Dariusz Szostek
Uczelnie zobowiązane są do zapewnienie bezpieczeństwa informacji oraz bezpieczeństwa cybernetycznego, a także ciągłości działania, jak każdy podmiot administracji w Polsce. W chwili obecnej, na wniosek ministra nauki, przeprowadzane są audyty przez uczelnianych audytorów wewnętrznych m.in. z zakresu cyberbezpieczeństwa i zapewnienia ciągłości. Potraktujmy je tym razem bardzo, ale to bardzo poważnie, bo będą one stanowiły odnośnik dla działań władz rektorskich w najbliższych miesiącach, w związku z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, ale również z bezpośrednią, odpowiedzialnością rektora za bezpieczeństwo informatyczne związaną z potencjalną karą finansową w wysokości do 600% wynagrodzenia.
W mojej ocenie, na wielu polskich uczelniach cyberbezpieczeństwo oraz bezpieczeństwo informacji nie są traktowane z należytą uwagą. Nie są wdrożone odpowiednie procedury, nie wszędzie zapewniono bezpieczeństwo pomieszczeń w odpowiednim stopniu, w tym z infrastrukturą informatyczną, a wynagrodzenia specjalistów IT odbiegają od mediany ich odpowiedników w administracji, o biznesie nie wspominając. Nawet jeżeli przygotowano odpowiednie dokumenty, to nadzór nad ich realizacją, czy też szerzej compliance, pozostawia wiele do życzenia. Jeżeli nawet jest na uczelni officer compliance (co stanowi rzadkość), to z reguły władze rektorskie proszą o łagodne działania, raczej w duchu edukacyjnym i napomnienia, niż rzeczywistego nadzoru wraz z pociąganiem do odpowiedzialności pracowników za naruszenia przepisów, wytycznych, procedur czy dobrych praktyk związanych z cyberbezpieczeństwem.
Jakiś czas temu, gdy na jednej z uczelni z powodu zdarzenia zewnętrznego (wskazywanego wcześniej w ramach wewnętrznej kontroli jako możliwe, potencjalne ryzyko) na kilka dni musiał zostać odłączony podstawowy system zarządzania uczelnią, banalizowano zdarzenie, wręcz wypowiadając się, że uczelnia na szczęście w związku ze zdarzeniem nie poniosła żadnych kosztów. Niestety poniosła, setki nieprzepracowanych godzin pracowników, nadgodziny specjalistów IT i ryzyko utraty części danych oraz poważne naruszenie ciągłości działania, konieczność uzupełniania danych kosztem odłożenia w czasie innych czynności przez pracowników itd. Powiedzmy sobie szczerze, w biznesie za takie podejście i zaniechanie nastąpiłaby zmiana w zarządzie. Po lekturze nadciągających regulacji uważam, iż wkrótce na uczelniach będzie podobnie, i to w najlepszym interesie każdego rektora.
Ale do rzeczy. Od wielu miesięcy, jako naukowcy, którym zależy na bezpieczeństwie uczelni, podnosimy, czy to podczas konferencji, webinarów, spotkań z władzami uczelni, czy też z władzami ministerialnymi, konieczność poważnego podchodzenia do cyberbezpieczeństwa uczelni, ale także wprowadzenia i wyegzekwowania od pracowników wielu procedur i rygorów, dotychczas przyjmowanych w dużych korporacjach, wskazując przy tym, że nadchodzą nowe przepisy wymuszające odpowiednie działanie. Efekt tych działań pozostawia wiele do życzenia, a czasu mamy coraz mniej lub wręcz wcale.
16 stycznia 2023 r. weszła w życie dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego poziomu cyberbezpieczeństwa na poziomie UE, zmieniająca rozporządzenie UE 910/2014 i dyrektywę 2018/1972 oraz uchylająca dyrektywę 2016/1148 – tak zwana dyrektywa NIS2, uzupełniająca dyrektywę NIS. Implementacja do polskiego porządku prawnego powinna nastąpić 21 miesięcy po jej wejściu w życie, a więc 16 października 2024 r., zbieżnie z rozpoczęciem nowego roku akademickiego. Czy to nastąpi? Wątpliwe, projekt nowelizacji Ustawy o krajowym systemie cyberbezpieczeństwa jest dopiero konsultowany, musi potem przejść całą ścieżkę legislacyjną, łącznie z podpisem prezydenta. Nie zmienia to faktu, iż w związku z zaledwie miesięcznym vacatio legis przepisy dotkną uczelnie w bardzo krótkim czasie, przy bagażu wieloletnich zaniedbań, nikłym przygotowaniu organizacyjnym, braku środków, a często i kompetencji.
