Atak hakerski na Uniwersytecie Warszawskim to sygnał, że infrastruktura cyfrowa polskich uczelni i instytutów badawczych stała się realnym polem zagrożeń. Odpowiedzią jest uchwalona 29 stycznia nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która powstała we współpracy ze środowiskiem akademickim. Nowe regulacje czekają na podpis prezydenta.
Przepisy znowelizowanej ustawy uwzględniają zarówno wymogi prawa unijnego, jak też realia funkcjonowania polskich uczelni i instytutów.
– To przykład regulacji, która łączy bezpieczeństwo państwa z poszanowaniem autonomii akademickiej. Dzięki otwartej dyskusji w toku procesu legislacyjnego zostały wypracowane standardy adekwatne do ryzyka, proporcjonalne i możliwe do wdrożenia – komentuje prof. Bogumiła Kaniewska, przewodnicząca KRASP, rektorka UAM.
– Są to rozwiązania, których potrzebuje sektor nauki i szkolnictwa wyższego. Cyberbezpieczeństwo w tym sektorze jest naszą wspólną odpowiedzialnością – zarówno uczelni i instytutów, jak też organów władzy publicznej. W imieniu całego środowiska akademickiego apeluję do Pana Prezydenta o podpisanie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – dodaje przewodnicząca KRASP.
Uczelnie i instytuty naukowe są dziś integralną częścią infrastruktury cyfrowej. Przetwarzają dane osobowe, badawcze i technologiczne, realizują projekty międzynarodowe oraz kształcą niemal 1,3 mln studentów. Jednocześnie poziom cyberbezpieczeństwa w polskiej nauce przez lata pozostawał bardzo zróżnicowany – od bardzo wysokiego, charakterystycznego dla najlepszych uczelni technicznych, po niepokojąco niski w części uniwersytetów czy wyższych szkół zawodowych. Choć od lat obowiązywały przepisy wymagające zabezpieczenia systemów teleinformatycznych – w tym wynikające z Krajowych Ram Interoperacyjności – w praktyce brakowało jednolitego nadzoru, jasnych standardów i realnych mechanizmów egzekwowania obowiązków.
Uchwalona 29 stycznia nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa dostosowuje poziom wymagań cyberbezpieczeństwa do realnego poziomu ryzyka. W praktyce oznacza to zróżnicowanie obowiązków po stronie uczelni i instytutów.
Najwyższe wymagania dotyczą konkretnych systemów i procesów związanych z badaniami stosowanymi i pracami rozwojowymi. Takie rozwiązanie pozwala chronić te elementy systemu nauki, które rzeczywiście mają znaczenie strategiczne
Istotna zmiana dotyczy jednoznacznego określenia odpowiedzialności. Znowelizowana ustawa wyraźnie przypisuje jednostkom naukowym, rektorom i dyrektorom instytutów obowiązki w zakresie cyberbezpieczeństwa. Przyznaje też ministrowi nauki i szkolnictwa wyższego szereg uprawnień i obowiązków w zakresie nadzoru i kontroli. Przewiduje także zapewnienie środków na cyberbezpieczeństwo w nauce i utworzenie CSIRT Nauka.
– Dzięki tym rozwiązaniom cyberbezpieczeństwo przestaje być wyłącznie kwestią techniczną. Staje się elementem zarządzania i odpowiedzialności instytucjonalnej. Uczelnie i instytuty muszą wiedzieć, jak mają działać w tym zakresie. Nowelizacja ustawy o KSC przynosi konkretne rozwiązania – mówi dr hab. Dariusz Szostek, prof. UŚ, przewodniczący Zespołu ds. Cyberbezpieczeństwa KRASP.