Злоумышленник перехватил управление в Zoom и показал непристойности во время урока, – вот типичная новость этого года в западных СМИ.
КИБЕРАТАКИ БЫЛИ, НО ТЕПЕРЬ СТАЛИ ПРОБЛЕМОЙ
Не стоит думать, что инциденты стали открытием для учебных заведений с введением карантина. Хакерские атаки начались задолго до пандемии коронавируса и массового перехода на онлайн-обучение. Год назад школьный округ города Сан-Бернардино, штат Калифорния, стал целью атак вымогателей. Университет штата Юта и Университет Калифорнии заплатили выкупы в размере $457 тыс. и $114 тыс. соответственно, чтобы получить доступ к своим системам.
Эксперты отмечают, что учреждения среднего образования (уровня ниже колледжа) являются наиболее уязвимыми для взлома. Кибератаки на школы обходятся преступникам дёшево, но для их предотвращения или восстановления самим школам могут потребоваться миллионы долларов. У школьных округов просто нет ресурсов, как финансовых, так и кадровых, чтобы справиться с такими атаками.
Если кибератаки на компании и корпорации приносят хакерам прибыль, то целью нападений на образовательные и академические учреждения становятся исследовательские программы или лёгкий грабёж. Некоторые университеты готовы заплатить выкуп за восстановление данных студентов или финансовых транзакций, только бы не оказаться втянутыми в судебные тяжбы со стороны пострадавших. Да и восстановление университетской компьютерной системы может занять несколько месяцев, что парализует не только дистанционное обучение, но и весь образовательный процесс в целом.
НЕХВАТКА ФИНАНСИРОВАНИЯ И КАДРОВ
Среди последних примеров – августовские атаки на школьный округ Риальто и Колледж Пустыни в Калифорнии. Дистанционные программы остановились, заражённые компьютеры и гаджеты были изъяты для проверки и замены. В Нью-Йорке злоумышленники перехватили управление во время пресс-конференции в Zoom мэра города и Объединённой федерации учителей. Во Флориде в школе Майами-Дейд после многодневных кибератактак и не смогли начать дистанционное обучение. По словам официальных лиц, многие атаки были совершены из-за пределов страны.
Согласно данным отчёта Risk Based Security Quick View за 2019 г., на сектор образования пришлось 7,2% от общего числа обнаруженных кибератак. Это немного по сравнению со сферами здравоохранения (13%) или бизнеса (69%). Однако теперь всплеск атак отмечается именно в связи с массовым переходом на онлайн-обучение. Во многом успехи хакеров объясняются сокращением финансирования IT-сектора в университетах и колледжах (всего 4,4% бюджетов), что создало серьёзные препятствия для модернизации классов и полноценного выстраивания дистанционного обучения.
По данным EDUCAUSE, на 1 тыс. штатных сотрудников в университетском кампусе приходится всего 0,26 штатной должности в отделе IT, включая ИБ. В результате университеты сейчас имеют большие проблемы при построении цифрового доверия, дистанционного образования, управления процессом обучением и в социальных сетях.
ПОЛОЖИТЕЛЬНЫЕ ПРИМЕРЫ
Примером правильного подхода к вопросам кибербезопасности называют школьный округ долины Джурупа в Калифорнии. Программа ИБ работает тут шесть лет. Команда безопасников округа установила несколько уровней защиты (фильтры, межсетевые экраны) и ввела двухфакторную аутентификацию. Ответственность за кибербезопасность стала стандартной частью страхования ответственности школ ещё задолго до того, как получила массовое распространение.
С началом этого учебного года школьный округ Лагуна-Бич ввёл дополнительные уровни защиты своей компьютерной системы и цифровых устройств. При помощи Департамента образования округа Ориндж тут провели обширную проверку безопасности, в первую очередь – тестирование систем в реальном времени на выявление уязвимостей.
Власти Нью-Йорка тоже внесли свою лепту. С началом учебного года в местных СМИ проводится целевая информационная кампания: до населения настойчиво доводятся простые правила, которые помогут защитить конфиденциальность ребёнка и обеспечить его безопасность. Например, рекомендации выключать веб-камеры и микрофоны компьютеров после онлайн-уроков, скрывать личную информацию ребёнка, не оставлять перед веб-камерой счета или выписки из банка, не использовать для дистанционного обучения устройство, с которого есть выход в банк, и т. д. и т. п.
Также предлагается остерегаться фишинговых сайтов и рекламных баннеров онлайн-магазинов. Из 35 тыс. новых доменов, зарегистрированных за последние три месяца, более 500 оказались злонамеренными, ещё 3400 отнесены к подозрительным.
