РИСКИ КИБЕРЗОПАСНОСТИ СИСТЕМ ДИСТАНЦИОННОГО ОБУЧЕНИЯ

Научная статья
DOI:
https://doi.org/10.23670/IRJ.2019.88.10.005
Выпуск: № 10 (88), 2019
Опубликована:
2019/10/18
PDF

РИСКИ КИБЕРЗОПАСНОСТИ СИСТЕМ ДИСТАНЦИОННОГО ОБУЧЕНИЯ

Научная статья

Оладько В.С. *

ORCID: 0000-0003-0500-8928,

Финансовый университет при Правительстве Российской Федерации, Москва, Россия

* Корреспондирующий автор (oladko.vs[at]yandex.ru.ru)

Аннотация

В статье затрагивается проблема обеспечения кибербезопасности систем дистанционного обучения образовательных учреждений. Рассмотрены основные факторы риска безопасности, виды и источники угроз. Составлена модель нарушителя информационной безопасности в системе дистанционного обучения, описаны виды нарушителей и преследуемые цели.  Предложен и математически описан алгоритм оценки рисков кибербезопасности. Для расчета рисков было предложено использовать трехфакторную модель учитывающую частоту реализации угрозы, ущерб и коэффициент результативности контрмер по противодействию угрозе.

Ключевые слова: социотехническая система, модель нарушителя, угроза, ущерб, меры защиты, образование.

RISKS OF CYBER SECURITY OF DISTANCE LEARNING SYSTEMS

Research article

Oladko V.S. *

ORCID: 0000-0003-0500-8928,

Financial University under the Government of the Russian Federation, Moscow, Russia

* Corresponding author (oladko.vs[at]yandex.ru.ru)

Abstract

The article addresses the issue of providing cybersecurity of distance learning systems at educational institutions. The main safety risk factors, as well as types and sources of threats are considered. A model of the information security violator in the distance learning system is compiled; types of violators and goals pursued are described. A cybersecurity risk assessment algorithm is not only proposed but also mathematically described. To calculate risks, it was offered to use a three-factor model that takes into account the frequency of threat, damage and coefficient of effectiveness of the measures aimed at countering the threat.

Keywords: sociotechnical system, model of the violator, threat, damage, protective measures, education.

Введение

Сегодня образовательные учреждения широко используют в своей деятельности электронную информацию, средства вычислительной техники, информационные системы, интернет – ресурсы и системы дистанционного обучения (СДО). Данные системы тесто взаимодействуют друг с другом и участниками образовательного процесса, образуя виртуальную социотехническую систему [1], что позволяет обеспечить непрерывность обучения и интерактивность взаимодействия преподавателя и обучающегося вне времени и пространства. Дистанционные технологии позволяют расширить возможности очного образования увеличив взаимную доступность субъектов обучения, информационных массивов данных и виртуальных образовательных объектов. При этом точками доступа в СДО могут быть как автоматизированные рабочие места внутри образовательного учреждения, так и удаленные устройства что в свою очередь порождает ряд источников киберугроз и уязвимостей системы [2]. Как следствие, нарушение безопасности СДО в результате воздействия угроз различного характера, зачастую приводит и к нарушению информационной безопасности (ИБ) в сегменте или всей информационной системе образовательного учреждения.

Для предотвращения различных сценариев нарушения ИБ и минимизации ущерба для СДО и информационной системы образовательного учреждения, необходимо применять комплекс мер и средств защиты информации на различных уровнях функционирования системы, а также выявлять и контролировать потенциальные риски ИБ. Поскольку именно контроль рисков позволит выявить недопустимые нарушение и выработать адекватную стратегию управления.

