Sitename
Войти
Информационная безопасность онлайн-школы

Информационная безопасность онлайн-школы

Как защитить бизнес от утечки данных.
Сообщения об утечке персональных данных и финансовой информации, кражах интеллектуальной собственности встречаются повсеместно. Спланированные атаки и спонтанные ошибки в работе с данными могут серьёзно навредить бизнесу. Злоумышленники могут слить курс в сеть, получить доступ к клиентской базе или вовсе вовлечь школу в финансовую аферу. Поэтому так важно защищать данные компании и клиентов.

Информационная безопасность — это сохранение и защита внутренних данных компании, оборудования и ПО, которые используются в работе. Поговорим об основных угрозах цифровой безопасности и о том, как их избежать.

Содержание

Какие бывают угрозы для бизнеса
От чего защищаться онлайн-школе: 6 основных угроз
Как организовать работу, чтобы обезопасить онлайн-бизнес от утечки информации
Угроза информационной безопасности

Какие бывают угрозы для бизнеса

Все опасные воздействия можно условно разделить на три группы:
  • Внутренние злонамеренные
    Например, данные сливает сотрудник компании. Такая ситуация произошла в феврале 2022 года с сервисом Яндекс Еда, когда в сети появились телефоны клиентов, информация о составе заказа и адреса доставок.
  • Внешние злонамеренные
    Хакерские, они же «киберкриминальные» атаки из внешней среды. С целью как заблокировать доступ компании к своим ресурсам, так и украсть информацию. Например, в июне 2022 года хакеры взломали базу данных образовательного портала GeekBrains. В открытый доступ попала информация о курсах, которые приобрели ученики.
  • Случайные
    Пример: для работы локальной сети используется внутренняя поисковая система, она функционирует только внутри сети. Но при обновлении конфигурации внешнего сетевого оборудования вход в поисковую систему стал виден всему интернету — допустим, по случайной ошибке сисадмина.
Чаще всего так в сеть утекает незначительная и несущественная информация, потому что серьёзные данные изолированы от интернета. Но репутация компании всё равно страдает.
информационные риски для онлайн-школы

От чего защищаться онлайн-школе: 6 основных угроз

Доступ к сайту и образовательной платформе, учебные материалы, сведения об учениках, их персональные данные — всё это важные активы онлайн-школы. Потеря хотя бы одного из них создаёт риски и подрывает доверие пользователей.

Расскажем про основные угрозы, с которыми сталкиваются онлайн-школы.
  • Кибератака на сетевую инфраструктуру
    Обычно проходит в два этапа: сначала взламывается сетевой периметр из интернета. Дальше, закрепившись во внутренней сети, хакеры получают доступ ко многим системам и критически важной информации.
  • Фишинг
    Подделываются электронные письма, клонируются официальные сайты — мошенники используют любую площадку, которая вызывает доверие. Цель — заставить пользователя перейти по ссылке, а дальше уже вариации: либо он сам передаёт конфиденциальную информацию, либо на устройство устанавливается вредоносное ПО.
  • Блокировка доступа
    DDoS-атака на сайт или сервер — одновременно с разных устройств отправляется невероятное количество запросов. Сервер с обработкой не справляется и перестаёт отвечать на запросы от легитимных пользователей. В итоге сайт заблокирован, пока DDoS-атака не прекратится.
DDoS-атаки особенно опасны для онлайн-школ, потому что большая часть обучения и коммуникации происходит через сайт и онлайн-платформы. Отключен сайт или образовательная платформа — всё, никаких уроков, трансляций, продаж. Образовательный процесс на паузе.
  • Утечка или кража данных пользователей и другой конфиденциальной информации
    Позаимствовать персональные данные учеников, пароли, данные платёжных карт и многое другое могут как недовольные сотрудники, так и внешние нарушители.

    Если ученики используют личные устройства, например для участия в вебинарах, это ручеёк для слива данных. Домашние компьютеры обычно плохо защищены и через них проще собрать информацию о пользователях.
  • Дефейс сайта
    Главная страница сайта подменяется другой, с рекламой или иной информацией, нарушающей закон.
  • Воровство уникального образовательного контента
    Методики, лекции, видео, домашки — наработанные годами материалы сливают в сеть, как итог: ценность платного курса падает. Это не приговор, но неприятная подножка на пути к успеху. И от неё можно и нужно застраховаться.
Архитектор кафедры «Информационная безопасность и системное администрирование» IThub college:
Екатерина Старостина
— Онлайн-школе важно защищать данные и информацию об учащихся, преподавателях и сотрудниках. Личную информацию — имена, адреса и контактные данные, академические и финансовые записи, и любые другие конфиденциальные данные, связанные со школой. Все системы, в которых хранится эта информация, должны быть защищены от несанкционированного доступа.
Онлайн-школы часто сталкиваются с атаками методом социальной инженерии — это манипулирование пользователями, чтобы завладеть важными данными. Вариантов обмана ученика множество, и все они работают.

Самый простой пример такой атаки — обман в процессе помощи в выполнении заданий. Ученики предоставляют данные для доступа в свои личные кабинеты или переводят деньги злоумышленникам, которые гарантируют решение, прохождение тестов. И, конечно, используют такую доверчивость в своих целях.
как защитить бизнес от утечки информации и атак мошенников

Как организовать работу, чтобы обезопасить онлайн-бизнес от утечки информации

Этап первый — определить, какие данные нужно защищать.

