Введение

В текущее время образовательная среда уже не ограничивается аудиторией, расписанием и бумажными документами. В соответствии со статьей 16 Федерального закона «Об образовании в Российской Федерации» образовательные организации вправе применять электронное обучение и дистанционные образовательные технологии при реализации образовательных программ [2]. Значительная часть учебной и административной деятельности переносится в информационные системы. Следовательно, защита этих систем становится важным условием нормального функционирования образовательной организации.

Многие пользователи подключаются с личных устройств, используют домашние сети, хранят пароли в браузерах и не всегда соблюдают правила информационной безопасности.

Для университетов, колледжей и школ утечка персональных данных означает не только технический инцидент, но и правовые последствия: согласно Федеральному закону «О персональных данных», целью законодательства в данной сфере является защита прав и свобод человека и гражданина при обработке его персональных данных, включая право на неприкосновенность частной жизни, личную и семейную тайну [1].

Актуальность темы подтверждается статистикой последних лет. По данным экспертно-аналитического центра InfoWatch, в первом полугодии 2025 г. в российских образовательных организациях количество скомпрометированных записей персональных данных составило 1,7 млн [6]. Это показывает, что образовательный сектор становится заметной целью для атакующих.

В этих условиях особую роль могут играть технологии искусственного интеллекта и машинного обучения. Их применение позволяет анализировать большие объемы событий, выявлять аномалии, определять подозрительные действия пользователей, классифицировать фишинговые сообщения и помогать специалистам по информационной безопасности быстрее реагировать на инциденты.

Образовательная организация как объект киберзащиты

Образовательная организация имеет ряд особенностей, которые стоит учитывать при проектировании защиты.

Первая особенность — большое количество пользователей. При этом пользователи имеют разные роли: обучающийся, преподаватель, системный администратор, руководитель подразделения и так далее. Для каждой роли характерны разные права доступа и разные сценарии поведения.

Вторая особенность — высокая динамичность пользовательской среды. Студенты поступают, выпускаются, переводятся, уходят в академический отпуск, меняют группы и образовательные программы.

Третья особенность — использование личных устройств. В образовательной среде широко распространен подход BYOD, когда студенты и преподаватели используют собственные ноутбуки, смартфоны и планшеты. Такие устройства могут быть недостаточно защищены, заражены вредоносным ПО или подключаться к небезопасным сетям.

Четвертая особенность — наличие чувствительных данных. Образовательные организации обрабатывают персональные данные обучающихся, родителей, преподавателей и сотрудников.

Пятая особенность — высокая зависимость от доступности сервисов. Если в период экзаменов перестает работать LMS, электронная ведомость или система прокторинга, это может нарушить образовательный процесс. Поэтому для образовательной организации важны не только конфиденциальность и целостность данных, но и доступность сервисов.

Актуальные киберугрозы для образовательных организаций

Киберугрозы в образовательной сфере можно условно разделить на несколько групп.

1. Компрометация учетных записей.

Один из наиболее распространенных сценариев связан с получением злоумышленником логина и пароля пользователя. Это может произойти через фишинг, подбор пароля, утечку из стороннего сервиса или заражение устройства пользователя вредоносным ПО. После получения доступа злоумышленник может читать учебные материалы, скачивать документы, рассылать письма от имени пользователя, менять данные или использовать аккаунт для дальнейшего проникновения.

2. Атаки на доступность сервисов.

К таким атакам относятся DDoS-атаки, перегрузка LMS, атаки на сайты приемных комиссий, системы онлайн-тестирования и электронные журналы. Особенно опасны такие инциденты в периоды экзаменов, приемной кампании и сдачи отчетности.

3. Вредоносное ПО и программы-вымогатели.

Программы-вымогатели могут шифровать файлы на рабочих станциях и серверах, блокировать доступ к учебным материалам, базам данных и административным документам. По данным Kaspersky Incident Response, в 2025 г. более половины кибератак длились менее суток и чаще всего приводили к шифрованию файлов [7].

4. Внутренние нарушения.

Не все угрозы исходят извне. Сотрудник или обучающийся может случайно или намеренно выгрузить базу данных, передать доступ третьим лицам, использовать чужую учетную запись или нарушить правила обработки информации. Также не стоит исключать возможность внедрения человека в организацию для кражи данных. Такое поведение тоже отслеживается, например аномальной активностью сотрудника в тех разделах ПО, с которыми он не взаимодействует.

Возможности искусственного интеллекта в выявлении киберугроз

Искусственный интеллект в кибербезопасности следует понимать не как универсальную замену всем средствам защиты, а как дополнительный инструмент анализа данных и поддержки принятия решений. Исходя из этого можно выделить следующие приоритетные направления интеграции ИИ:

Анализ аномалий в поведении пользователей.

Модель может определять нормальный профиль поведения пользователя анализируя его поведение, если поведение резко меняется, система может присвоить событию высокий уровень риска. Например, если студент обычно входит в личный кабинет днем из одного региона, а затем ночью происходит вход с нового IP-адреса и массовое скачивание файлов, такое событие может быть признано подозрительным.

