Университеты под ударом: почему старые методы ИБ не работают
Российские университеты за последние годы превратились в полноценные цифровые экосистемы. Электронные образовательные платформы, личные кабинеты студентов, дистанционные курсы, цифровые ведомости, базы персональных данных, системы видеоконференций, электронный документооборот, облачные сервисы и внутренние корпоративные порталы стали повседневной инфраструктурой высшей школы. Развитие цифровых платформ в образовательных организациях способствует и росту киберугроз.
Образовательные организации обладают массивами данных, которые имеют высокую ценность для злоумышленников. Это персональные данные студентов, преподавателей и сотрудников, сведения об успеваемости, финансовая информация, данные о научных проектах, результаты исследований, договоры с партнерами, грантовая документация, переписка, внутренние регламенты и управленческие решения. Это создает угрозу вмешательства со стороны киберпреступников в процессы управления вузом и нарушения функционирования их повседневной деятельности.
При этом университеты отличаются сложной организационной структурой. В одной цифровой среде взаимодействуют студенты, преподаватели, административно-управленческий персонал, технические службы, внешние подрядчики, исследовательские коллективы и партнерские организации. У каждого участника — разные права доступа, разный уровень цифровых навыков и разная мотивация соблюдать правила безопасности.
Если раньше информационная безопасность в вузах воспринималась преимущественно как задача ИТ-службы — установить антивирус, настроить доступы, обновить серверы и закрыть внешние периметры, — то сегодня такой подход все чаще оказывается недостаточным. Исследования показывают: большая часть инцидентов связана не с отсутствием технической защиты, а с человеческим фактором. Сотрудник может открыть фишинговое письмо, переслать файл с персональными данными не тому адресату, использовать простой пароль, проигнорировать обновление программного обеспечения или нарушить внутренний регламент, даже не осознавая последствий.
Так, исследование Финансового университета при Правительстве РФ показывает, что информационная безопасность рассматривается уже не как узкотехническая функция, а как элемент организационной культуры. Авторы анализируют, какие управленческие механизмы нужны вузам для формирования культуры информационной безопасности и как развитие компетенций персонала влияет на устойчивость образовательной организации к киберугрозам.
Цифровая трансформация высшего образования дополнительно усложнила ситуацию. Во время пандемии многие университеты резко расширили использование дистанционных платформ, систем видеосвязи, электронных курсов и облачных решений. Но организационная культура безопасности не всегда развивалась с той же скоростью. Возник разрыв между масштабом цифровизации и готовностью персонала безопасно работать в новых условиях.
Одним из центральных выводов исследования стало подтверждение того, что человеческий фактор остается главным источником уязвимости. Более 70% инцидентов в области информационной безопасности связаны именно с действиями пользователей. Проблема заключается не только в отсутствии знаний. Информационная безопасность воспринимается как дополнительная бюрократическая нагрузка: сложные пароли раздражают, двухфакторная аутентификация кажется лишним препятствием, регулярное обучение — формальностью, а требования по обработке персональных данных — обязанностью юридического отдела или ИТ-службы.
Такой подход особенно опасен в вузовской среде, где интенсивность обмена информацией чрезвычайно высока. Преподаватель ежедневно получает десятки писем от студентов, коллег и административных подразделений. Администратор работает с приказами, заявлениями, ведомостями и базами данных. Технический персонал имеет доступ к инфраструктуре и может невольно стать каналом распространения вредоносного ПО. Даже один неверный клик способен привести к компрометации учетной записи, утечке данных или остановке образовательного процесса.
Культуру информационной безопасности следует рассматривать как совокупность формальных и неформальных институтов. Формальные — это политики, инструкции, регламенты, процедуры доступа, обучение, контроль и ответственность. Неформальные — это привычки сотрудников, отношение руководства к безопасности, готовность сообщать об инцидентах, взаимопомощь, обмен практиками и уровень доверия к цифровым изменениям.
Такой подход принципиально отличается от традиционного технического взгляда. Если информационная безопасность понимается только как ИТ-функция, ответственность концентрируется в профильном подразделении. Если же она рассматривается как элемент организационной культуры, ответственность распределяется между всеми участниками: руководителями, преподавателями, администраторами, техническими специалистами и студентами.
В этом смысле формирование культуры безопасности похожа на формирование культуры качества или антикоррупционного комплаенса. В этом контексте комплекс мер предусматривает не только разработку и соблюдение регламентов по информационной безопасности, но необходимость создания системы мотивации, коммуникации, обучения, контроля и обратной связи.
На рисунке ниже представлена разработанная исследователями Финансового университета при Правительстве РФ интегрированная модель управления культурой информационной безопасности в образовательных организациях.
