Главная
АИ #48 (230)
Статьи журнала АИ #48 (230)
Динамика развития защиты персональных данных от несанкционированного доступа в о...

Динамика развития защиты персональных данных от несанкционированного доступа в образовательном учреждении

Научный руководитель

Дмитриев Михаил Сергеевич

Рубрика

Информационные технологии

Ключевые слова

образовательное учреждение
безопасность информации
персональные данные
культура информационной безопасности

Аннотация статьи

Данная научная статья представляет собой исследование потенциала развития защиты персональных данных от несанкционированного доступа к образовательному учреждению. В статье проанализированы текущие угрозы, оценено их влияние и показано, что принимаются меры по предотвращению этих угроз. Исследование основано на анализе текущих исследований, статистических данных и мнениях экспертов в области защиты персональных данных.

Текст статьи

Тенденциозность образовательных учреждений к внедрению и применению информационных технологий позволяет повысить качество управления контентом, которое помогает преподавателю взаимодействовать с учащимися. Одновременно, растёт количество угроз, которые стремятся нанести вред источникам информации работающих в режиме сбора, обработки, хранения сетевого трафика.

Необходимо подчеркнуть, с учетом законодательства в образовательных учреждениях России существуют три основные категории защищенных данных:

  1. Персональные сведения, касающиеся учащихся и преподавателей, оцифрованные архивы;
  2. Ноу-хау образовательного процесса, носящие характер интеллектуальной собственности и защищенные законом;
  3. Структурированная учебная информация, обеспечивающая образовательный процесс (библиотеки, базы данных, обучающие программы).

Необходимость проводить занятия в средних специальных (профессиональных) учебных заведениях во время пандемии CoVid-19 подтолкнула к новому витку онлайн-курсов. По этой причине количество точек удаленного доступа, подключаемых к серверам колледжей кратно возросло. Возникшая нагрузка в комбинации с использованием запоминающих устройств, использующие в качестве носителя флеш-память и отсутствие культуры информационной безопасности создало уникальный  момент для кибератак. Частичным решением проблемы явилось перераспределение плановых расходов, в частности на спортивные мероприятия, реконструкцию кампусов и исследования. Ранее расходы на информационную безопасность считалась долгосрочной инвестицией. Однако потеря персональных данных является так называемым «чистым риском», который может привести к дорогостоящим потерям. По словам президента РФ В. В. Путина, принципиально важным является устранить вероятность утечек конфиденциальной информации и персональных данных граждан. Сделать это, считает он, можно за счет более строгого контроля за соблюдением правил использования техники и коммуникаций.

Согласно ст. 3 152-ФЗ «О персональных данных», от 27.07.2006 к персональным данным относятся:

  • фамилия, имя, отчество;
  • место, дата рождения;
  • место постоянной или временной регистрации;
  • фотография или видеозапись человека, позволяющая идентифицировать человека;
  • сведения о детях, родственниках, семейном положении;
  • сведения о заработной плате;
  • оценка навыков, личностных качеств;
  • индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
  • информация о судимостях, или их отсутствии;
  • номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
  • паспортные данные, СНИЛС, биометрические данные.

Рассмотрим наиболее распространенные угрозы безопасности персональных данных образовательного учреждения. Исследование Check Point: Сектор образования подвергается атакам более чем в два раза в месяц по сравнению с другими отраслями. Наиболее частыми последствиями успешных кибератак на организации были утечки конфиденциальной информации (51%) и нарушение основной деятельности (44%). По сравнению с прошлым кварталом увеличилась доля использования вредоносного ПО: на 7 процентных пунктов в атаках на организации и на 10 п. п. – в атаках на частных лиц. Наблюдались случаи значительных перебоев в работе бизнеса и критически значимой инфраструктуры, масштабные утечки данных, появление новых схем обмана пользователей.

Таблица

 

Организации, %

Частные лица, %

Утечка конфиденциальной информации

51

59

Нарушение основной деятельности

44

2

Ущерб интересам государства

8

0

Использование ресурсов для проведения атак

3

2

Другое

 

13

Со второго полугодия 2023 года не уменьшается количество выявленных утечек персональных данных. По словам директора департамента анализа защищенности и противодействия мошенничеству компании BI.ZONE Евгения Волошина, злоумышленники обычно взламывают личные почтовые ящики, соцсети и мессенджеры сотрудников, а затем находят там корпоративные учетные данные, например, в избранном в Telegram.

Kaspersky Digital Footprint Intelligence, также подтверждает, что в большинстве случаев персональные данные не идут на продажу, как это было распространено ранее. Трендом современности стало опубликование персональных данных в открытый доступ. Такие базы можно найти в Telegram-каналах, а не на специализированных сайтах. Целью кибератак является нанесение максимального урона образовательным учреждениям. Как следствие, при таком поведении хакеров страдает не только материальная сторона, но и репутация. Подавляющая часть утечек персональных данных в российских компаниях и организациях было спровоцировано кибератаками на инфраструктуру извне или нелояльными сотрудниками. Кроме того, продолжает набирать активность торговля данными на черном рынке. При анализе методов работы хакеров, следует отметить всё большую дифференциацию в квалификации и оснащении оборудованием отдельных групп хакеров. Инициаторами опасных кибератак чаще всего становятся группы координируемые централизовано.