Расставить приоритеты и тщательно охранять критически важное.

Онлайн-школе, в первую очередь, нужно:
  • оберегать персональные данные учеников — особенно если на платформе возможна оплата курсов;
  • закрывать от скачивания и копирования образовательный контент;
  • контролировать и защищать доступ на сайт онлайн-школы или образовательную платформу.
Этап второй — установить инструменты защиты.
  • Антивирусы — программу выбирают в зависимости от местоположения сервиса (обычное или облачное), самих устройств и стоимости.
  • DLP (data leak prevention) — программное обеспечение, которое защищает от утечки данных. Особенность DLP в том, что оно не только блокирует передачу данных по различным каналам, но и позволяет наблюдать за ежедневной работой персонала.
  • Программы для шифрования данных — это страховка на случай «потери» персональных данных. Даже если они уйдут в сеть, то останутся непрочитанными.
  • Межсетевые экраны — защищают от несанкционированного доступа из внешней сети.
  • Комплексные SIEM-решения — собирают информацию обо всех событиях в системах, которые обеспечивают информационную безопасность: из межсетевых экранов, антивирусов и другого ПО.
    SIEM дают полную картину и позволяют быстро обнаружить угрозу.
Онлайн-школе не лишне иметь своего консультанта или специалиста по информационной безопасности, а возможно, и целый отдел. Ещё вариант — заключить договор на аутсорсинговое обслуживание.

Самое важное:
  • назначить ответственных сотрудников, которые будут действовать и принимать решения;
  • найти профессионалов — это может быть свой IT-специалист или сторонняя организация;
  • всю необходимую информацию, в том числе контакты на «всякий пожарный», хранить отдельно, на внешнем носителе или облаке;
    мониторить закон: в каких случаях и куда надо передавать информацию.
как защитить корпоративную информацию

Как защитить корпоративную информацию: контрольный чек-лист

Технический минимум для проверки того, насколько школа защищена от кибератак:
  • Везде установлены пароли и аутентификация.
    Созданы сложные пароли и от пользователей требуется их регулярная смена. В идеале использовать двухфакторную аутентификацию: первый рубеж — это логин и пароль, второй — специальный код, который приходит по SMS или на почту. Когда злоумышленник попытается войти в систему, он не сможет сделать этого без правильного пароля и кода проверки.
  • Везде изменены пароли «по умолчанию».
    Во всех приложениях, операционных системах, межсетевых экранах — на всём, что имеет доступ в сеть.
Обязательно менять пароли при смене подрядчика или увольнении сотрудника. Если не хотим распахнуть дверь для нечистого на руку бывшего сотрудника — закрываем доступ. Обязательно убираем всех «лишних» людей из CRM-системы.
  • Применяется шифрование данных, на всех рабочих устройствах онлайн-школы установлено антивирусное и специальное ПО.
    И ограничено использование съёмных носителей.
  • Сотрудники онлайн-школы обучены элементарным навыкам цифровой гигиены:
    — не переходят по сомнительным ссылкам;
    — меняют пароль хотя бы 1 раз в 6 месяцев;
    — везде используют разный сложный пароль.
  • Проводится инструктаж среди сотрудников.
    Каждый знает, что является публичной информацией, а о чём рассказывать нельзя. И что будет при нарушении этих правил.
  • Инфраструктура и доступы сегментированы.
    В идеале IT-инфраструктура устроена по принципу подводной лодки: каждый отсек отделён переборкой, которую можно задраить и спасти всё судно. Пользователи и ресурсы онлайн-школы разделены по доступам на изолированные друг от друга группы.
    Тогда, при взломе одного сегмента, злоумышленники не попадут «автоматически» во всю остальную инфраструктуру.
  • Резервные копии регулярно сохраняются.
    Рутинная и скучная задача, которая станет спасением при сбое.
    Хотя бы одна резервная копия должна быть вне доступа сети.
Екатерина Старостина
— Помимо установки антивирусов, аутентификации пользователей и обучения сотрудников «правилам поведения» с программами и данными, важно внедрить контроль доступа — только авторизованный персонал может просматривать определённые файлы или документы в системе. А резервные копии лучше делать раз в сутки, чтобы любые потерянные данные можно было быстро восстановить.

Если утечка данных всё-таки произошла:
  • Обратиться в местные правоохранительные органы — они расследуют, как произошло нарушение.
  • Сообщить в Роскомнадзор — именно он следит за исполнением законодательства о персональных данных.

    Школе как оператору персональных данных нужно в течение 24 часов сообщить о нарушении, обстоятельствах инцидента, возможных причинах и предполагаемом вреде.

    В течение 72 часов — уведомить о результатах внутреннего расследования. С подтверждённой учётной записью можно подать уведомление электронно через Госуслуги. Если вы считаете, что нарушены ваши права как субъекта персональных данных, на сайте Роскомнадзора также можно заполнить соответствующую форму обращения.
  • При необходимости рассказать затронутым в происшествии, что произошло.
  • Принять меры, чтобы подобное больше не повторилось.
В продолжение темы:

Авторское право на онлайн-курс — как защитить и самому не стать нарушителем
Как бороться со складчинами юридически
Как работать с персональными данными
Больше материалов — в телеграм-канале Понятно. Подписывайтесь, чтобы не пропустить самое интересное!
Оцените статью
Zenclass — простая платформа для создания онлайн-школы. Всё интуитивно понятно: несколько кликов — и курс готов. Начнём?
Хочу школу!