Источники угроз кибербезопасности СДО

Анализ литературных источников показывает, существует большое количество классификаций угроз информационной безопасности. Однако, практически в каждой классификации присутствуют такие признаки как природа возникновения (антропогенные, техногенные, природные) и источник угрозы. Принимая данные признаки за основные, можно сделать вывод, что по природе возникновения для СДО актуальными будут являться антропогенные источники, обусловленные действиями администраторов, пользователей СДО, внутренних и внешних злоумышленников и техногенные источники, связанные со сбоями программного обеспечения сервисов СДО, надежностью аппаратуры и каналов связи информационной инфраструктуры. Подробное описание модели угроз безопасности типовой СДО представлена автором в работе [3]. С учетом модели угроз, была составлена описательная модель нарушителя ИБ в СДО, как наиболее опасного источника угроз кибербезопасности (см. таблицу 1).

 

Таблица 1 – Модель нарушителя безопасности в СДО

Вид злоумышленника Тип Цели
Внешние субъекты (физические лица) Внешний 1) причинение   финансового/репутационного ущерба 2) желание самореализации; 3) выявление уязвимостей СДО и ИС образовательного учреждения с целью их дальнейшей продажи  и получения финансовой выгоды; 4) хищение интеллектуальной собственности (авторских учебных материалов, курсов); 5) получение НСД к ресурсам и сервисам СДО; 6) нарушение целостности и/или уничтожение учебных материалов и данных об учебном процессе; 7) нарушение доступности веб-сайта и сервера СДО; 8) нарушение доступности информации и материалов учебных курсов для пользователей СДО; 9) получение НСД к персональным данным студентов и сотрудников вуза.
Конкурирующие учебные заведения Внешний 1) получение конкурентных преимуществ
Преподаватели Внутренний 1) получение НСД к ресурсам и сервисам СДО; 2) превышение привилегий и получение контроля над СДО; 3) получение через скомпрометированную СДО НСД к внутренней ИС  образовательного учреждения; 4) хищение научных материалов и интеллектуальной собственности: учебных материалов, оценочных материалов и материалов, создаваемых коллективно участниками учебного процесса; 5) получение НСД к персональным данным студентов и сотрудников; 6) получение НСД и внесение изменений в БД учебных ведомостей; 7) получение НСД к внутренней служебной и другой конфиденциальной информации, хранящейся и обрабатываемой в ИС; 8) нарушение целостности и/или уничтожение учебных материалов и данных об учебном процессе; 9) нарушение доступности веб-сайта и сервера СДО; 10) нарушение доступности информации и материалов учебных курсов для пользователей СДО; 11) причинение финансового/репутационного ущерба
Обучающиеся Внутренний
Методисты Внутренний
Администраторы, разработчики и служба технической поддержки СДО, специалисты по ИБ Внутренний
 

Результатами деятельности нарушителя являются риски безопасности информационного, операционного, финансового, репутационного характера [4], [5], часть из которых может лежать в области допустимых и приниматься образовательным учреждением, а часть являться недопустимыми. Принятие решений и выбор стратегии в отношении рисков должно реализовываться в рамках непрерывного цикла управления.

Алгоритм управления рисками кибербезопасности СДО

Идентифицированные киберугрозы СДО подлежат исследованию на предмет актуальности и необходимости применения защитных средств и механизмов, направленных на блокирование угрозы и снижение потенциальных рисков последствий. Для этого исследуются такие характеристики угроз как вероятность реализации и возможный ущерб. Оценка может производиться на основании обработанной статистической информации о событиях безопасности [6], моделирования [5] или экспертной оценки.

Как показывает [2] при формировании экспертной группы привлекаются несколько категорий специалистов от аналитиков, специалистов по защите информации, разработчиков, пользователей и руководителей, которые оценивают угрозы и их параметры (вероятность, ущерб) по количественной, качественной или смешанной шкале, а затем на основании их оценок формируется интегральная оценка каждого параметра угрозы. Соотношение между ущербом, вероятностью (частотой) реализации угрозы ИБ определяет уровень риска от реализации угрозы, который учитывается при ранжировании угроз по степени опасности. Чем опасней угроза, тем выше риск и ее актуальность для СДО. Оценку актуальности угроз рекомендуется проводить периодически на всех этапах жизненного цикла СДО, поскольку именно она указывает насколько необходимо использовать средства и механизмы, противодействующие угрозе.

