Wraz z rosnącą cyfryzacją na uczelniach coraz istotniejsze staje się bezpieczeństwo systemów IT i ochrona danych. Szczególnie niepokojąca jest intensyfikacja ataków cyberprzestępców na sektor badań i edukacji – Check Point Software Technologies podaje, że w 2024 roku miało miejsce ponad 3000 ataków tygodniowo na instytucje z tego sektora. Ze skutkami poważnych ataków w samym tylko ubiegłym roku mierzyło się kilka polskich uczelni.

Dlatego na ostatnim webinarze przyjrzeliśmy się cyberbezpieczeństwu uczelni i wdrożeniu wymagań Dyrektywy NIS2. Omówiliśmy kluczowe obowiązki wynikające z NIS2 oraz wsparcie dla uczelni w zakresie ich wdrażania, jak również zaprezentowaliśmy rozwiązania wspierające cyberbezpieczeństwo na uczelniach.

Poszczególne zagadnienia przedstawili: Eryk Wdowiak (PCG Academia), Agnieszka Bocian (SIGNIUS),  Grzegorz Kaźmierczak (ESYSCO) oraz Marcin Wolski (Obserwatorium.biz).

Czym jest NIS2?

NIS2 ma na celu wzmocnienie cyberbezpieczeństwa w krajach UE. Kładzie nacisk na prewencję, zarządzanie ryzykiem, raportowanie incydentów oraz współpracę międzynarodową w zakresie cyberbezpieczeństwa. Dyrektywa, która weszła w życie w zeszłym roku, wprowadza nowe wymagania dla szerszego zakresu podmiotów z 20 sektorów gospodarki. W gronie podmiotów objętych dyrektywą jest administracja publiczna, a co za tym idzie publiczne szkoły wyższe. Uczelnie otrzymały dodatkowe środki unijne na wdrożenie wymagań NIS2.

Jakie obowiązki nakłada NIS2?

Kluczowe obowiązki dla uczelni wynikające z Dyrektywy NIS2 to:

  1. Wdrożenie środków zarządzania ryzykiem, które zapewnią ochronę przed zagrożeniami cyfrowymi.
  2. Raportowanie incydentów do krajowych organów nadzorczych w ciągu 24-72 godzin od ich wykrycia.
  3. Powołanie osoby odpowiedzialnej za cyberbezpieczeństwo.
  4. Wdrożenie polityki cyberbezpieczeństwa i regularne przeprowadzanie audytów zgodności.
  5. Weryfikacja dostawców pod kątem cyberbezpieczeństwa.
  6. Stały monitoring systemów IT, szybkie wykrywanie zagrożeń i reagowanie.
  7. Szkolenia pracowników.

Uwaga! Za naruszenie NIS2 uczelnia może ponieść karę pieniężną w wysokości nawet 7 mln euro lub 1,4% rocznych przychodów. Kary dla Zarządu mają zaś wynosić 300% miesięcznego wynagrodzenia.

Audyty zgodności z wymaganiami NIS2 dla uczelni

Audyt to kompleksowe spojrzenie na przygotowanie organizacji pod kątem cyberbezpieczeństwa. Identyfikuje mocne i słabe strony, pozwalając uczelni na reakcję na odkryte luki i optymalizację zarządzania ryzykiem. W przypadku uczelni, uznanych przez dyrektywę jako podmioty ważne, jest to szczególnie istotne ze względu na chociażby prowadzone badania czy ochronę danych studentów.

Audyt może być też bazą do wyznaczenia kierunku strategicznego rozwoju cyberbezpieczeństwa i doboru środków zarządzania ryzykiem. Może również służyć jako weryfikacja skuteczności stosowanego Systemu Zarządzania Bezpieczeństwem Informacji uczelni.

Kluczową rolę pełnią obiektywne audyty zewnętrzne, takie jak przeprowadza m.in. Signius. Wspierają one uczelnie we wdrożeniu skutecznej polityki cyberbezpieczeństwa, będącej koniecznością wobec wymagań NIS2, a także rosnącej liczby cyberataków.

Polityka cyberbezpieczeństwa i zabezpieczenia IT

Wspomniana polityka cyberbezpieczeństwa to nic innego jak zbiór procedur i zasad, które mają na celu bezpieczeństwo systemów IT i zabezpieczenie danych uczelni. Określają one też, jak postępować w przypadku wystąpienia ryzyka, np. ataku hakerskiego.