Утечка данных может быть вызвана:

  • Уязвимости нулевого дня;
  • Атаки социальной инженерии;
  • Фишинговые атаки;
  • Атаки программ-вымогателей;
  • Вредоносные атаки;
  • Плохая сетевая безопасность и инфраструктура;
  • Плохие процессы защиты персональных данных;
  • Инсайдерские угрозы;
  • Слабая безопасность пароля;
  • Потерянные или украденные физические устройства;
  • Отсутствие обучения или образования в области кибербезопасности.

Анализ данных показал, что большая часть образовательных учреждений имеют определенные меры безопасности для защиты персональных данных. Рекомендации включают проведение обязательного обучения персонала и студентов в области безопасности данных, использование современных технологий защиты, таких как двухфакторная аутентификация и многофакторная аутентификация, а также планомерный аудит систем безопасности.

Защита персональных данных в образовательных учреждениях является обязательной задачей к выполнению и требует проявления заботы со стороны администрации учреждений, а также повышенного внимания со стороны государственных органов контроля за соблюдением закона о защите персональных данных.

Проблема, выявленная в данном исследовании, это недостаточная осведомленность коллектива образовательного учреждения в целом и обучающихся в частности об угрозах безопасности персональных данных, неправильное использование паролей и недостаточная защита от внешних атак.

А так же существенный урон при повреждении или частичной утрате учебно-методических материалов, нарушение расписания занятий, потеря результатов исследований и контрольных работ – все это может пагубно повлиять не только на работу учебного заведения, но и качество самого образования. На данный момент в целях предотвращения потери данных необходимо резервировать копии информации и использовать исправные системы защиты.

Нарушение конфиденциальности – является последствием небрежного отношения к информационной безопасности в образовательных учреждениях. Несанкционированный доступ к персональным данным обучающихся и персонала, потеря объектов интеллектуальной собственности – все это может отрицательно повлиять как на само учебное заведение, так и на его репутацию. Чтобы предотвратить нелегальное использование персональных данных, необходимо выстроить культуру информационной безопасности, тщательно контролировать доступ к информации и обучать персонал правилам безопасности, ограничить доступ к информационным системам персональных данных до минимума (только в соответствии с функциями или приложениями, которые им нуждаются в доступе для выполнения своих рабочих обязанностей). Административный доступ должен требовать многофакторной аутентификации, и все привилегии пользователей должны быть ограничены как можно более мелкозернистыми.

Кредит доверия и репутации образовательного учреждения немаловажные понятия для конкурентоспособности и рейтинга. С утечкой персональных данных появляется негативное отношение – все это может привести к снижению числа студентов и финансовой поддержки. Для предупреждения несанкционированного доступа к персональным данным необходимо проводить мониторинг безопасности, реагировать на инциденты.

Однако, соответствующие меры позволят снизить риски и обеспечить надежную защиту информации при планомерном анализе и оценки защиты персональных данных. Важно применять интегративный подход к информационной безопасности, не забывая кроме кибербезопасность про физическую на ряду с обучением персонала. Только подобный подход обеспечит образовательным учреждениям безопасность персональных данных. В то время как возможности защитить персональные данные, и растущая грамотность в сфере кибербезопасности улучшаются, угроза и сложность кибератак, к сожалению, соответствуют этому прогрессу. Водятся новые инструменты, так с 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.

Для усиления защищенности персональных данных внесены изменения, повышающие размер штрафов за нарушения, связанные с обработкой персональных данных в соответствии с Федеральным законом от 12.12.2023 № 589-ФЗ. В частности, изменились размеры штрафов за обработку персональных данных без письменного согласия субъекта персональных данных на такую обработку, например, при обработке биометрических персональных данных. Защита данных учащихся в образовательных учреждениях является важнейшей задачей. Многогранный подход в сочетании с использованием информационных систем повышает безопасность данных. От разработки и постоянного совершенствования политики безопасности данных до использования стратегий шифрования и резервного копирования – образовательные учреждения могут ориентироваться в динамичной сфере кибербезопасности. Этот упреждающий подход не только защищает от потенциальных угроз, но и соответствует развивающимся стандартам управления данными в образовательной экосистеме.

