Cyberbezpieczeństwo na uczelniach wyższych
Uczelnie wyższe funkcjonują dziś w wyjątkowo wymagającym środowisku cyfrowym. Często łączą w sobie działalność dydaktyczną, badawczą i administracyjną, jednocześnie pozostając instytucjami otwartymi na współpracę krajową i międzynarodową. Gromadzą ogromne ilości danych (m.in. osobowych, badawczych). W przeciwieństwie do wielu innych sektorów, środowisko akademickie charakteryzuje się także dużą decentralizacją i częstą rotacją użytkowników, co dodatkowo zwiększa poziom ryzyka. To sprawia, że infrastruktura IT w tych podmiotach jest jedną z bardziej złożonych, a tym samym szczególnie narażoną na zagrożenia cybernetyczne.
Czym mogą skutkować cyberataki w tym obszarze? W praktyce prowadzą do przerw w działaniu systemów uczelnianych, problemów z obsługą studentów, utraty danych badawczych lub ich nieuprawnionego ujawnienia. Dla uczelni oznacza to nie tylko straty operacyjne, ale także ryzyko odpowiedzialności prawnej wynikającej z naruszenia przepisów o cyberbezpieczeństwie i ochronie danych.
Specyfika cyberbezpieczeństwa uczelni
Uczelnie funkcjonują w modelu, który naturalnie generuje ryzyka z perspektywy cyberbezpieczeństwa. Wynikają one przede wszystkim z decentralizacji i istnienia autonomicznych systemów wydziałowych. Dodatkowym wyzwaniem jest powszechne wykorzystywanie prywatnych urządzeń przez studentów i pracowników (BYOD) oraz długi cykl życia aparatury badawczej, co znacząco utrudnia jej regularną aktualizację. Istotne znaczenie ma również różnorodność przetwarzanych danych, od danych osobowych po wyniki badań o wysokiej wartości.
W takich warunkach szczególnie ważne jest powiązanie wymogów UKSC z istniejącymi procesami zarządzania ryzykiem, ochrony danych i ciągłości działania.
Od czego zacząć analizę cyberbezpieczeństwa w uczelni?
Podstawą jest prawidłowa identyfikacja zasobów oraz funkcji, jakie pełnią systemy informacyjne. Uczelnia nie powinna być traktowana jako jednolity podmiot, lecz jako zbiór powiązanych obszarów funkcjonalnych. Obejmuje to w szczególności:
- systemy dydaktyczne i obsługi studentów;
- systemy administracyjne (kadry, finanse);
- infrastrukturę badawczą i laboratoryjną;
- środowiska projektowe oraz repozytoria danych naukowych.
Każdy z tych obszarów może podlegać innym wymaganiom i generować inne ryzyka. Kluczowe znaczenie ma więc klasyfikacja zasobów według podstawowych atrybutów bezpieczeństwa: poufności, integralności i dostępności.
Podstawowe elementy cyberbezpieczeństwa uczelni wyższej
1. Struktura i systemy
Kluczowe jest stworzenie pełnej mapy systemów informacyjnych oraz określenie ich funkcji. Szczególnie istotne jest rozdzielenie systemów:
- służących realizacji zadań publicznych;
- wykorzystywanych w działalności badawczej;
- wspierających infrastrukturę krytyczną (np. laboratoria).
2. Dostęp
Środowisko akademickie charakteryzuje się dużą liczbą użytkowników i dynamicznymi zmianami ról. Ważnym elementem jest zabezpieczenie dostępu do systemów poprzez silne mechanizmy uwierzytelniania.
3. Kontrola i reagowanie na incydenty
Uczelnie muszą być przygotowane do obsługi incydentów zgodnie z wymaganiami UKSC. Obejmuje to m.in. monitorowanie systemów, dokumentowanie zdarzeń, przygotowanie procedur reagowania oraz zdolność do raportowania incydentów w określonych terminach.
Jednocześnie należy również zwrócić uwagę na zarządzanie kontami czasowymi, odbieranie uprawnień po zakończeniu współpracy, ograniczanie kont gościnnych oraz stosowanie silnych mechanizmów uwierzytelniania.
Kary pieniężne i odpowiedzialność kierownika uczelni
Po nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa system kar stał się bardziej rygorystyczny. W przypadku uczelni wyższych, które mają status podmiotów kluczowych maksymalne kary mogą sięgać nawet 10 mln euro albo 2% przychodów, a dla podmiotów ważnych – 7 mln euro lub 1,4% przychodów.
Istotnym elementem jest również osobista odpowiedzialność kierownika danego podmiotu (rektora), który może zostać ukarany sankcją sięgającą nawet 300% swojego wynagrodzenia. Co ważne, w przypadku uczelni nie znajduje zastosowania obniżony próg odpowiedzialności przewidziany dla niektórych podmiotów publicznych.
Cyberbezpieczeństwo uczelni wyższych to nie pojedyncze narzędzie, lecz złożony system obejmujący infrastrukturę, procesy i ludzi.
Jeśli szukasz odpowiedzi na pytania:
- kiedy uczelnia jest podmiotem kluczowym, a kiedy ważnym?
- jak prawidłowo interpretować przepisy UKSC w sektorze szkolnictwa wyższego?
- jakie obowiązki mają uczelnie w różnych obszarach działalności?
- czy uczelnia może równolegle funkcjonować w różnych reżimach prawnych?
- jakie są najczęstsze błędy wdrożeniowe w zakresie cyberbezpieczeństwa w uczelniach?
znajdziesz je w najnowszym komentarzu praktycznym pt. „Status uczelni wyższych na gruncie ustawy o krajowym systemie cyberbezpieczeństwa - analiza przepisów”, którego autorami są dr Mateusz Jakubik specjalista w obszarze prawa i IT, Inspektor Ochrony Danych i wykładowca akademicki, pełniący funkcje m.in. CISO i CIO, posiadający certyfikacje ISO 27001, ISO 22301 oraz ISO/IEC 42001 i dr Rafał Tomasz Prabucki inżynier, ekspert w zakresie cyberbezpieczeństwa i ochrony danych, partner w InfinityLawTech, adiunkt Uniwersytetu Śląskiego oraz wykładowca na czołowych uczelniach, posiadający liczne certyfikacje (m.in. ISO/IEC 27001, CC (ISC)).
Komentarz dostępny jest w ofercie LEX Cyberbezpieczeństwo.