Издание “Ъ” ознакомилось с размещенным на портале правовых актов проектом приказа Минцифры об информационном обмене между федеральной государственной информсистемой «Моя школа» и региональными образовательными учреждениями. Среди целей в документе называется формирование «цифровых портфолио» учащихся в школах, колледжах и организациях дополнительного образования.
Согласно проекту, для информационного взаимодействия систем субъекты РФ должны будут создать «витрины данных», которые обеспечат сбор и обработку сведений из региональных систем.
Например, речь идет о реквизитах свидетельства о рождении или паспорта ученика, СНИЛС и идентификаторах учетной записи в единой системе идентификации и аутентификации (ЕСИА). В документе говорится, что для системы «Моя школа» должны быть открыты данные родителей или законных представителей ребенка и педагогов учебных заведений.
В системах должен обеспечиваться обмен данными о возрасте, поле, дате рождения и гражданстве учащихся, родителях и учителях, а также образовательной организации — реквизиты юрлица, ФИО и должность руководителя и другие данные. В проекте уточняется, что часть данных будет «деперсонализирована».
В Минцифры пояснили, что единый формат данных «позволит предоставлять электронные услуги в сфере общего, среднего профессионального и дополнительного образования на одинаково высоком уровне во всех регионах».
Однако эксперты предупреждают о трудностях с интеграцией систем и росте риска утечек и системных сбоев, которые затронут сразу много регионов.
Федеральная государственная информационная система (ФГИС) «Моя школа» запущена 1 января 2023 года, ею пользуются учителя, ученики и их родители. Технологической основой системы стала «Московская электронная школа» (МЭШ, контролируется Департаментом информтехнологий Москвы, ДИТ). Она объединяет электронный журнал, электронный дневник, портфолио учителя и учащегося и так далее. На данный момент регионы могут подключиться к ФГИС «Моя школа» по желанию — это уже сделали в Татарстане и Тюмени.
Отметим, что в декабре 2022 года в свободном доступе оказался архив пользователей «МЭШ» на 17 млн строк с персональными данными (ФИО, СНИЛС, номер телефона, дата рождения, адрес электронной почты). В сентябре того же года МЭШ подвергалась хакерской атаке и не работала несколько дней.
Эксперты на рынке кибербезопасности уточняют, что для процесса «деперсонализации», как правило, используется шифрование части данных и привязка информации не к реальному имени человека, а к присвоенному ему коду. В АО «Информационная внедренческая компания» (ИВК, занимается защитой данных) считают, что сведения будут хранить «в разных местах» — например, разделив имена и номера документов.
Замдиректора ИВК по научно-исследовательской работе Валерий Андреев отмечает, что у государства уже есть опыт интеграции таких систем. По мнению эксперта, сложности возникнут на уровне классификатора данных и их форматов, в том числе в интеграции систем кибербезопасности, моделей доступа и т. д.: «В каждой системе свои методы защиты, ролевые модели пользователей, своя парольная служба и каталог пользователей. Их надо интегрировать в рамках общей модели информационной безопасности, поэтому проще многое написать заново».
Затраты на интеграцию персональных данных учащихся в единую систему могут быть значительными, считает руководитель направления IT компании К2Тех Антон Воробьев:
«Помимо построения механизмов передачи данных потребуется защитить каналы передачи данных сертифицированным оборудованием для выполнения требований регуляторов».
В «Информзащите» считают, что грамотно построенная деперсонализация может снизить ИБ-риски, но «централизация данных в единой системе создает одну точку отказа», что также скажется на работе сервиса в регионах, если сбой произойдет где-то в другом месте.
С заботой о вашей безопасности, команда Origin Security