Dyrektywa NIS2 nakłada na kierownictwo podmiotów kluczowych i ważnych obowiązek zatwierdzania środków finansowych, a także zarządzania ryzykiem w obszarze cyberbezpieczeństwa. To kierownicy nadzorują ich wdrażanie i ponoszą odpowiedzialność określoną w dyrektywie. Przepisy szczegółowe implementowane są do krajowych systemów prawnych, w Polsce do ustawy o krajowym systemie cyberbezpieczeństwa (analiza regulacji jest dokonywana na kanwie projektu przedłożonego do konsultacji). I właśnie w niej, w załączniku I do ustawy, uczelnie obok innych jednostek sektora finansów publicznych, a także instytuty badawcze, Centrum Łukasiewicz i instytuty działające w ramach sieci Łukasiewicz, wymienione są jako podmioty kluczowe, a organizacje badawcze jako ważne (załącznik II), co w praktyce dla rektorów i dyrektorów organizacji badawczych zmienia wiele i nakłada obowiązek wprowadzenia bardzo rygorystycznych wymogów z normy ISO 27001 oraz ISO 22301, wdrożenie ich i wyegzekwowanie pod rygorem kary.
Kierownik podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność za wykonanie obowiązków w zakresie cyberbezpieczeństwa. W przypadku gdy kierownikiem podmiotu kluczowego lub ważnego jest organ wieloosobowy (np. kolegium rektorskie) i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponoszą wszyscy członkowie organu. Ale nawet wskazanie takiej osoby nie zwalania kierownika podmiotu kluczowego lub ważnego z odpowiedzialności, także w sytuacji, gdy niektóre z obowiązków zostały powierzone innej osobie za jej zgodą. Nie ma więc skutecznego sposobu przerzucenia odpowiedzialności z rektora lub dyrektora organizacji badawczej na inne osoby. Według projektu ustawy będzie ponosił on zawsze odpowiedzialność. To rektor lub dyrektor organizacji badawczych podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu systemu zarządzania bezpieczeństwem w podmiocie i to według normy ISO 27001.
W wielu uczelniach nie ma odrębnych środków na cyberbezpieczeństwo. Po wejściu przepisów w życie rektor ma obowiązek zaplanować adekwatne środki finansowe na realizację obowiązków w zakresie cyberbezpieczeństwa. W części uczelni stan infrastruktury informatycznej czy bezpieczeństwa dostępu wymaga poważnej poprawy i inwestycji (wieloletnie zaniedbania). Brak ich w planach finansowych i niewdrożenie adekwatnych środków obciąży rektora. Według projektu to rektor będzie przydzielał zadania z zakresu cyberbezpieczeństwa w uczelni, ale także musi nadzorować ich wykonanie. W konsekwencji tzw. miękki nadzór może skutkować odpowiedzialnością rektora. To rektor będzie musiał zapewnić zgodność działania uczelni z przepisami prawa oraz wewnętrznymi regulacjami. I dodatkowo będzie musiał wszystko zorganizować tak, aby personel był świadomy obowiązków z zakresu cyberbezpieczeństwa i znał przepisy w tym zakresie. Czyli nie wystarczy szkolenie (zresztą często realizowane tylko dla zrealizowania), ale stanowczy nadzór nad kształtowaniem kompetencji kadry i egzekwowaniem realizacji zadań z tego zakresu. Ponadto jako podmiot kluczowy lub ważny, uczelnia będzie musiała zagwarantować świadomość i wiedzę w tym zakresie u swoich dostawców, w tym dostawców usług, i odpowiednio ten fakt udokumentować. Przy czym nie wystarczy podpisanie oświadczenia, iż „zapoznano się”. Konieczne będzie zapewnienie rzeczywistej wiedzy i świadomości. Raz do roku kierownik podmiotu kluczowego lub ważnego będzie musiał przejść szkolenie z zakresu wykonania obowiązków, które musi zostać udokumentowane. I znowu, nie chodzi o szkolenie dla odbycia szkolenia, lecz – jak już to funkcjonuje w dotychczas istniejących podmiotach kluczowych – w sposób bardzo restrykcyjny i traktowany poważnie.
