Реалии развития современного мира, цифровизация всех сфер жизни общества, бесспорно, стали предпосылками к внедрению электронных технологий в сферу образования. И если сначала «цифра» проникла в систему высшего образования, то начало третьего десятилетия 21 века ознаменовано цифровизацией средней школы. В 2017 году Дмитрий Медведев анонсировал запуск нового приоритетного проекта - «Цифровая школа», который предполагает создание к 2024 году современной и безопасной цифровой образовательной среды, обеспечивающей высокое качество и доступность образования всех видов и уровней, в том числе перевод школьного образования «в цифру». Авторы проекта утверждают, что обучающимся такая система поможет на практике реализовать принцип виртуальной академической мобильности, предоставив им доступ к качественному образовательному контенту от ведущих школ и вузов страны. При этом результаты прохождения онлайн-курса предполагается засчитывать наравне с результатами очного обучения [5].
Следуя терминологии государственного проекта, цифровая образовательная среда (ЦОС) в первую очередь должна быть безопасной для всех участников образовательного процесса. В связи с этим необходимо сформулировать основные требования, которым должна она соответствовать, и проанализировать основной перечень факторов, которые могут угрожать ее безопасности.
Основная часть
Т.к. на данный момент аналогов такой масштабной цифровой среды не существует, были проанализированы основные требования к автоматизированным системам управления технологическими процессами (АСУ ТП), чтобы выявить схожие и различные параметры с ЦОС и сделать вывод о том, насколько угрозы, уязвимости и имеющиеся механизмы защиты первых будут актуальны для рассмотрения в отношении системы безопасности единой образовательной среды.
Таблица 1
Сравнение АСУ ТП и ЦОС
Характеристика | АСУ ТП | ЦОС |
Система реального времени | да | да |
Время реакции | критично | критично |
Высокая пропускная способность | - | + |
Задержка и потеря данных | неприемлемы | неприемлемы |
Перезагрузка | неприемлема | неприемлема |
Технические работы | неприемлемы в момент работы системы | неприемлемы в момент работы системы |
Отказоустойчивость | + | + |
Основной риск | негативное воздействие на окружающую среду, жизнь и здоровье граждан | негативное воздействие на подрастающее поколение и граждан в целом |
Операционные системы | Только специализированные | типовые допускаются, но нежелательны |
Управление изменениями | заранее спланированные и протестированные | заранее спланированные и протестированные |
По данным таблицы 1 наглядно видно, что разница в характеристиках между АСУ ТП и ЦОС незначительна, однако некоторые различия всё-таки имеются. К примеру, для единой цифровой образовательной среды, в отличие от АСУ ТП, критически важна высокая пропускная способность, потому что планируется, что учащиеся с любой точки страны должны получать доступ к образованию без помех, задержек и технических ошибок. Росстат приводит данные, что в 2019-2020 учебном году количество обучающихся (школьников и студентов) превышает 20 млн человек, и ежегодно оно будет увеличиваться, т.к. последствия демографической ямы конца 90-х годов преодолены и в настоящее время наблюдается тенденция на увеличение количество обучающихся (и это без учета тех, кто проходит повышение квалификации и профессиональную переподготовку). Эти данные о пропускной способности необходимо учитывать при проектировании ЦОС.
Кроме того, следует отметить, что если реализация атаки на АСУ ТП приводит к физическому ущербу природе и обществу (природные катастрофы, нарушение технологических процессов промышленности и государства в целом), то потенциальные атаки на образовательную среду могут не в меньшей степени нанести урон обществу, но с замедленным действием – ограничение или отсутствие доступа к образованию приведёт к интеллектуальной деградации граждан, и как следствие, неграмотным действиям общества в различных сферах ее деятельности (экономика, политика и т.п.) и уничтожению государства как такового [2].
На основании вышесказанного можно проанализировать потенциальные уязвимости цифровой образовательной среды. По статистике, около 75% уязвимостей связаны с возможным нарушением доступности (полным или частичным) компонентов систем. Эксплуатация таких уязвимостей, к примеру, в сетевом оборудовании может нарушить сетевое взаимодействие и негативно повлиять на процесс (в нашем случае образовательный).
Опираясь на отчеты компании Positive Technology [4], которая проводит анализ и статистическую обработку данных по количеству уязвимостям АСУ ТП, можно спрогнозировать наиболее распространенные и опасные уязвимости для ЦОС:
1) уязвимости аутентификации посредством «слабой» парольной защиты (Парольная защита). Большая доля таких уязвимостей связана с использованием стандартных паролей или пользователи системы часто используют простые, легко запоминаемые пароли, которые могут быть легко определены или, наоборот, сложные для запоминания пароли с их открытым хранением;
2) уязвимости шифрования из-за использования «слабых» криптографических алгоритмов и систем управления ключами (Ключи);
3) уязвимости, связанные с ошибками настройки сетевого оборудования и сетевых служб ОС, ошибки при разграничении прав доступа и полномочий, ошибки при задании разрешений на доступ к ресурсам, применение стандартных шаблонов безопасности и т. п. (Разграничение доступа).
