Новата Директива за мрежова и информационна сигурност (NIS2) на Европейския съюз има за цел да подобри колективната киберсигурност в Европа, като наложи по-строги изисквания за сигурност на критичната инфраструктура. Това включва и училищата, които са важна част от публичната администрация, обхваната от директивата.
Какво налага NIS2?
NIS2 поставя нови изисквания в четири основни области:
Управление: Ръководствата на училищата ще носят отговорност за идентифициране и справяне с кибер рисковете. Те трябва да преминат обучения за оценка на киберрисковете и да насърчават подобни курсове за всички служители.
Докладване: Ще бъдат въведени срокове за докладване на инциденти, като например 24 часа за сериозни инциденти. Училищата трябва да имат процеси за докладване на властите.
Управление на риска: Училищата трябва да внедрят мерки за минимизиране на рисковете, включително управление на инциденти, подобряване на сигурността на веригата на доставки, криптиране и политики за използване на криптография. Те трябва да извършват редовни оценки на риска.
Непрекъснатост на дейността: Трябва да се разработят планове за гарантиране на непрекъснат работен процес при сериозни кибер инциденти, включително резервни копия и план за възстановяване.
Какви са последствията при неспазване?
Неспазването на NIS2 ще доведе до значителни глоби за училищата, достигащи до 10 милиона евро или 2% от годишния бюджет. Освен това ръководствата могат да понесат правни последствия.
Каква е разликата с NIS1?
NIS2 е значително разширение на предишната директива NIS1, приета през 2016 г. Основната разлика между двете е, че NIS2 разширява обхвата на прилагане, като включва много повече сектори и организации, които преди това не бяха обхванати. Докато NIS1 се фокусираше основно върху операторите на основни услуги и доставчиците на цифрови услуги, NIS2 обхваща 15 различни сектора, включително енергетика, транспорт, здравеопазване, хранителна индустрия и публична администрация. Освен това, NIS2 въвежда по-строги изисквания за управление на риска, докладване на инциденти и отговорност на ръководството, което означава, че управителите на организациите ще носят пряка отговорност за спазването на новите правила.
Аспект
NIS1
NIS2
Обхват
Ограничен до “Оператори на основни услуги” (OES) и “Доставчици на цифрови услуги” (DSP) в конкретни сектори.
Разширен, за да включва по-широк кръг сектори и субекти, обхващащи 15 различни сектора, включително енергетика, транспорт, банково дело, здравеопазване и цифрова инфраструктура.
Класификация на субектите
OES и DSP.
Класифицира субектите като “съществени” и “важни”, премахвайки предишното разграничение.
Обхват на организациите
Основно се фокусира върху доставчиците на критична инфраструктура.
Включва средни и големи организации в различни сектори, като малките предприятия се включват при определени условия.
Изисквания за кибер сигурност
Общи насоки с възможност за интерпретация.
Специфични, хармонизирани изисквания за сигурност, включително оценка на риска, планове за реагиране при инциденти и мерки за сигурност на веригата на доставки.
Докладване на инциденти
По-малко строги, без конкретни срокове.
По-строги задължения с определени срокове за докладване на инциденти.
Санкции за неспазване
Не са определени финансови санкции.
Глоби до 10 милиона евро или 2% от годишния оборот, с потенциални задължения за ръководството.
Отговорност на ръководството
Ограничена отговорност на ръководството.
Изрични отговорности на ръководните органи за наблюдение на мерките за кибер сигурност и отговорност за нарушения.
Сътрудничество
Минимално трансгранично сътрудничество.
Подобрено сътрудничество и обмен на информация между държавите членки чрез нова Група за сътрудничество.
Краен срок за изпълнение
Н/П (първоначалната директива е установена през 2016 г.).
Трябва да бъде транспонирана в националното законодателство до 17 октомври 2024 г.
Как да се подготвим?
Училищата трябва да започнат да се подготвят за новите изисквания, като:
Инвестират в технологии за защита, като управление на достъпа и криптиране. Може да използвате нашия инструмент за оценка, за да видите къде имате пропуски.
Разработят политики за управление на риска и непрекъснатост на дейността.
Спазването на NIS2 ще бъде от решаващо значение за защита на чувствителните данни и непрекъснатостта на образованието в дигиталната ера. Училищата трябва да действат сега, за да се подготвят за новите изисквания.
