Cyberbezpieczeństwo na uczelniach wyższych

30 czerwca 2026

Uczelnie wyższe funkcjonują dziś w wyjątkowo wymagającym środowisku cyfrowym. Często łączą w sobie działalność dydaktyczną, badawczą i administracyjną, jednocześnie pozostając instytucjami otwartymi na współpracę krajową i międzynarodową. Gromadzą ogromne ilości danych (m.in. osobowych, badawczych). W przeciwieństwie do wielu innych sektorów, środowisko akademickie charakteryzuje się także dużą decentralizacją i częstą rotacją użytkowników, co dodatkowo zwiększa poziom ryzyka. To sprawia, że infrastruktura IT w tych podmiotach jest jedną z bardziej złożonych, a tym samym szczególnie narażoną na zagrożenia cybernetyczne.

Czym mogą skutkować cyberataki w tym obszarze? W praktyce prowadzą do przerw w działaniu systemów uczelnianych, problemów z obsługą studentów, utraty danych badawczych lub ich nieuprawnionego ujawnienia. Dla uczelni oznacza to nie tylko straty operacyjne, ale także ryzyko odpowiedzialności prawnej wynikającej z naruszenia przepisów o cyberbezpieczeństwie i ochronie danych.

Specyfika cyberbezpieczeństwa uczelni

Uczelnie funkcjonują w modelu, który naturalnie generuje ryzyka z perspektywy cyberbezpieczeństwa. Wynikają one przede wszystkim z decentralizacji i istnienia autonomicznych systemów wydziałowych. Dodatkowym wyzwaniem jest powszechne wykorzystywanie prywatnych urządzeń przez studentów i pracowników (BYOD) oraz długi cykl życia aparatury badawczej, co znacząco utrudnia jej regularną aktualizację. Istotne znaczenie ma również różnorodność przetwarzanych danych, od danych osobowych po wyniki badań o wysokiej wartości.

W takich warunkach szczególnie ważne jest powiązanie wymogów UKSC z istniejącymi procesami zarządzania ryzykiem, ochrony danych i ciągłości działania.

Od czego zacząć analizę cyberbezpieczeństwa w uczelni?

Podstawą jest prawidłowa identyfikacja zasobów oraz funkcji, jakie pełnią systemy informacyjne. Uczelnia nie powinna być traktowana jako jednolity podmiot, lecz jako zbiór powiązanych obszarów funkcjonalnych. Obejmuje to w szczególności:

  • systemy dydaktyczne i obsługi studentów;
  • systemy administracyjne (kadry, finanse);
  • infrastrukturę badawczą i laboratoryjną;
  • środowiska projektowe oraz repozytoria danych naukowych.

Każdy z tych obszarów może podlegać innym wymaganiom i generować inne ryzyka. Kluczowe znaczenie ma więc klasyfikacja zasobów według podstawowych atrybutów bezpieczeństwa: poufności, integralności i dostępności.

Podstawowe elementy cyberbezpieczeństwa uczelni wyższej

1. Struktura i systemy

Kluczowe jest stworzenie pełnej mapy systemów informacyjnych oraz określenie ich funkcji. Szczególnie istotne jest rozdzielenie systemów:

  • służących realizacji zadań publicznych;
  • wykorzystywanych w działalności badawczej;
  • wspierających infrastrukturę krytyczną (np. laboratoria).

2. Dostęp

Środowisko akademickie charakteryzuje się dużą liczbą użytkowników i dynamicznymi zmianami ról. Ważnym elementem jest zabezpieczenie dostępu do systemów poprzez silne mechanizmy uwierzytelniania.

3. Kontrola i reagowanie na incydenty

Uczelnie muszą być przygotowane do obsługi incydentów zgodnie z wymaganiami UKSC. Obejmuje to m.in. monitorowanie systemów, dokumentowanie zdarzeń, przygotowanie procedur reagowania oraz zdolność do raportowania incydentów w określonych terminach.

Jednocześnie należy również zwrócić uwagę na zarządzanie kontami czasowymi, odbieranie uprawnień po zakończeniu współpracy, ograniczanie kont gościnnych oraz stosowanie silnych mechanizmów uwierzytelniania.

Kary pieniężne i odpowiedzialność kierownika uczelni

Po nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa system kar stał się bardziej rygorystyczny. W przypadku uczelni wyższych, które mają status podmiotów kluczowych maksymalne kary mogą sięgać nawet 10 mln euro albo 2% przychodów, a dla podmiotów ważnych – 7 mln euro lub 1,4% przychodów.

Istotnym elementem jest również osobista odpowiedzialność kierownika danego podmiotu (rektora), który może zostać ukarany sankcją sięgającą nawet 300% swojego wynagrodzenia. Co ważne, w przypadku uczelni nie znajduje zastosowania obniżony próg odpowiedzialności przewidziany dla niektórych podmiotów publicznych.

Cyberbezpieczeństwo uczelni wyższych to nie pojedyncze narzędzie, lecz złożony system obejmujący infrastrukturę, procesy i ludzi.

Jeśli szukasz odpowiedzi na pytania:

  • kiedy uczelnia jest podmiotem kluczowym, a kiedy ważnym?
  • jak prawidłowo interpretować przepisy UKSC w sektorze szkolnictwa wyższego?
  • jakie obowiązki mają uczelnie w różnych obszarach działalności?
  • czy uczelnia może równolegle funkcjonować w różnych reżimach prawnych?
  • jakie są najczęstsze błędy wdrożeniowe w zakresie cyberbezpieczeństwa w uczelniach?

znajdziesz je w najnowszym komentarzu praktycznym pt. „Status uczelni wyższych na gruncie ustawy o krajowym systemie cyberbezpieczeństwa - analiza przepisów”, którego autorami są dr Mateusz Jakubik specjalista w obszarze prawa i IT, Inspektor Ochrony Danych i wykładowca akademicki, pełniący funkcje m.in. CISO i CIO, posiadający certyfikacje ISO 27001, ISO 22301 oraz ISO/IEC 42001 i dr Rafał Tomasz Prabucki inżynier, ekspert w zakresie cyberbezpieczeństwa i ochrony danych, partner w InfinityLawTech, adiunkt Uniwersytetu Śląskiego oraz wykładowca na czołowych uczelniach, posiadający liczne certyfikacje (m.in. ISO/IEC 27001, CC (ISC)).

Komentarz dostępny jest w ofercie LEX Cyberbezpieczeństwo.

 

 

 

Polecane