4) уязвимости программно-аппаратных компонентов, позволяющие использовать DoS-атаки, вызывающие завершение или «зависание» программ, отсутствие доступности среды. Ошибка в программе может позволить злоумышленнику использовать отрытые порты для запуска вредоносного кода в системе, проведения DoS-атаки для переполнения размера буферов данных и т.п. (Переполнение буфера).
5) слабые или отсутствующие механизмы безопасности в системе, например, отсутствие межсетевого экранирования и антивирусной защиты, или устаревшие версии указанных механизмов обеспечения защиты информации (Слабые механизмы безопасности).
Больше половины выявленных уязвимостей относятся к критической и высокой степеням риска. Если уязвимость имеет высокую степень риска, то в большинстве случаев она ставит под удар сразу три свойства безопасности информации — конфиденциальность, целостность и доступность. При этом в большинстве случаев злоумышленнику не требуется никаких специальных условий, чтобы нарушить защищенность элементов системы.
Отсюда можно сделать вывод, какие основные угрозы стоит учитывать при обеспечении информационной безопасности ЦОС, т.к. на каждую уязвимость есть определенный перечень наиболее распространенных угроз, которые в совокупности с уязвимым местом в системе защиты, позволят реализовать атаку. Среди них чаще всего встречаются:
1) закладки в программном обеспечении (ПО) и аппаратных средствах. Данная угроза реализуется из-за недостаточной сознательности пользователей системы, которые устанавливают несогласованное ПО, имея соответствующий для этого уровень доступа.
2) внедрение вредоносного ПО в систему. К причинам, которые описаны в предыдущем пункте, также можно отнести фишинг.
3) действия внутреннего злоумышленника. Данная угроза не может быть полностью минимизирована, но этому способствует грамотная кадровая политика в отношении обслуживающего и вспомогательного персонала системы.
4) эксплуатация уязвимостей системного и прикладного ПО и аппаратных устройств. Решается исключительно путем использования оборудования и программных решений, имеющих лицензию на защиту критически важной инфраструктуры.
5) несанкционированный доступ, в том числе физический доступ в помещения, где размещено оборудование, обеспечивающее и поддерживающее работу системы.
6) физическое подключение к каналам связи.
7) пассивные и активные сетевые атаки.
Для защиты от атак и киберинцидентов необходимо выделять случайную (уязвимости, вызванные случайными отказами оборудования) и систематическую (уязвимости, вызванные недостатками проектирования) составляющие, учитывать данный факт и постоянно проводить оценку и переоценку рисков, которые позволят сконцентрироваться на актуальных угрозах, требующих немедленного реагирования.
Заключение
При разработке цифровой образовательной среды существует набор уязвимостей и угроз, характерных для любых информационных систем. При этом она также имеет ряд специфических особенностей, одним из которых является наличие в ней человека, что позволяет также рассматривать ее как типичный пример социотехнической системы, в рамках которой человек выступает не только как объект, но и в качестве субъекта управления как лицо, принимающее решение. Это вносит некоторую неопределенность в количественную оценку ряда ее показателей. Но при всем этом у ЦОС достаточное количество схожих характеристик с автоматизированными системами управления технологическими процессами, что позволяет частично проводить анализ и оценку рисков по аналогии.
Цифровая образовательная среда, реализуемая в рамках приоритетного проекта «Цифровая школа», требует повышенного внимания не только педагогического состава для разработки грамотного образовательного контента, но и технических специалистов, в том числе в области информационной безопасности, т.к. эта система предназначена для реализации социально-значимого образовательного процесса.
Литература
- Ажмухамедов И.М., Ханжина Т.Б. Оценка экономической эффективности мер по обеспечению информационной безопасности // Вестник Астраханского государственного технического университета. Серия: Экономика. – 2011. - №1. – Стр. 185-190.
- Баева Л.В. Проблемы и перспективы развития открытого дистанционного образования в условиях электронной культуры // Информационное общество. 2017. №3. С. 48-59.
- Никулина Т.В. Информатизация и цифровизация образования: понятие, технология, управление / Т.В. Никулина, Е.Б. Стариченко // Педагогическое образование в России. 2018. № 8. С. 107–113
- Отчеты компании Positive Technology URL: https://www.ptsecurity.com/ru-ru/research/analytics/ (дата обращения 17.12.2019).
- Приоритетный проект «Современная цифровая образовательная среда». URL: http://neorusedu.ru/ (дата обращения 17.12.2019).
- Учаев Д.Ю., Брумштейн Ю.М., Ажмухамедов И.М., Князева О.М., Дюдиков И.А. Анализ и управление рисками, связанными с информационным обеспечением человеко-машинных асу технологическими процессами в реальном времени // Прикаспийский журнал: управление и высокие технологии. — 2016. — №2. — Стр. 82-97.
- Шахновский Г. Безопасность Систем SCADA и АСУТП // Мост Безопасности. URL: http://www.security-bridge.com/biblioteka/stati_po_bezopasnosti/bezopasnost_sistem_scada_i_asutp (дата обращения 07.12.2019).