В данной статье для оценки рисков кибербезопасности СДО предлагается алгоритм, основанный на количественных параметрах. Для каждой угрозы TRij  из частного списков угроз, где j - порядковый номер угрозы в частном списке угроз для i –ой подсистемы СДО. Риск является вероятностной величиной, для расчета используется распространенная двухфакторная модель оценки на основе применения показателя ожидаемого ущерба - U и вероятности реализации угрозы - p, формула 1.

23-10-2019 18-03-10      (1)

Вероятность реализации угрозы лежит в диапазоне [0;1], на значение величины напрямую оказывает влияние наличие/отсутствие мер защиты в данной подсистеме СДО и статистически данные о частоте реализации подобной угрозы - h. Для оценки влияния мер защиты на вероятность реализации угрозы в подсистеме СДО предлагается использовать 4 уровня защиты, каждому из которых ставится в соответствие коэффициент результативности:

  • меры защиты отсутствуют (QSMlevel=1);
  • меры защиты создают барьер на пути реализации угрозы и могут снизить вероятность ее реализации (QSMlevel=0.75);
  • меры защиты создают несколько барьеров и существенно затрудняют процесс реализации угрозы (QSMlevel=0.5);
  • меры защиты полностью блокируют угрозу (QSMlevel=0).

C учетом формулы 1 и указанных выше правил, величина риска от каждой угрозы в i-ой подсистеме СДО будет рассчитываться по формуле 2.

23-10-2019 18-03-20    (2) Общий риск по каждой подсистеме СДО будет определяться как.

23-10-2019 18-03-28     (3)

где i– подсистемы СДО, j –номер угрозы в каждой i-ой  подсистеме, m – число угроз в i – подсистеме, – QSMlevelj значение коэффициента результативности мер защиты в каждой подсистеме.

Для определения актуальности угрозы по уровню риска необходимо сравнить полученные с уровнем допустимого риска, все значения меньше допустимого подлежат принятию остальные подлежат страхованию, переносу или уменьшению за счет применения мер и средств защиты.

Заключение

Для расчета рисков было предложено использовать трехфакторную модель учитывающую частоту реализации угрозы, ущерб и коэффициент результативности контрмер по противодействию угрозе. Предложенный подход может применяться на этапе проектирования и реализации СДО или в процессе внутреннего аудита безопасности. 

Конфликт интересов Не указан. Conflict of Interest None declared.

Список литературы / References

  1. Добрынин В.Н. Высшее образовательное учреждение как социотехническая виртуальная система: состояние и пути решения проблем/ В.Н. Добрынин, Ульянов С.В., Булякова И.А. // Системный анализ в науке и образовании. – 2010. – №4. – С. 1–16.
  2. Оладько В.С. Функциональная модель исследования безопасности системы дистанционного обучения/ В.С. Оладько// Безопасность информационных технологий. - 2018. - Т. 25. -  № 3.  - С. 101-111.
  3. Оладько В.С. Модуль оценки защищенности систем дистанционного образования вузов/ В.С. Оладько// Образовательные технологии и общество. - 2016. - Т. 19. - № 1.  - С. 360-376.
  4. Петрова Р.Г. Возможности и риски дистанционного образования в высшей школе/ Петрова Р.Г., Петров С.И., Рябова Т.В. //Казанский педагогический журнал. – 2015. - №. -С. 294 – 299.
  5. Руденко Л.И. Моделирование оценки рисков информационной безопасности/ И.Л. Руденко, Пушкарева Е.В. // V Всероссийская с международным участием научно-практическая конференция. Крымский федеральный университет имени В.И. Вернадского. - 2019. – С. 163 – 165.
  6. Умницын М.Ю. Отслеживание состояний информационной системы на основе анализа данных о событиях/ М.Ю. Умницын, Михальченко С.В. //Прикаспийский журнал: управление и высокие технологии. – 2017. - №4 (40). – С. 165 – 173.
  7. Ливщиц И.И. Методы оценки защищенности систем менеджмента информационной безопасности, разработанных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005 / автореферат дис. ... канд. тех. наук: 13.19 /Лившиц Илья Иосифович. - Санкт-Петербургский институт информатики и автоматизации Российской академии наук. Санкт-Петербург, 2012. – 20 с.