ОПЫТ АРКАНЗАСА И ГОСПОМОЩЬ
В сельской школе Джексон штата Арканзас родители и учителя местного школьного округа прошли тренинг по онлайн-обучению. По данным Ресурсного центра государственных школ, округ входит в число 170 (из 263) округов штата Арканзас, школы которых используют систему управления дистанционным обучением, разработанную Lincoln Learning Solutions Inc. из Филадельфии. Администраторы системы объяснили собравшимся, как получить доступ к цифровой учебной программе, как отправлять задания и как использовать службу видео-конференц-связи Zoom для общения с учителями и одноклассниками.
Этой осенью всего 10% из 950 школьников этого округа учатся дома, в других округах штата эта цифра значительно выше. Школьные округа используют различные образовательные платформы для загрузки учителями видео, заданий и контента — Google Classroom, Schoology и Canvas.
Поставщики ПО предлагают готовые учебные программы, дополняющие или полностью заменяющие очные занятия. Большинство школ используют микс из учебных программ, разработанных их собственными учителями, и базовых цифровых контентов, которые легко объединяются с помощью платформы управления обучением.
Решение внедрить в штате систему дистанционного образования было принято Управлением начального и среднего образования Арканзаса, однако выбор платформ и решений для онлайн-обучения оставили на усмотрение округов. Многие школы уже несколько лет используют платформы для удалённого обучения, но в условиях пандемии пришлось внедрять новые системы или в авральном порядке приспосабливать уже имеющиеся.
Департамент образования штата Арканзас в сотрудничестве с Lincoln Learning – некоммерческим центром ресурсов государственных школ – предлагает местным округам цифровой контент и систему управления обучением. Цифровой контент и ПО бесплатны – за всё платит департамент, выделивший $2,4 млн по Coronavirus Aid, Relief, and Economic Security Act (CARES). До $310 тыс. из этой суммы предназначено для помощи школам при внедрении ПО, а $1,9 млн – для оплаты услуг Lincoln Learning, в том числе за систему управления обучением Buzz и цифровую учебную программу, которая включает основные и факультативные занятия.
ОБУЧЕНИЕ ВИРТУАЛЬНОЕ – ПОМОЩЬ РЕАЛЬНАЯ
Пример Арканзаса не единственный. Департаменты образования многих территорий США купили у компаний виртуальные решения и бесплатно предлагают платформы и контент государственным школам. Особое внимание уделяется сельским районам с ограниченными ресурсами. Помощь варьируется от денег на оплату услуг до помощи учителям и администраторам в обучении и быстром создании контента для обучения на дому.
Платформ много. Кроме упомянутой Lincoln Learning, предлагаются разработки систем Power School и Schoology, LMS Seesaw и пр. Например, в штате Техас подписано соглашение о партнёрстве с компанией Power School, занимающейся онлайн-обучением, и предлагается платформа управления обучением Schoology – бесплатная в течение двух лет для всех школ штата.
БЕСПЛАТНЫЙ СЫР
Но за бесплатный сыр когда-то придётся заплатить, а сделает это государство или штат – пока неизвестно. Школьные округа в Арканзасе обеспокоены инвестициями, которые им, возможно, придётся сделать в будущем для продолжения использования полученного бесплатно ПО. Представители Департамента образования Арканзаса и Ресурсного центра государственных школ заявили, что ещё не решили, будут ли они предлагать платформу бесплатно после весеннего семестра. Неизвестна и стоимость поддержки системы, если школы решат продолжить использовать её самостоятельно.
Поставщики ПО для дистанционного образования взимают плату со школьных округов, используя ряд показателей, например активность использования продукта и число пользователей. Поэтому онлайн-платформа может стоить округу от нескольких тысяч до более чем $1 млн. Согласно отчёту консалтинговой и исследовательской компании 360 iResearch, глобальный рынок систем управления обучением вырастет с $9,5 млрд в 2019 году до $29,9 млрд к 2025 г. Рост во многом связан с высокими темпами внедрения продуктов из-за пандемии.
В округе Граветт в северо-западном Арканзасе около 24% из 1850 школьников этой осенью решили остаться дома. И директора школ хотят извлечь максимум пользы из ПО от Lincoln Learning. А вот округ Литл-Рок, где 50% из 25 тыс. учащихся выбрали дистанционное образование, отказался от Lincoln Learning из-за опасений по поводу будущих расходов.
