Мы привыкли работать с информацией онлайн и с трудом представляем свою жизнь без интернета. Поэтому, когда российские школы стали делать первые шаги в онлайн-среде, создавая веб-представительства по собственной инициативе, родители учеников отреагировали на это однозначно позитивно. Еще бы, получить необходимые данные о школе стало возможно в удобном онлайн-режиме – не важно, шла ли речь о выборе будущего учебного заведения, знакомстве с педагогическим коллективом, сравнении программ обучения или поиском необходимой информации о спортивных секциях.Однако теперь наличие школьного веб-сайта – не просто желание школ развиваться в ногу с современным информационным пространством, а требование, обусловленное законодательством РФ. Согласно новому Закону «Об образовании в Российской Федерации\” (№273-ФЗ от 29.12.2012), вступившему в силу 1 сентября 2013 года, каждая российская школа должна иметь свое официальное интернет-представительство, на котором бы содержалась подробная информация о ее деятельности.
В России школьные сайты находятся под пристальным вниманием государственных контрольно-надзорных органов, и к информации, публикуемой на веб-страницах школ, предъявляются повышенные требования. Контент, размещаемый на школьном сайте, должен соответствовать правилам, зафиксированным в постановлении Правительства России от 10 июля 2013 г. № 582 \”Об утверждении Правил размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети \”Интернет\” и обновления информации об образовательной организации\”.
Согласно данному постановлению, школа отвечает не только за качество публикуемого контента, но и за «защиту информации от уничтожения, модификации и блокирования доступа к ней, а также иных неправомерных действий в отношении нее». Но всегда ли школы надежно защищают свои сайты и обеспечивают непрерывный доступ к интернет-ресурсам?
В зоне риска
Не секрет, что в рамках ограниченного бюджета большинство школьных сайтов создаются буквально «на коленке», силами учителей информатики, родительских комитетов и самих учеников, без привлечения профессионалов и какой-либо оглядки на информационную безопасность – другими словами, школы не уделяют должного внимания вопросам защиты своих интернет-ресурсов. Зачастую сайты содержат большое количество уязвимостей и совершенно не готовы противостоять атакам злоумышленников, которые могут исказить или удалить данные на сайте, заблокировать доступ к ресурсу или использовать его в своих неблаговидных целях.
Очень часто для разработки школьных сайтов используются бесплатные шаблоны, которые можно легко найти и скачать в интернете – WordPress, Joomla, Drupal, DLE ипр. Но мало кто знает, какую опасность таит в себе тот самый «бесплатный сыр в мышеловке»: согласно результатам анализа, проведенного компанией Ревизиум в сентябре текущего года, около 54% бесплатных шаблонов WordPress, одной изсамых популярных систем управления содержимым сайта, оказались зараженными хакерскими веб-шеллами, бэкдорами, black hat seo («спам») ссылками, атакже содержали скрипты скритическими уязвимостями. Очевидно, что в случае с бесплатными шаблонами других CMS дела обстоят не намного лучше.
Удивительно, но при всей строгости закона в отношении школьных веб-сайтов руководство учебных заведений продолжает совершать грубейшие ошибки, полностью игнорируя правила безопасного обращения с информацией в интернете. Вывод напрашивается сам собой: пробел системный – на сегодняшний день информированность директоров школ о необходимости защиты школьных интернет-представительств находится на чрезвычайно низком уровне.
Скрытая угроза
Любой плохо защищенный веб-сайт всегда рискует быть взломанным – таковы законы современного интернета. И не важно, какую цель преследует злоумышленник: навредить конкретной школе или, что случается намного чаще, заработать на скомпрометированном ресурсе денег.
Получить несанкционированный доступ к незащищенному сайту намного проще, чем может показаться на первый взгляд. Для этого не обязательно быть продвинутым хакером и обладать специальным инструментарием: в интернете описано множество способов, каким образом можно взломать сайт. Кстати, эта информация достаточно востребована школьниками.
Поводов взломать сайт, чтобы «насолить» директору школы или отомстить всему педагогическому коллективу, у учеников довольно много – обидная двойка, конфликт с учителем, отстранение от занятий… Мелкие хулиганства легко переносится из офлайна в онлайн, тем более что интернет-среда кажется такой безобидной, где при определенной подготовке «замести» следы довольно-таки просто.
Однако, покуситься на школьный сайт могут не только двоечники и юные бунтари – попробовать свои силы в хакерском деле привлекает и ребят с хорошей успеваемостью из благополучных семей – только мотив для взлома будет иным – интерес к информационным технологиям, любопытство (что будет, если взломать сайт?), желание быть «крутым» среди сверстников. К сожалению, упоенные успехом этого сомнительного предприятия школьники совсем не отдают себе отчет, что нарушают закон и могут быть привлечены к уголовной ответственности сразу по нескольким статьям УК РФ.