Список литературы на английском языке / References in English

  1. Dobrynin V.N.Vyssheye obrazovatel'noye uchrezhdeniye kak sotsiotekhnicheskaya virtual'naya sistema: sostoyaniye i puti resheniya problem [Higher educational institution as a sociotechnical virtual system: state and ways of solving problems] / V.N. Dobrynin, Ul'yanov S.V., Bulyakova I.A. // Sistemnyy analiz v nauke i obrazovanii [System analysis in science and education]. – 2010. – №4. – P. 1–16. [in Russian]
  2. Oladko V.S. Funktsional'naya model' issledovaniya bezopasnosti sistemy distantsionnogo obucheniya [Safety assessment functional  model  of  distance  learning  system]/ V.S. Oladko// Bezopasnost' informatsionnykh tekhnologiy [IT Security].  - 2018.  - Vol. 25. -  № 3.  - P. 101-111. [in Russian]
  3. Oladko V.S. Modul' otsenki zashchishchennosti sistem distantsionnogo obrazovaniya vuzov [The module for assessing the security of distance education systems of universities] / V.S. Olad'ko// Obrazovatel'nyye tekhnologii i obshchestvo [Educational technologies and society]. - 2016. - Vol. 19. - № 1. - P. 360-376. [in Russian]
  4. Petrova R.G.Vozmozhnosti i riski distantsionnogo obrazovaniya v vysshey shkole [Opportunities and risks of distance education in higher education]/ Petrova R.G., Petrov S.I., Ryabova T.V. //Kazanskiy pedagogicheskiy zhurnal [Kazan Pedagogical Journal]. – 2015. - №. - P. 294 – 299. [in Russian]
  5. Rudenko L.I.Modelirovaniye otsenki riskov informatsionnoy bezopasnosti [Modeling of information security risk assessment]/ I.L. Rudenko, Pushkareva Ye.V. // V Vserossiyskaya s mezhdunarodnym uchastiyem nauchno-prakticheskaya konferentsiya. Krymskiy federal'nyy universitet imeni V.I. Vernadskogo [All-Russian with international participation scientific-practical conference]. - 2019. – P. 163 – 165. [in Russian]
  6. Umnitsyn M.Yu., Mikhal'chenko S.V. Otslezhivaniye sostoyaniy informatsionnoy sistemy na osnove analiza dannykh o sobytiyakh [Tracking the states of an information system based on an analysis of event data // M.Yu. Umnitsyn//Prikaspiyskiy zhurnal: upravleniye i vysokiye tekhnologii [Caspian Journal: Management and High Technologies]. – 2017. - №4 (40). – P. 165 – 173. [in Russian]
  7. Livshchits I.I. Metody otsenki zashchishchennosti sistem menedzhmenta informatsionnoy bezopasnosti, razrabotannykh v sootvetstvii s trebovaniyami mezhdunarodnogo standarta ISO/MEK 27001:2005 [Methods for assessing the security of information security management systems developed in accordance with the requirements of the international standard ISO / IEC 27001: 2005] / avtoreferat dis. ... of PhD in Engineering: 05.13.19 /Livshits Il'ya Iosifovich. - Sankt-Peterburgskiy institut informatiki i avtomatizatsii Rossiyskoy akademii nauk. Sankt-Peterburg, 2012. – 20 p. [in Russian].