Как студенты Казани спасают вузы от хакерских атак
Сейчас, в разгар работы приемных комиссий в вузах и колледжах, активируются не только абитуриенты, но и хакеры. Злоумышленники устраивают атаки именно в момент, когда ИТ-системы учебных учреждений испытывают пиковые нагрузки и усиленно эксплуатируются будущими студентами. Еще пару лет назад университеты смотрели на хакерскую активность как на нашествие саранчи — такое же неизбежное, массовое и разрушительное бедствие. Но сегодня студенты отдельных вузов стараются сами противостоять атакам, приобретая бесценный практический опыт в сфере кибербезопасности. Как им это удается и какую роль в их подготовке играет федеральная программа «Приоритет 2030» — в авторской колонке «Реального времени» рассказывает руководитель «Академии Кибербезопасности» Innostage Нина Шипкова.
Студенты против хакеров
Атакуя университеты, хакеры преследуют сразу несколько преступных целей. В первую очередь результативная атака позволяет сорвать набор учащихся, подорвать имидж учебного заведения и даже дискредитировать всю государственную образовательную систему. Кроме того, взлом личных кабинетов абитуриентов, студентов и сотрудников вуза оборачивается кражей персональных данных, а иногда и захватом других учетных записей жертвы — от почтовых сервисов до онлайн-банкинга. В отдельных случаях может иметь место кража или шифрование данных, относящихся к интеллектуальной собственности — исследований, инновационных разработок и других научных трудов.
С 2021 года, согласно Стратегии национальной безопасности РФ, информационная безопасность входит в перечень государственных приоритетов. По программе «Приоритет 2030» большое внимание уделяется цифровой устойчивости университетов и научных организаций. Только в этом году в ней участвуют 119 вузов из 50 регионов России, они получат свыше 30 млрд рублей.
Программа реализуется в рамках федерального проекта «Кадры для цифровой экономики» национальной программы «Цифровая экономика Российской Федерации». Как указал в своем обращении к Федеральному собранию президент РФ Владимир Путин, к концу десятилетия должны быть сформированы более 100 прогрессивных отечественных вузов — центров научно-технологического и социально-экономического развития страны.
В этой связи успешно реализуется и курируется обеспечение надежной защиты информационных систем учебных учреждений от киберугроз, внедряются передовые технологии защиты данных в рамках Сборника лучших практик проекта, особенно развивается проведение исследований и разработка новых решений для повышения устойчивости кибербезопасности. Но должный уровень защиты критических систем и сервисов усилиями самих университетов обеспечить не так просто: нужны современные средства защиты информации, а также штат сотрудников, которые умеют правильно их эксплуатировать.
Это действующий центр противодействия киберугрозам, где основную роль выполняют студенты под руководством своих преподавателей и экспертов-практиков. Все участники проекта проходят вводное практическое обучение и остаются на связи с менторами на протяжении участия в проекте.
Киберзащитников становится все больше
В феврале 2024 года с присоединением ИТ-кампуса Неймарк из Нижнего Новгорода образовательный проект масштабировался до Поволжья и получил более широкое название «Студенческий SOC». Еще через пару месяцев он стал всероссийским и теперь включает порядка десяти вузов от Мурманска на западе до Владивостока и Благовещенска — на восточных рубежах страны.
Модель «Студенческого SOC» обеспечивает киберустойчивость вузов и решает кадровую задачу: студенты дают отпор хакерам, участвуют в блокировке и расследовании атак на свои университеты, приобретают опыт работы с современными программами и оборудованием. Кроме того, их активно привлекают к участию в студенческих кибербитвах — турнирах, где они оттачивают навыки защиты информации и исследуют инструменты взлома.
Всероссийская студенческая кибербитва — еще один проект, ставший органичным дополнением к «Студенческому SOC». Через элементы геймификации и соревнования менторы оценивают практико-ориентированную подготовку специалистов, помогают участникам увидеть точки профессионального роста и наметить новые цели. В сентябре в рамках международного ИТ-форума Kazan Digital Week –2024 состоится третья Всероссийская студенческая кибербитва.
К моменту получения диплома, а то и за год-два до этого события, участники «Студенческого SOC», активно задействованные в студбитвах, становятся востребованными специалистами, которые могут выбирать из десятка оферов от крупных компаний.
Сколько атак совершается на вузы
В течение первого полугодия 2024 года российские вузы стали объектами многочисленных кибератак. Досталось как вузам из топ-10, так и региональным alma mater. Детальная статистика собрана по инфраструктуре вузов Татарстана, которые первыми вошли в «Студенческий SOC», у них также наблюдается рост количества инцидентов.
Из «пилотной четверки», по данным отчетов, наибольшее число инцидентов было зарегистрировано и обработано в КНИТУ-КАИ. Отчеты за апрель и май показывают 5 490 и 5 304 подозрительных активностей соответственно, что, вероятно, напрямую связано с повышенной активностью в сетевых взаимодействиях студентов и абитуриентов.
От сбоев главным образом страдают интерфейсы для подачи документов и личные кабинеты поступающих, что заставляет абитуриентов и их родителей сильно нервничать. Кто-то, встретив такое препятствие, может даже отказаться от поступления в конкретный вуз.
В целом по консорциуму вузов за май и июнь был выявлен ряд событий, потенциально свидетельствующих о попытках закрепления вредоносного ПО. Студенческий Центр мониторинга и реагирования киберугроз на базе КНИТУ-КАИ зафиксировал 4 488 срабатываний правил корреляции, но большинство из них оказались ложными. При этом июнь показал значительное снижение ложных и рост реальных инцидентов.
Повышение защищенности периметра университетов охладило хакерский пыл в применении инструментов проникновения в корпоративную сеть. Так, в июне вдвое уменьшилось число инцидентов, связанных со сканированием портов, и в 5 раз сократились сетевые атаки.
В КГЭУ в мае и июне было зафиксировано по 310 попыток доступа к памяти процесса LSASS с угрозой утечки чувствительных данных. Это один из ключевых факторов, показывающих повышенное хакерское внимание.
Практически не бывает так, чтобы в инфраструктуре не происходили инциденты. Самое главное, чтобы не возникали события ИБ, представляющие реальную угрозу цифровой устойчивости университета. По статистике Центров вузов, осуществляющих защиту инфраструктуры четырех вузов Татарстана, подобных критичных инцидентов с начала лета не выявлено.
Благодаря круглосуточному мониторингу событий в Центре противодействия киберугрозам видят практически все, что происходит в инфраструктуре, выявляют любые подозрительные активности и своевременно реагируют на них.
Ежегодно российские университеты сталкиваются с возрастающим числом кибератак, стартующих практически одновременно с онлайн-приемом документов. Решение проблемы оказалось простым — защищаться собственными силами.