Мероприятия
Рост цифровых угроз в образовательной среде делает вопросы киберзащиты и работы с персональными данными особенно актуальными. Поскольку учебные заведения регулярно становятся мишенью для злоумышленников, это стимулирует внедрение комплексных мер защиты и обязательное повышение квалификации сотрудников в области соблюдения законодательства о персональных данных. Этой проблематике была посвящена секция «Информационная безопасность и IT-инфраструктура» на симпозиуме «Трансформация».
Информационная безопасность в вузах: защита данных
Защита персональных данных в университетах сегодня является особенно актуальной темой. Университеты обрабатывают огромные объёмы личной информации о студентах, сотрудниках и партнёрах. Их утечка влечёт не только штрафы, но и репутационные потери, подчеркнула в своем выступлении заместитель начальника отдела системного администрирования и разработки программного обеспечения Специального центра МЧС России Валерия Сбитнева. По словам спикера, с 2026 года госучреждения обязаны использовать только сертифицированные средства защиты информации.
Для соблюдения закона, утверждает Валерия Сбитнева, вузу необходимо: назначить ответственного за ПДн, оценить угрозы и уровень защищённости, выстроить внутренние процессы контроля и безопасного уничтожения данных. Всё это фиксируется во внутренней политике, где прописываются цели обработки, сроки хранения и категории субъектов.
Основные риски сегодня связаны не только с техническими уязвимостями, но и с человеческим фактором: фишинговые письма «от деканата», поддельные личные кабинеты, передача файлов через мессенджеры и открытые облака. Минимизировать их помогает комплекс мер: использование только корпоративных ресурсов, строгая парольная политика, двухфакторная аутентификация и передача данных в зашифрованном виде.
Спикер подчеркнула, что обучать правилам работы с персональными данными нужно не только специалистов информационной безопасности, но и сотрудников бухгалтерии, отдела кадров, приёмной комиссии и пресс-службы, так как именно через них каждый день проходит большой поток данных.
Защита персональных данных в университетах: нормы и рекомендации
КИИ в вузе: системный подход
Об управлении безопасностью объектов критической информационной инфраструктуры в организации высшего образования рассказал Арман Авакян, главный специалист отдела лицензирования и защиты информационных технологий АО «Атомзащитаинформ».
Спикер подчеркнул, что управление КИИ в вузе строится на федеральном законе, правилах категорирования, отраслевых документах, требованиях ФСТЭК и порядках ФСБ.
«Почему нельзя делегировать всё отделу информационной безопасности? Последствия остановки процесса знает только его владелец. Поэтому важен именно «комиссионный» подход», – добавил Арман Авакян.
По его мнению, необходима комиссия с участием руководства, владельцев процессов, юристов, финансистов и ИБ-специалистов. Её задача — выявить критические процессы, оценить последствия их остановки, связать с информационными системами и зафиксировать решения. На выходе — реестр объектов, акт категорирования и план мер защиты.
Спикер уверен: набор мер защиты информации должен быть связан с реальной архитектурой значимого объекта и режимом его эксплуатации. Готовность должна быть до события, а контроль – до внедрения.
Аудиты и защита данных: основные проблемы кибербезопасности в образовании
Вопросы кибербезопасности в образовательной сфере становятся все более актуальными. Образовательные учреждения регулярно сталкиваются с атаками на сайты и внутренние системы, утечками данных и попытками получить доступ к учетным записям сотрудников и студентов. Об этом рассказал директор компании «КИТ» Евгений Баклушин в докладе, посвященном защите образовательных организаций от современных киберугроз.
По данным, представленным в ходе выступления, одной из главных проблем остаются атаки на внешний периметр — официальные сайты и корпоративные сети образовательных учреждений. На их долю приходится 71% инцидентов. Еще более распространенной угрозой остается электронная почта: 86% атак связаны с фишинговыми письмами и вредоносными вложениями. Кроме того, злоумышленники активно используют методы социальной инженерии, пытаясь получить доступ к системам через сотрудников и пользователей. Также фиксируются случаи эксплуатации уязвимостей программного обеспечения.
Среди наиболее серьезных последствий подобных атак — утечки конфиденциальной информации, заражение вирусами-шифровальщиками и сбои в работе организаций. По словам экспертов, многие образовательные учреждения до сих пор не уделяют достаточного внимания базовым мерам защиты, что делает их уязвимыми для киберинцидентов.
Опыт проведения аудитов, которым поделилась компания «КИТ», показал, что в системах безопасности образовательных организаций часто встречаются одни и те же проблемы. Среди них — отсутствие двухфакторной аутентификации, слабая защита электронной почты, уязвимые точки входа во внутренние сети и недостаточная защита сайтов от дефейсов. Отдельную обеспокоенность вызывает хранение резервных копий данных без должного уровня защиты, что может привести к компрометации конфиденциальной информации.
Для снижения рисков компания предлагает комплекс стандартных решений, адаптированных под задачи образовательных учреждений. В их числе — экспресс-аудит защищенности, оценка риска дефейса сайтов, проектирование и внедрение систем информационной безопасности, использование многофакторной аутентификации, а также организация надежного резервного копирования данных.
По мнению специалистов, обеспечить устойчивую защиту можно только при системном подходе. Регулярные аудиты, использование современных инструментов защиты и повышение уровня цифровой грамотности сотрудников позволяют существенно снизить вероятность успешных атак и минимизировать последствия возможных инцидентов. В условиях роста киберугроз вопросы информационной безопасности становятся для образовательных организаций не дополнительной задачей, а необходимым условием стабильной работы.