Под прицелом хакера
Всегда нужно помнить о том, что в интернете есть и более искушенные взломщики – речь идет о веб-мастерах, которые атакуют сайты с целью зарабатывания денег. Используя уязвимости на сайте, хакеры получают доступ к управлению веб-ресурсом, незаметно размещают на нем вредоносный код, мобильные редиректы**, троянские программы***, рекламные баннеры, распространяют спам-рассылки или запрещенный контент.
**Мобильный редирект – технология, позволяющая перенаправлять пользователя на сторонний сайт при попытке посетить исходный сайт с мобильного устройства (телефона, планшета).
***Троянская программа – вредоносная программа, используемая злоумышленниками с целью сбора, разрушения или модификации информации. Троянские программы используются для нарушения работоспособности компьютеров или использования их ресурсов в неблаговидных целях.
Такие «специалисты» заинтересованы в том, чтобы владелец сайта как можно дольше не заподозрил неладное и не предпринял конкретные меры по укреплению защиты. Чем дольше хакер паразитирует на сайте, тем больше денег он сможет заработать. А поскольку злоумышленник действует очень осторожно, владелец сайта может даже не догадываться, что его сайт используется в целях, нарушающих законодательство РФ.
Часто о том, что веб-ресурс взломан, владелец может узнать только от третьих сторон: пользователи жалуются на недобросовестную рекламу; хостинговая компания по ряду причин (спам, вирусы, распространение вредоносного ПО) закрывает доступ к веб-ресурсу; cайт блокируется антивирусами поисковых систем – Яндексом или Гуглом, и антивирсными программами, установленными на стационарных компьютерах. При обнаружении на сайте ненадлежащего взрослого контента школу может посетить даже прокуратура.
Чтобы вернуть сайт к нормальной работе после взлома и заражения, может потребоваться довольно много времени. Однако нужно учесть, что пока веб-ресурс находится в руках злоумышленника, есть риск навсегда лишиться своего интернет-представительства. Взломщики могут повредить скрипты и базу данных или полностью удалить их. И если у школьной команды, занимающейся поддержкой сайта, не сохранена резервная копия, то создавать сайт придется с нуля.
Поиск потенциальной жертвы для взлома осуществляется, как правило, в автоматическом режиме. Специальные хакерские программы ищут сайты с определенными уязвимостями, а затем «подсаживают» зловредов на взломанный веб-ресурс и используют его для достижения своих целей.
Кроме того, что нарушители паразитируют на сайте жертвы, чтобы заработать, скомпрометированный веб-ресурс может превратиться в площадку для размещения «посланий» от хакерских группировок. Так, например, в начале 2014 года в TJOURNAL была опубликована новость о том, что сайт новгородской «Школы пожарной профилактики» вместе с другими веб-ресурсами был атакован сирийскими хакерами, представителями движения Syrian Anonymous. На взломанных веб-ресурсах сирийская группировка разместила «заглушку» с информацией о себе и посланием к пользователям.
Очевидно, что сирийские «активисты» специально не искали сайт учебного заведения в Новгородской области, и сайт «Школы пожарной профилактики» автоматически попал «под раздачу» движения Syrian Anonymous, как легко доступная незащищенная жертва.
Последствия взлома школьного сайта
Последствия несанкционированного вторжения могут иметь самые разные масштабы – от легкого вредительства до полного уничтожения веб-сайта. И если в первом случае на устранение проблемы может потребоваться несколько часов, то во втором – несколько недель.
Чем рискует администрация школы, не уделяющая должного внимания защите своего интернет-представительства?
Во-первых, сайт может оказаться жертвой хакера в самый неподходящий момент – например, накануне очередной (плановой/неплановой) проверки Роскомндазора. К сожалению, закон Мерфи не делает исключений для учебных заведений, и если что-то нехорошее может случиться, то оно обязательно произойдет. А с учетом публикуемой статистики вероятность весьма высока:
– По данным британской компании Sophos Labs, специализирующейся на антивирусной безопасности, ежедневно в виртуальной средефиксируется около 30 тысяч веб-сайтов, распространяющих вредоносный код и содержащих потенциальную опасность для пользователей интернета (данные за 2013 год)****.
– Cогласно данным отчета американской компании Symantec, каждый восьмой сайт, проверенный компаний в 2013 году, содержал критическую уязвимость*****.