В съвременния дигитален свят, кибертормозът е все по-голям проблем, който засяга децата. Родителите и учителите трябва да знаят как да реагират правилно, за да помогнат на децата да се справят с тази ситуация. Графиката показва процентите на тийнейджъри в САЩ, които казват, че са изпитвали различни форми на кибертормоз.
Според данните, 46% от тийнейджърите са преживели поне един вид кибертормоз, като най-често срещаната форма е обидните названия (32%). Разпространението на фалшиви слухове (22%) и получаването на нецензурни изображения (17%) също са често срещани. Тези статистики подчертават колко важно е да сме информирани и подготвени за справяне с кибертормоза.
Кибертормозът е сериозен проблем, който изисква нашето внимание. Ето няколко стъпки, които можете да предприемете:
1. Слушайте и подкрепяйте Когато детето ви сподели, че е жертва на кибертормоз, най-важното е да го изслушате. Покажете, че сте на негова страна и че го подкрепяте без да го критикувате. Това ще му даде увереността да говори открито.
2. Подхождайте без обвинения Обсъдете ситуацията спокойно, без да съдите детето си. Обяснете му, че сте до него, дори ако е направило грешка. Това ще му помогне да се почувства сигурно и защитено.
3. Насърчете детето си Похвалете го за смелостта да сподели проблема и му кажете, че има начини да се справи. Насърчете го да не се отказва и да потърси помощ, когато има нужда.
4. Определете какъв е типът на тормоза Заедно с детето обсъдете какъв е видът на тормоза и как може да се справите с него. Временно ограничаване на достъпа до сайтовете, където е бил тормозен, може да помогне. Ако е възможно, направете екранни снимки на обидите или заплахите. Това може да бъде полезно за докладване на инцидента и за предотвратяване на по-нататъшни атаки.
5. Бъдете позитивни Винаги показвайте оптимизъм. Уверете детето си, че заедно ще се справите с проблема и че тази трудност е временна. Това ще му помогне да остане силно и уверено.
Признаци на Кибертормоз Важно е да знаете какви са признаците на кибертормоз:
Промени в поведението, като нарушения в съня, храненето и нервността.
Зависимост от интернет.
Нежелание да участва в семейни събития.
Влошаване на резултатите в училище.
Кибертормозът е сериозен проблем, който изисква нашето внимание. За да помогнете на вашето дете да се справи с този проблем, ние предлагаме специализирани обучения по дигитални умения. Тези курсове са предназначени за родители и учители и ще ви научат как да разпознавате и да реагирате на кибертормоза.
Запишете се за нашите обучения и дайте на вашето дете необходимите инструменти, за да бъде уверено и защитено в дигиталния свят. Нашите програми включват:
Практически съвети и техники за разпознаване на признаците на кибертормоз.
Насоки за безопасно онлайн поведение.
Стратегии за ефективна комуникация с деца и тийнейджъри.
Методи за справяне и предотвратяване на кибертормоз.
Киберсигурността представлява съвкупност от технологии, процеси и практики, предназначени за защита на мрежи, устройства, програми и данни от атаки, повреди или неоторизиран достъп. В контекста на образователните институции, това включва защита на личните данни на ученици и преподаватели, учебни материали и комуникационни системи.
Защо киберсигурността е важна?
С увеличаващата се дигитализация на образованието, защитата на информацията става критично важна. Учебните заведения са изправени пред множество киберзаплахи, включително кражба на данни, ransomware атаки и неоторизиран достъп до системи. Примерите по-долу илюстрират сериозността на кибератаките и последиците от тях:
Университетът на Манчестър: Атака с ransomware доведе до изтичане на лични данни на над 1.1 милиона служители, бивши студенти, студенти и пациенти на NHS. Университетът трябваше да премахне достъпа до своя VPN след атаката. Това показва колко уязвими са личните данни и как могат да бъдат използвани за злоупотреби.
Университетът Хауърд: Ransomware атака принуди университета да отмени онлайн и хибридни класове. Wi-Fi на кампуса беше изключен, а IT отделът трябваше да наеме повече професионалисти и да подобри облачната сигурност. Такива атаки могат да доведат до значителни прекъсвания в учебния процес и огромни разходи за възстановяване.