Согласно обзору Департамента образования Арканзаса, 14 округов штата используют Schoology, в том числе школьный округ Форт-Смит, который подписал годовой контракт на $52,825 с Power School на использование платформы для 7750 учеников в шести средних и трёх начальных школах.Округ Форт-Смит тратит $1,9 млн на цифровую учебную программу Pearson Connexus от британской Pearson Education. Школьный округ Фаунтин-Лейк заплатил в этом году $2750 за использование Seesaw LMS в своей начальной школе, где учатся 1400 учеников. Учащиеся средних и старших классов используют бесплатный Google Classroom. Школьный округ уже потратил $168 тыс. на финансирование CARES и почти $300 тыс. на подготовку школ – закупку средств дезинфекции и цифрового контента от MyON, платформы, предлагающей ученикам цифровые книги.
По данным газеты Democrat-Gazette, округ Литл-Рок заплатил Power School более $165 тыс. за использование системы управления обучением Schoology для дистанционного обучения детей с детского сада до 12-го класса в 2020/2021 учебном году. Это первый платёж в рамках трёхлетнего договора. Округ также заплатил компании Seesaw Learning Inc. более $20 тыс. за использование системы LMS Seesaw в дошкольных учреждениях в течение двух лет. Для покрытия расходов в этом учебном году округ использовал финансирование CARES, но как будет оплачиваться платформа в будущем – не очень понятно.
Что касается бесплатной платформы Google Classroom, то она удобна, полезна и широко используется. Однако школьные чиновники заявили, что у неё есть ограничения. В качестве альтернативы предлагается совсем недешёвая Schoology, позволяющая учителям создавать классы и архивировать их из года в год, а школьным администраторам обмениваться информационными ресурсами со всем округом.
ЭФФЕКТИВНО ЛИ ОНЛАЙН-ОБУЧЕНИЕ?
Исследования эффективности онлайн-обучения проводились во многих штатах. Эксперты считают, что иногда виртуальные классы полезны, но в целом очное обучение всё-таки лучше. Хотя факторов успеха множество: квалификация учителей, качество образовательной платформы, отношение к онлайн-программе районной администрации, выраженное в финансировании… Если, как говорится, все эти звёзды сходятся, что случается нередко, то всё складывается отлично. По результатам тестирования учитель может увидеть проблемы у конкретного ученика и провести с ним дополнительные онлайн-консультации и занятия. Но, если оценки промежуточного обучения нет, возникают проблемы.
По мнению Пола Ревиля, профессора Высшей школы образования Гарвардского университета, онлайн-образование имеет «огромный потенциал», но качественную онлайн-программу невозможно создать в одночасье. Для этого нужно время и активная совместная работа школ, составителей учебных программ и разработчиков образовательных платформ. Необходимо также и усилие учителей в овладении технологиями виртуального класса, чтобы «лошадь слушалась хозяина», а не наоборот.
Опрос исследовательской компании в области образования Upbeat показал, что только 60% учеников регулярно участвовали в онлайн-занятиях во время карантина. В районах с высоким уровнем бедности онлайн-классы посещают всего 50% учеников. А уверенность самих учителей в успехе урока упала с 96% при очной работе до 73% в режиме онлайн. Многие учителя уходят из профессии, что создаёт сложности в сельских районах. Так, руководители округа Марвелл-Элейн (Арканзас) серьёзно обеспокоены потерей преподавателей.
ДВОЙНОЙ УДАР ПО УНИВЕРСИТЕТАМ
Университет Редлендса (Калифорния) усиливает меры кибербезопасности с момента начала дистанционного обучения весной 2020 г. Департамент ИБ получил внутренний грант для обучения дополнительных стажёров и был реорганизован, что позволило большему числу сотрудников сосредоточиться исключительно на сетевой безопасности.
Но гранты дают не везде. Что советуют эксперты учреждениям, которые недофинансированы или недоукомплектованы персоналом? Все как один утверждают, что важнейший шаг – базовое обучение пользователей. Именно конечный пользователь представляет самую большую угрозу безопасности.
Руководители служб безопасности университетов считают, что в первую очередь необходимо обучить студентов и преподавателей защите данных. Но принципы ИБ часто противоречат академическим традициям свободного обмена информацией. Например, при оценке исследований и связанных с ними практик предполагается открытый доступ к информации, что полностью противоречит политике информационной безопасности. Решением проблемы становится выбор правильной платформы для обмена сообщениями и обучение студентов и преподавателей методам обеспечения ИБ, принципам работы хакеров и типам кибератак.
Эксперты также отмечают, что университеты, участвующие в исследованиях, связанных с Covid-19, подвергаются особому риску. Даже если хакеров не интересуют научные данные и интеллектуальная собственность, они стремятся получить доступ к огромным массивам конфиденциальной личной информации, хранящейся в этих университетах. Майкл Дафф, главный специалист по ИБ Стэнфордского университета, отмечает рост числа фишинговых атак с начала пандемии, и большинство схем имеют финансовую мотивацию.