Классификация фишинговых сообщений.

ИИ может анализировать тему письма, текст, вложения, ссылки, домен отправителя, сходство домена с официальным доменом организации и массовость рассылки.

Анализ сетевого трафика.

Модели машинного обучения могут выявлять нетипичные объемы трафика, сканирование портов, подозрительные подключения, обращения к известным вредоносным адресам и признаки DDoS-атак.

Обработка событий IDS.

ИИ может помогать в анализе логов, поступающих из системы обнаружения вторжений, так как формируется множество событий и не все из них одинаково важны.

Раннее обнаружение программ-вымогателей.

Модель может обнаружить такие отклонения как массовое изменение файлов, резкий рост всевозможных операций с документами и файлами, обращение к большому числу каталогов за короткое время.

Приоритизация инцидентов.

Модель может присваивать каждому событию риск-оценку и помогать специалисту определить, какие инциденты требуют первоочередного внимания.

Концептуальная модель системы проактивного мониторинга

Система на основе машинного обучения не должна заменять существующие средства защиты, а должна объединять данные из разных источников и помогать быстрее выявлять угрозы.

На основе этого можем сконструировать схему, по которой будет работать модель для оценки угроз:

Рис. 1. Схема модели для выявления угроз в образовательных организациях

Ниже показана возможная связь между источниками данных, выявляемыми угрозами и методами анализа.

Таблица 1

Методы детекции для различных векторов атак на источники данных

Организационные и правовые условия внедрения

Внедрение искусственного интеллекта в кибербезопасность образовательной организации требует соблюдения правовых и организационных условий.

Во-первых, необходимо учитывать требования законодательства о персональных данных. Анализ логов, действий пользователей и сетевой активности может затрагивать сведения, относящиеся к конкретным лицам. Поэтому образовательная организация должна определить правовые основания обработки таких данных.

Во-вторых, необходимо обеспечить разграничение доступа. Результаты работы системы мониторинга могут содержать сведения о действиях пользователей, поэтому доступ к ним должны иметь только уполномоченные специалисты.

В-третьих, необходимо учитывать требования ФСТЭК к мерам защиты персональных данных в информационных системах персональных данных [3]. Для государственных и муниципальных образовательных организаций также могут быть актуальны требования к защите информации в государственных информационных системах [4].

В-четвертых, необходимо заранее определить порядок реагирования на инциденты. Согласно информации Роскомнадзора, при установлении факта неправомерной или случайной передачи персональных данных оператор обязан уведомить уполномоченный орган в течение 24 часов, а в течение 72 часов предоставить результаты внутреннего расследования [5]. Это делает скорость выявления инцидента особенно важной.

Заключение

Подытоживая, можно сказать, что искусственный интеллект в будущем станет актуальным и важным инструментом повышения киберустойчивости образовательных организаций. Он будет способствовать повышению устойчивости цифровой образовательной среды и развитию научно-технологического потенциала страны.

Литература:

1. О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ: действующая редакция. — Текст: электронный // КонсультантПлюс: [сайт]. — URL: https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 25.05.2026).
2. Об образовании в Российской Федерации: Федеральный закон от 29.12.2012 № 273-ФЗ: статья 16. — Текст: электронный // КонсультантПлюс: [сайт]. — URL: https://www.consultant.ru/document/cons_doc_LAW_140174/9ab9b85e5291f25d6986b5301ab79c23f0055ca4/ (дата обращения: 25.05.2026).
3. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК России от 18.02.2013 № 21. — Текст: электронный // ФСТЭК России: [сайт]. — URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения: 25.05.2026).
4. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ ФСТЭК России от 11.02.2013 № 17. — Текст: электронный // ФСТЭК России: [сайт]. — URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17 (дата обращения: 26.05.2026).
5. Уведомление о факте неправомерной или случайной передачи персональных данных. — Текст: электронный // Роскомнадзор. Портал персональных данных: [сайт]. — URL: https://pd.rkn.gov.ru/incidents/ (дата обращения: 26.05.2026).
6. Количество утечек данных в сфере образования в России выросло. — Текст: электронный // InfoWatch: [сайт]. — URL: https://www.infowatch.ru/company/presscenter/news/kolichestvo-utechek-dannykh-v-sfere-obrazovaniya-v-rossii-vyroslo (дата обращения: 27.05.2026).
7. Успеть за 24 часа: в 2025 году свыше половины кибератак длились менее суток и чаще всего приводили к шифрованию файлов. — Текст: электронный // Лаборатория Касперского: [сайт]. — URL: https://www.kaspersky.ru/about/press-releases/uspet-za-24-chasa-v-2025-godu-svyshe-poloviny-kiberatak-dlilis-menee-sutok-i-chashe-vsego-privodili-k-shifrovaniyu-fajlov (дата обращения: 24.05.2026).