Список литературы

  1. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных». [электронный ресурс] – Режим доступа. – URL: https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения 26.11.2023).
  2. ГОСТ Р 59407-2021 Национальный стандарт Российской Федерации. Информационные технологии Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных. ОКС 35.030 Дата введения 2021-11-30.
  3. Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». 1 мая 2022 года № 250.
  4. Приказ Минпросвещения РФ от 14.02.2022 № 74«Об обработке и обеспечении защиты персональных данных в Министерстве просвещения Российской Федерации» Зарегистрировано в Минюсте России 21 июня 2022 г. № 68943.
  5. Романова Р.А. Информационная безопасность: стандартизированные термины и понятия. [Текст]. М.: Полярная Звезда, 2021. 232 с.
  6. Поникарова А.В. Генезис понятия «культура информационной безопасности» / А.В. Поникарова. – Текст: непосредственный // Молодой ученый. – 2020. – № 40 (330). – С. 11-12. – URL: https://moluch.ru/archive/330/73840/ (дата обращения: 08.12.2023).
  7. Путин: РФ нужна четкая стратегия кибербезопасности // www.vesti.ru[сайт] – режим доступа: https://www.vesti.ru/hitech/article/2755260 свободный (дата обращения: 20.12.2023) – Загл. с экрана.
  8. What is Personally Identifiable Information? Definition + Examples | UpGuard // www.upguard.com[сайт] – режим доступа: https://www.upguard.com/blog/personally-identifiable-information-pii свободный (дата обращения: 20.12.2023) – Загл. с экрана.
  9. Информационная безопасность образовательных учреждений // SearchInform[сайт] – режим доступа: https://searchinform.ru/resheniya/otraslevye-resheniya/informatsionnaya-bezopasnost-obrazovatelnykh-uchrezhdenij/ свободный (дата обращения: 20.12.2023) – Загл. с экрана.
  10. The request could not be satisfied // blog.checkpoint.com[сайт] – режим доступа: https://blog.checkpoint.com/2022/08/09/check-point-research-education-sector-experiencing-more-than-double-monthly-attacks-compared-to-other-industries/#:~:text=According%20to%20CPR%2C%20the%20Education,to%20the%20other%20industries'%20average. свободный (дата обращения: 20.12.2023) – Загл. с экрана.
  11. Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать // www.klerk.ru[сайт] – режим доступа: https://www.klerk.ru/blogs/buhgalterskij-arhiv/508477/ свободный (дата обращения: 20.12.2023) – Загл. с экрана.
  12. Кибератаки на Россию: статистика первого полугодия 2023 // Российская газета[сайт] – режим доступа: https://rg.ru/2023/07/27/kolichestvo-kiberatak-na-rossijskie-organizacii-v-2023-godu-zametno-vyroslo.html свободный (дата обращения: 20.12.2023) – Загл. с экрана.
  13. Cybersecurity Trends & Statistics For 2023; What You Need To Know // www.forbes.com[сайт] – режим доступа: https://www.forbes.com/sites/chuckbrooks/2023/03/05/cybersecurity-trends--statistics-for-2023-more-treachery-and-risk-ahead-as-attack-surface-and-hacker-capabilities-grow/?sh=6bb3c67d19db свободный (дата обращения: 20.12.2023) – Загл. с экрана.
  14. Шифровальщики атакуют образовательные учреждения // Хабр[сайт] – режим доступа: https://habr.com/ru/companies/pt/articles/742130/ свободный (дата обращения: 20.12.2023) – Загл. с экрана.
  15. В Госдуме назвали основные причины утечек данных // tass.ru[сайт] – режим доступа: https://tass.ru/obschestvo/17278961 свободный (дата обращения: 20.12.2023) – Загл. с экрана.
  16. https://www.classter.com/blog/data-management/data-privacy-and-security/a-comprehensive-guide-to-student-data-security-with-information-systems/.
  17. Just a moment... // www.fraud.com[сайт] – режим доступа: https://www.fraud.com/post/identity-fraud свободный (дата обращения: 20.12.2023) – Загл. с экрана.
  18. Что такое личные данные и почему все боятся их потерять? Статьи, тесты, обзоры // zoom.cnews.ru[сайт] – режим доступа: https://zoom.cnews.ru/publication/item/63533 свободный (дата обращения: 20.12.2023) – Загл. с экрана.

Поделиться

76

Завоеванов А. С. Динамика развития защиты персональных данных от несанкционированного доступа в образовательном учреждении // Актуальные исследования. 2024. №48 (230). Ч.I.С. 48-52. URL: https://apni.ru/article/10609-dinamika-razvitiya-zashity-personalnyh-dannyh-ot-nesankcionirovannogo-dostupa-v-obrazovatelnom-uchrezhdenii

Обнаружили грубую ошибку (плагиат, фальсифицированные данные или иные нарушения научно-издательской этики)? Напишите письмо в редакцию журнала: info@apni.ru

Похожие статьи

Другие статьи из раздела «Информационные технологии»

Все статьи выпуска
Актуальные исследования

#49 (231)

Прием материалов

30 ноября - 6 декабря

Остался последний день

Размещение PDF-версии журнала

11 декабря

Размещение электронной версии статьи

сразу после оплаты

Рассылка печатных экземпляров

24 декабря