к серверам колледжей кратно возросло. Возникшая нагрузка в комбинации с использованием запоминающих устройств, использующие в качестве носителя флеш-память и отсутствие культуры информационной безопасности создало уникальный  момент для кибератак. Частичным решением проблемы явилось перераспределение плановых расходов, в частности на спортивные мероприятия, реконструкцию кампусов и исследования. Ранее расходы на информационную безопасность считалась долгосрочной инвестицией. Однако потеря персональных данных является так называемым «чистым риском», который может привести к дорогостоящим потерям. По словам президента РФ В. В. Путина, принципиально важным является устранить вероятность утечек конфиденциальной информации и персональных данных граждан. Сделать это, считает он, можно за счет более строгого контроля за соблюдением правил использования техники и коммуникаций.

Согласно ст. 3 152-ФЗ «О персональных данных», от 27.07.2006 к персональным данным относятся:

• фамилия, имя, отчество;
• место, дата рождения;
• место постоянной или временной регистрации;
• фотография или видеозапись человека, позволяющая идентифицировать человека;
• сведения о детях, родственниках, семейном положении;
• сведения о заработной плате;
• оценка навыков, личностных качеств;
• индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
• информация о судимостях, или их отсутствии;
• номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
• паспортные данные, СНИЛС, биометрические данные.

Рассмотрим наиболее распространенные угрозы безопасности персональных данных образовательного учреждения. Исследование Check Point: Сектор образования подвергается атакам более чем в два раза в месяц по сравнению с другими отраслями. Наиболее частыми последствиями успешных кибератак на организации были утечки конфиденциальной информации (51%) и нарушение основной деятельности (44%). По сравнению с прошлым кварталом увеличилась доля использования вредоносного ПО: на 7 процентных пунктов в атаках на организации и на 10 п. п. – в атаках на частных лиц. Наблюдались случаи значительных перебоев в работе бизнеса и критически значимой инфраструктуры, масштабные утечки данных, появление новых схем обмана пользователей.

Таблица

Со второго полугодия 2023 года не уменьшается количество выявленных утечек персональных данных. По словам директора департамента анализа защищенности и противодействия мошенничеству компании BI.ZONE Евгения Волошина, злоумышленники обычно взламывают личные почтовые ящики, соцсети и мессенджеры сотрудников, а затем находят там корпоративные учетные данные, например, в избранном в Telegram.

Kaspersky Digital Footprint Intelligence, также подтверждает, что в большинстве случаев персональные данные не идут на продажу, как это было распространено ранее. Трендом современности стало опубликование персональных данных в открытый доступ. Такие базы можно найти в Telegram-каналах, а не на специализированных сайтах. Целью кибератак является нанесение максимального урона образовательным учреждениям. Как следствие, при таком поведении хакеров страдает не только материальная сторона, но и репутация. Подавляющая часть утечек персональных данных в российских компаниях и организациях было спровоцировано кибератаками на инфраструктуру извне или нелояльными сотрудниками. Кроме того, продолжает набирать активность торговля данными на черном рынке. При анализе методов работы хакеров, следует отметить всё большую дифференциацию в квалификации и оснащении оборудованием отдельных групп хакеров. Инициаторами опасных кибератак чаще всего становятся группы координируемые централизовано.

Утечка данных может быть вызвана:

• Уязвимости нулевого дня;
• Атаки социальной инженерии;
• Фишинговые атаки;
• Атаки программ-вымогателей;
• Вредоносные атаки;
• Плохая сетевая безопасность и инфраструктура;
• Плохие процессы защиты персональных данных;
• Инсайдерские угрозы;
• Слабая безопасность пароля;
• Потерянные или украденные физические устройства;
• Отсутствие обучения или образования в области кибербезопасности.

Анализ данных показал, что большая часть образовательных учреждений имеют определенные меры безопасности для защиты персональных данных. Рекомендации включают проведение обязательного обучения персонала и студентов в области безопасности данных, использование современных технологий защиты, таких как двухфакторная аутентификация и многофакторная аутентификация, а также планомерный аудит систем безопасности.

Защита персональных данных в образовательных учреждениях является обязательной задачей к выполнению и требует проявления заботы со стороны администрации учреждений, а также повышенного внимания со стороны государственных органов контроля за соблюдением закона о защите персональных данных.

Проблема, выявленная в данном исследовании, это недостаточная осведомленность коллектива образовательного учреждения в целом и обучающихся в частности об угрозах безопасности персональных данных, неправильное использование паролей и недостаточная защита от внешних атак.

А так же существенный урон при повреждении или частичной утрате учебно-методических материалов, нарушение расписания занятий, потеря результатов исследований и контрольных работ – все это может пагубно повлиять не только на работу учебного заведения, но и качество самого образования. На данный момент в целях предотвращения потери данных необходимо резервировать копии информации и использовать исправные системы защиты.

Нарушение конфиденциальности – является последствием небрежного отношения к информационной безопасности в образовательных учреждениях. Несанкционированный доступ к персональным данным обучающихся и персонала, потеря объектов интеллектуальной собственности – все это может отрицательно повлиять как на само учебное заведение, так и на его репутацию. Чтобы предотвратить нелегальное использование персональных данных, необходимо выстроить культуру информационной безопасности, тщательно контролировать доступ к информации и обучать персонал правилам безопасности, ограничить доступ к информационным системам персональных данных до минимума (только в соответствии с функциями или приложениями, которые им нуждаются в доступе для выполнения своих рабочих обязанностей). Административный доступ должен требовать многофакторной аутентификации, и все привилегии пользователей должны быть ограничены как можно более мелкозернистыми.

Кредит доверия и репутации образовательного учреждения немаловажные понятия для конкурентоспособности и рейтинга. С утечкой персональных данных появляется негативное отношение – все это может привести к снижению числа студентов и финансовой поддержки. Для предупреждения несанкционированного доступа к персональным данным необходимо проводить мониторинг безопасности, реагировать на инциденты.

Однако, соответствующие меры позволят снизить риски и обеспечить надежную защиту информации при планомерном анализе и оценки защиты персональных данных. Важно применять интегративный подход к информационной безопасности, не забывая кроме кибербезопасность про физическую на ряду с обучением персонала. Только подобный подход обеспечит образовательным учреждениям безопасность персональных данных. В то время как возможности защитить персональные данные, и растущая грамотность в сфере кибербезопасности улучшаются, угроза и сложность кибератак, к сожалению, соответствуют этому прогрессу. Водятся новые инструменты, так с 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.

Для усиления защищенности персональных данных внесены изменения, повышающие размер штрафов за нарушения, связанные с обработкой персональных данных в соответствии с Федеральным законом от 12.12.2023 № 589-ФЗ. В частности, изменились размеры штрафов за обработку персональных данных без письменного согласия субъекта персональных данных на такую обработку, например, при обработке биометрических персональных данных. Защита данных учащихся в образовательных учреждениях является важнейшей задачей. Многогранный подход в сочетании с использованием информационных систем повышает безопасность данных. От разработки и постоянного совершенствования политики безопасности данных до использования стратегий шифрования и резервного копирования – образовательные учреждения могут ориентироваться в динамичной сфере кибербезопасности. Этот упреждающий подход не только защищает от потенциальных угроз, но и соответствует развивающимся стандартам управления данными в образовательной экосистеме.