А системы Университета Ньюкасла (Великобритания) пострадали из-за двойного воздействия – коронавируса и кибератаки. С одной стороны, на них давили новые санитарные нормы, с другой – хакеры. В конце августа киберпреступники взломали компьютерную сеть университета, украли данные и зашифровали исходники с помощью вредоноса Doppel Paymer. Университет не смог распределить студентов первого курса по общежитиям в автоматическом режиме, в результате сотрудники вручную регистрировали более 1000 студентов-медиков. Число таких регистраций вырастет, поскольку все учащиеся должны получить доступ к студенческим кредитам.
Хакеры выложили несколько украденных документов из базы данных университета, угрожая массовой утечкой личных данных студентов. Студенты стали возмущаться, что университет не информировал их об инциденте и не сделал публичного заявления о попытке выкупа. На момент подготовки обзора сотрудники университета вели работы по восстановлению системы, пытаясь установить, какие из её 1500 серверов заражены, и проводили переговоры с правоохранительными органами. По данным SkyNews, ущерб от взлома систем для сотрудников и студентов может быть значительным, поскольку хакеры получили доступ к паролям, хранившимся в виде простого текста. Если будет установлено что университет небрежно защищал личную информацию, ему грозит значительный штраф в соответствии с Общими правилами защиты данных.
Справедливости ради стоит заметить, что Управление комиссара по информации Великобритании исторически не решается назначать штрафы за нарушения безопасности в высших учебных заведениях. Скорее всего, не решится и в этот раз.
ЧТО ДЕЛАТЬ?
Поскольку высшая школа вступает в беспрецедентный учебный год, западные эксперты тотально заняты выявлением общих проблем в кибербезопасности онлайн-обучения, их причин и способов устранения. Предлагаем познакомиться с советами по снижению основных рисков в онлайн, гибридном и дистанционном обучении, которыми делится сетевое издание EdTech: Focus on higher education.
1. Построение цифрового доверия. Учитывая, что высшее образование, возможно, никогда не вернётся к традиционной форме, важным моментом является построение цифрового доверия. Способность организации защищать цифровую информацию имеет решающее значение в новом учебном году, поскольку основное взаимодействие будет осуществляться в сети.
Поставщики платформ для онлайн-обучения должны обеспечить безопасность и конфиденциальность своих приложений и методов взаимодействия с пользователями: необходимо понять, кто и как будет работать с ПО, какие данные будут вносить, как будут ими пользоваться и распространять. Университеты должны отдавать приоритет контрактам с нулевым доверием, предоставляя доступ только доверенным сотрудникам кампуса и студентам. Важно знать, кто, как и с какой целью собирает данные и где они будут их использовать.
2. Управление доступом. Системы дистанционного обучения должны быть готовы решать вопросы кибербезопасности. Ключевым моментом тут является управление доступом. Поскольку многие студенты получают доступ к системам электронного обучения из разных мест, университетам нужны решения, которые могут оценивать как текущие, так и старые запросы доступа, отклонять или утверждать вход в систему, автоматизировать отчёты об инцидентах и разрывать соединения.
3. Системы управления обучением изначально должны обеспечивать безопасность и конфиденциальность данных. Часто проблема кроется в обеспечении безопасности надстроек, обеспечивающих совместимость средств обучения, в безопасных переходах по ссылкам, которые дают преподаватели. Также стоит рассмотреть инструменты оценки уязвимости, которые могут выявить потенциальные проблемы системы до того, как она будет массово применяться в процессе обучения.
4. Защита социальных сетей. Всё больше преподавателей обращаются к социальным сетям, чтобы привлечь студентов во время онлайн-обучения. Это влечёт за собой риски кибербезопасности, поскольку открывает двери вирусам и вредоносным программам. Основные меры безопасности – последние обновления и резервные копии важных данных – могут значительно снизить большинство рисков. Необходимо регулярно проводить обучение сотрудников и студентов. Простейшие меры значительно снизят потенциальный риск заражения.
5. Защита сервисов сторонних поставщиков. Речь о сторонних сервисах, обрабатывающих данные для университетов, и растущем количестве устройств промышленного Интернета вещей в кампусе.
Тут требуется как первоначальная оценка сети, так и развёртывание новой инфраструктуры, способной поддерживать подключение к Интернету вещей в любом масштабе. Важно иметь возможность выявлять приложения и сервисы, которые содержат потенциальные точки взлома, использовать облачные технологии, работающие с подключением разнообразных устройств.
6. Кибербезопасность онлайн-классов университетов и колледжей становится важной задачей для ИT и ИБ отделов университетов. Тут в первую очередь необходимо восполнить кадровый голод и уделить максимум внимания вопросам кибербезопасности, описанным выше. И тогда дистанционное обучение принесёт желаемые результаты.