**** Источник: http://www.forbes.com/sites/jameslyne/2013/09/06/30000-web-sites-hacked-a-day-how-do-you-host-yours/
***** Источник: http://www.symantec.com/security_response/publications/threatreport.jsp
Попасть под хакерскую атаку – опыт не из приятных. Поэтому директорам школ и других учебных заведений лучше подумать о защите своего интернет-представительства уже сегодня.
Во-вторых, при отсутствии нужного уровня веб-защиты всегда есть риск утечки конфиденциальной информации – например, персональных данных учеников, хранящихся в закрытом доступе на сайте. Если ситуация вышла из-под контроля и персональная информация оказалась доступной всему интернету, школе придется объясняться с Роскомнадзором.
В-третьих, размещение хакерами взрослого контента, недобросовестной рекламы и распространение вирусов через школьный веб-ресурсы не только неблагоприятно скажется на имидже школы, но и «заинтересует» прокуратуру, которая имеет право проверить любую деятельность школы на основе заявлений и жалоб родителей учеников, органов власти, коммерческих и общественных организаций.
В-четвертых, в следствии блокировки доступа к сайту хостинговой компанией (за распространение вирусов, рассылку спама и пр.) веб-ресурс оказывается временно недоступным, что может спровоцировать ряд дополнительных вопросов к директору учебного заведения со стороны контрольно-надзорных органов.
Ну, и, в-пятых, последствия взлома, какими бы они ни были, негативно влияют на репутацию школы – особенно это касается элитных учебных заведений, гимназий и лицеев.
Что нужно делать, чтобы избежать взлома и заражения сайта
Поскольку в большинстве случаев поддержкой школьных сайтов занимаются команды, не обладающие знаниями в области информационной безопасности, то лучше сразу обратиться к профессионалам. Настоятельно рекомендуем избегать любительские форумы, где очень редко можно встретить действительно грамотные советы.
Специалисты в области информационной безопасности просканируют веб-сайт на наличие в нем уязвимостей и вредоносного кода, очистят сайт от вирусов и хакерских скриптов, установят защиту, предотвратив последующие взломы и заражения. Помните, иногда владелец сайта даже не подозревает о том, что на его ресурсе обосновался хакер, а горькая правда может раскрыться в самый неподходящий момент!
Четко следуйте инструкциям по технике безопасности, полученным от специалистов. К сожалению, повторные заражения часто связаны именно с халатным отношением владельцев сайтов к рекомендациям, которые дает компания, оказывающая услуги в области лечения и защиты веб-сайтов.
Возьмите за правило проводить регулярное сканирование веб-сайта на наличие в нем зловредов. Это можно делать как силами школьной команды, занимающейся поддержкой сайта (при наличии определенных навыков), так и сторонними специалистами. Своевременное обнаружение проблемы – первый шаг на пути к ее быстрому устранению.
Проведите беседы с учащимися на тему, какие последствия грозят хакеру за взлом веб-ресурса. Или пригласите в школу эксперта, который расскажет ученикам, почему не стоит вставать на «темную дорожку» и пробовать себя в роли кибер-злоумышленника. Ведь речь идет не просто о небольшом хулиганстве в интернете, а о преступлении, за которое нарушитель может быть наказан по всей строгости закона – от наложения штрафа до лишения свободы.
Цена спокойствия
Цены на услуги компаний, специализирующихся на лечении и защите сайтов, относительно невысоки и варьируются в пределах 3000 – 5000 рублей. А вот пакет услуг и гарантия на предоставленный сервис может меняться от компании к компании и требует уже более детального изучения при знакомстве с услугами конкретной фирмы.
Как правильно выбрать партнера, которому вы сможете доверить свой сайт?
Первое и главное, обратите внимание на репутацию компании, ее информационную открытость – публикации, выступления, интервью с представителями фирмы. Как долго компания присутствует на рынке? Кто ее руководитель?
Не поленитесь почитать отзывы клиентов, их рекомендации. Удовлетворены ли клиенты качеством оказанных услуг? Готовы ли они рекомендовать эту фирму другим владельцам сайтов?
Узнайте, в какие сроки компания готова оказать единовременную услугу по лечению и защите сайта и какой срок гарантии на сервис она предлагает. Профессионалы лечат сайты оперативно – в течение двух-трех рабочих дней, а гарантию предлагают не менее двух месяцев с момента оказания услуги.
В качестве заключения
В современных информационных условиях несоблюдение элементарных правил безопасности при разработке и эксплуатации интернет-сайта фактически приравнивается к прямой провокации кибер-нарушителей взломать интернет-ресурс. И в такой ситуации директорам школ, чьи сайты не защищены, остается только надеяться, что беда обойдет их стороной. Но стоит ли уповать на случай?..
Фото Ольги Максимович
Комментарии