Предложенная модель включает пять элементов. Первый — стратегическое планирование культуры информационной безопасности (безопасность должна быть интегрирована в общую стратегию цифровой трансформации университета, а не существовать на периферии управленческого внимания). Второй — дифференцированное развитие компетенций персонала (разные категории сотрудников работают с разными типами информации и рисков, поэтому универсальная программа обучения малоэффективна). Третий — коммуникационное сопровождение (сотрудников нужно регулярно информировать об актуальных угрозах, изменениях в правилах, типичных ошибках и успешных практиках). Четвертый — мониторинг и оценка (университет должен измерять уровень осведомленности, владение практическими навыками и динамику инцидентов). Пятый — непрерывное совершенствование (система безопасности должна адаптироваться к новым угрозам, технологическим изменениям и результатам мониторинга).
По сути, речь идет о переходе от разовых инструктажей к управляемому циклу развития культуры безопасности. Один из важных выводов, который сделали исследователи это необходимость дифференцированного подхода к обучению и формированию культуры информационной безопасности.
Информационная безопасность требует ресурсов: денег, времени, специалистов, программных решений и организационного внимания. Поэтому перед руководством вузов неизбежно встает вопрос об эффективности таких инвестиций. В связи с этим, предлагается несколько практических шагов формирования системы информационной безопасности для Университетов.
Первый шаг — провести диагностику культуры информационной безопасности. Университету нужно понять, какие категории сотрудников наиболее уязвимы, какие навыки развиты слабо, какие регламенты устарели и где чаще всего возникают инциденты.
Второй шаг — встроить информационную безопасность в стратегию цифровой трансформации. Любой новый цифровой сервис должен оцениваться не только с точки зрения удобства и функциональности, но и с точки зрения рисков.
Третий шаг — разработать дифференцированные программы обучения. Административный персонал, преподаватели и технические специалисты должны получать разные акценты в обучении.
Четвертый шаг — сделать обучение регулярным. Разовый инструктаж при приеме на работу не решает проблему. Нужны ежегодные курсы, короткие обновления, тренажеры, тестирования и практические разборы.
Пятый шаг — наладить коммуникацию. Сотрудники должны регулярно получать понятную информацию об актуальных угрозах, изменениях в правилах и алгоритмах действий.
Шестой шаг — создать систему мониторинга и обратной связи. Нужно измерять не только прохождение обучения, но и реальные изменения: навыки, инциденты, качество соблюдения регламентов.
Седьмой шаг — формировать культуру ответственности без страха. Сотрудник должен понимать, что своевременное сообщение о подозрительной ситуации помогает организации, а не автоматически ведет к наказанию.
По мнению, доцента кафедры «Безопасность жизнедеятельности» Финансового университета при Правительстве РФ, к.т.н. Масалевой М.В.: «Перспективным направлением является создание автоматизированных систем мониторинга культуры информационной безопасности на основе технологий искусственного интеллекта. Такой подход может включать анализ поведения пользователей, выявление аномалий, персонализированные рекомендации по обучению, автоматическое определение групп риска и адаптацию образовательных программ».
Например, система может фиксировать, какие сотрудники чаще переходят по подозрительным ссылкам в учебных фишинговых рассылках, кто редко обновляет пароли, какие подразделения чаще нарушают регламенты, какие темы вызывают трудности в тестах. На основе этих данных можно назначать адресное обучение, а не проводить одинаковые курсы для всех.
Однако использование ИИ в этой сфере потребует аккуратного регулирования. Мониторинг поведения сотрудников сам по себе связан с вопросами приватности, трудовых отношений и доверия. Поэтому такие системы должны быть прозрачными, правомерными и ориентированными на развитие компетенций, а не на тотальный контроль.
Как отметил доцент Кафедры информационной безопасности Финансового университета при Правительстве Российской Федерации, к.т.н., Резниченко С.А.: «Руководителям вузов необходимо отказаться от иллюзии, что информационная безопасность обеспечивается только паролем и ежегодной лекцией. В эпоху цифровой трансформации критически важны регулярность, дифференциация, измеримость и психологически безопасная среда».
Исследование Финансового университета показывает, что культура информационной безопасности может быть предметом управленческого проектирования. Ее можно диагностировать, развивать, измерять и улучшать. Дифференцированное обучение персонала, стратегическое внимание руководства, регулярная коммуникация и мониторинг дают заметный эффект: растет осведомленность, снижается число инцидентов, повышается лояльность к цифровизации.
Для российских университетов это особенно актуально. Они одновременно являются образовательными организациями, работодателями, исследовательскими центрами и операторами больших массивов персональных данных. Их цифровая устойчивость становится вопросом не только внутренней эффективности, но и общественного доверия.