Обществените училища в Атланта: Данните за заплатите на служителите бяха компрометирани, което доведе до финансови смущения. Това показва как кибератаките могат да засегнат финансовата стабилност на учебните заведения и техните служители.
Обществените училища в Маями-Дейд: DDoS атака засегна онлайн учебната система на стойност 15.3 милиона долара. Такива атаки могат да парализират учебния процес и да изискват значителни инвестиции за възстановяване.
Обществените училища в окръг Принс Джордж: Около 4,500 потребители бяха засегнати, като основните бизнес и учебни информационни системи на района не бяха засегнати, но потребителите трябваше да сменят паролите си.
Обществените училища в Минеаполис: Ransomware атака засегна хиляди чувствителни файлове, включително случаи на изнасилвания, разследвания за злоупотреби и кризи на психичното здраве. Районът изплати откуп от 1 милион долара. Такива атаки могат да разкрият чувствителна информация и да доведат до сериозни правни и финансови последствия.
Анализ на миналото десетилетие
През последното десетилетие образователният сектор изпъкна като един от най-често атакуваните сектори, с над 1605 регистрирани кибератаки само през 2021 година. Това го поставя на първо място по среден брой кибератаки, изпреварвайки дори правителствените и военните организации, комуникационните компании и интернет доставчиците (ISP/MSP).
Причини за високата уязвимост на образователния сектор
Обем на данните: Образователните институции съхраняват огромни количества лични данни, включително информация за ученици, студенти, преподаватели и административен персонал. Тези данни включват имена, адреси, социални осигуровки, академични досиета и дори финансови данни, което ги прави привлекателни цели за киберпрестъпници.
Недостатъчно финансиране за киберсигурност: Често училищата и университетите нямат достатъчно средства за инвестиране в модерни технологии и инфраструктури за киберсигурност. Това ги прави по-уязвими към атаки.
Разнообразие на устройства и системи: В образователните институции се използват различни устройства и системи, често без достатъчно координирани мерки за сигурност. Това увеличава възможностите за уязвимости и пробиви.
Има нужда от повече обучения и инвестиции
Нуждата от обучение: Ясно е, че обучението на преподаватели и персонал по въпросите на киберсигурността е от съществено значение. Познаването на основните принципи на сигурността може да предотврати много атаки и инциденти.
Инвестиции в сигурност: Необходимостта от по-големи инвестиции в технологии за защита е очевидна. Образователните институции трябва да намерят начини да подобрят своите киберзащити, като се фокусират върху модернизацията на системите и въвеждането на нови защитни мерки.
Координирани мерки за сигурност: Важно е да се прилагат координирани мерки за сигурност, които да обхващат всички устройства и системи, използвани в образователната среда. Това може да включва централно управление на сигурността и редовни одити.
Бъдещето на киберсигурността
През следващото десетилетие се очаква значителен ръст в значението и инвестициите в киберсигурност, особено в образователния сектор. Нарастващата зависимост от дигитални технологии и увеличаването на интернет потребителите ще изискват по-сериозни мерки за защита. Основни причини за растежа на киберсигурността включват увеличаването на дигитализацията. С нарастващото използване на цифрови платформи и технологии в образованието (Google Classroom, Shkolo и т.н.), киберсигурността става все по-важна за защита на данните и системите. Развитието на IoT (Интернет на нещата) също играе ключова роля, тъй като с нарастващото използване на свързани устройства в образователните институции, като смарт дъски и онлайн учебни платформи, нуждата от защита на тези устройства се увеличава. Усложняването на киберзаплахите е друг важен фактор, като киберпрестъпниците стават все по-изобретателни и използват нови методи за атака, което изисква по-напреднали и комплексни защитни мерки. Накрая, регулаторните изисквания също стимулират растежа, тъй като страните по света въвеждат все по-строги закони и регулации относно защитата на данните, което налага образователните институции да се съобразяват с тези изисквания и да подобряват своите мерки за сигурност.
Киберсигурността е критично важна за защитата на информацията и непрекъснатостта на образователния процес. Въпреки тревожните статистики и растящите заплахи, има надежда за бъдещето чрез инвестиции в технологии и обучение. Подобряването на знанията и уменията в тази област ще помогне за по-добра защита.