Podmioty ważne oraz kluczowe będą ponosiły odpowiedzialność karną (finansową) za naruszenie ustawy (art. 73 projektu), także gdy zaniechanie lub incydent cyberbezpieczeństwa będą miały charakter jednorazowy. Ale ponadto zgodnie z projektowanym art. 73a karze pieniężnej może podlegać kierownik podmiotu kluczowego lub ważnego za naruszenia ustawy, także gdy zaniechanie będzie miało charakter jednorazowy. Kara ta jest niezależna od kary nakładanej na podmiot i może być wymierzona w kwocie nie wyższej niż 600% otrzymywanego wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu za urlop. Ponadto organ do spraw cyberbezpieczeństwa może w drodze decyzji nałożyć na podmiot naruszający karę w wysokości od 500 do 100 000 zł za każdy dzień opóźnienia w wykonaniu czynności określonych w art. 53 ust 4 oraz ust. 5 pkt 2-7 projektu (niewdrożenia wskazanych czynności w celu zapobiegnięcia lub zaprzestania naruszania przepisów ustawy).
Uczelnie stanową bardzo ważny element nie tylko krajowego, ale także europejskiego systemu bezpieczeństwa. Na wielu z nich znajdują się strategiczne dane, projekty, a przede wszystkim duże łącza internetowe chętnie przejmowane dla dokonywania dalszych ataków. Mamy od dłuższego czasu podniesiony poziom bezpieczeństwa do Bravo. Na części uczelni poważnie podchodzi się do bezpieczeństwa, niestety na wielu tylko w formie zgodności „dokumentacji”, a nie rzeczywistych wdrożeń i nadzoru.
Nowe przepisy, co od dawna wiadomo w środowisku, wymuszą podniesienie cyberbezpieczeństwa na uczelniach i w innych organizacjach badawczych do znacznie wyższego poziomu. Będzie to jednakże wymagało olbrzymiego wysiłku i poważnego zaangażowania ze strony rektorów, którzy przejmą nad tym osobistą odpowiedzialność. Nie mnie oceniać, czy jest to słuszne działanie. Moje doświadczenie zawodowe jednak wskazuje, iż cyberbezpieczeństwo zaczyna być poważnie traktowane dopiero po poważnych incydentach lub gdy kierownictwo instytucji jest zagrożone karą. Tylko wtedy w odpowiedni sposób, zgodny z prawem, zostają wyegzekwowane stosowane procedury, a nadzór jest realny, a nie tylko w dokumentacji.
Czy uczelnie sobie z tym poradzą? Część tak. Jednakże wiele uczelni bez profesjonalnego wsparcia, niezależnego wdrożenia, kontroli, egzekwowania i pomocy w nadzorze nie będzie w stanie spełnić kryteriów bezpieczeństwa informatycznego. Wieloletnie przyzwyczajenia, brak świadomości zagrożenia i podejście wielu naukowców oraz pracowników administracji, powiedzmy oględnie: dosyć odległe od wymogów ustawy, będzie dla wielu uczelni prawdziwym wyzwaniem. Wydaje się, iż wspólne działania KRASP, Ministerstwa Nauki i Szkolnictwa Wyższego, Ministerstwa Cyfryzacji mogą nieco pomóc, ale nie zastąpią odrobienia zadania przez władze instytucji naukowych, zwłaszcza rektorów, np. w zakresie infrastruktury i bezpieczeństwa systemów, pomieszczeń itd.
Jak do tego podejść? Jak wdrożyć procedury, jakie zabezpieczenia np. w komunikacji kierownictwa (stosowanie bezpiecznych środków komunikacji elektronicznej, uwierzytelnienie wieloskładnikowe, czego wymaga projekt ustawy), to już temat na odrębny artykuł.
Jak to będzie wyglądało, dopóki nie będzie istotnego incydentu na uczelni? W większości jednostek tak, jak dotychczas. A gdy nastąpi, wówczas kontrola wykaże zgodność (lub nie) systemów zabezpieczeń i poziom rzeczywistego wdrożenia normy ISO 27001. Zgodnie z NIS czy NIS2 rektor nie ponosi odpowiedzialności za ataki i incydenty na uczelni. Będzie ponosił za niewdrożenie i nieegzekwowanie procedur. Dotychczas w podmiotach krytycznych, gdy następował istotny incydent, kontrola następcza była bardzo drobiazgowa i poważna. A po niej w bardzo krótkim czasie następowały i inwestycje w infrastrukturę, i wprowadzanie procedur, i ich wdrożenia oraz egzekwowanie.
Wróć