Jedną z metod zabezpieczania danych jest kryptografia, czyli szyfrowanie danych w taki sposób, aby osoby nieuprawnione nie mogły ich odczytać. Informacje przekazywane są w sposób zabezpieczony, a dostęp do nich jest możliwy tylko z użyciem klucza kryptograficznego. Urządzeniem, którego zadaniem jest generowanie i przechowywanie materiału kryptograficznego w bezpieczny i odporny na ataki sposób jest Sprzętowy Moduł Bezpieczeństwa (HSM). HSM chroni klucze kryptograficzne i umożliwia ich bezpieczne użycie, a także jest w stanie wykryć potencjalny atak.

HSM można połączyć z rozwiązaniem Esysco Cryptographic Engine i wykorzystać do np. bezpiecznego procesu pieczętowania dokumentów kwalifikowaną pieczęcią elektroniczną. W kontekście NIS2 istotna jest również Infrastruktura Klucza Publicznego (PKI), czyli zestaw do zarządzania naszymi kluczami kryptograficznymi i cyfrowymi certyfikatami. PKI zapewnia integralność i poufność danych, a także umożliwia uwierzytelnianie użytkowników i urządzeń dla ochrony komunikacji.

NIS2 nakłada również obowiązek wdrożenia skutecznego monitoringu bezpieczeństwa IT. Wymaga to stosowania narzędzi do detekcji zagrożeń, analizy incydentów oraz zarządzania certyfikatami i tożsamością cyfrową.

Bezpieczny obieg dokumentów z WEBCON BPS

Bezpieczeństwo gromadzenia i przetwarzania informacji na uczelni wspiera platforma WEBCON BPS – rozwiązanie nr 1 w kategorii Elektroniczne Zarządzanie Dokumentacją wg uznanego Rankingu Computerworld 2024.

WEBCON BPS to platforma low-code do cyfryzacji i automatyzacji procesów i obiegów dokumentów, która jest systemem klasy EZD w rozumieniu Ustawy o szkolnictwie wyższym.  Świetnie integruje się z systemem EZD RP i e-doręczeniami. Technologia low-code pozwala na obniżenie kosztów procesów, a ich tworzenie i wprowadzanie zmian nie wymaga znajomości kodowania, co daje uczelni niezależność. Istotną korzyścią WEBCON BPS jest też kompletne raportowanie. Wbudowane narzędzia umożliwiają tworzenie zaawansowanych zestawień użytkownikom nie posiadającym dużej wiedzy informatycznej.

Nic dziwnego, że rozwiązanie jest bardzo popularne wśród polskich uczelni – prywatnych i publicznych o różnej specyfice i skali działania, co pokazuje dużą elastyczność platformy i możliwości jej zaadoptowania do potrzeb konkretnej organizacji.

Wdrożenia dla uczelni realizuje PCG Academia – Partner Premium WEBCON i nr 1 w zakresie wdrożeń WEBCON BPS dla sektora szkolnictwa wyższego. Platforma WEBCON BPS oferowana przez PCG Academia daje uczelniom dodatkowe korzyści, takie jak blisko 300 gotowych cyfrowych obiegów funkcjonujących na uczelniach (obiegi studenckie, pracownicze, kancelaryjne, finansowe itd.), gotowe aplikacje, takie jak e-Teczka Studencka i e-Ocena Pracownicza oraz integracje z systemami dziekanatowymi, np. Dziekanat i USOS.

Obowiązkowe szkolenia pracowników

Ustawa o krajowym systemie cyberbezpieczeństwa wprowadza wymóg corocznego przeprowadzania obowiązkowych szkoleń dla kierownictwa podmiotu kluczowego lub ważnego  (a takim są właśnie uczelnie) oraz dla osoby odpowiedzialnej za cyberbezpieczeństwo.

Zakres szkolenia ma dotyczyć wszystkich obowiązków, które instytucja musi wprowadzić, a więc zarządzanie ryzykiem, obsługa incydentów, nadzór nad systemem zarządzania oraz procedury i polityki dotyczące dokumentacji w organizacji.

Obowiązkowe są również szkolenia dla personelu, jednak nie ma dla nich ustalonej cykliczności, która powinna zależeć od oceny ryzyka przez uczelnię. Zakres tych szkoleń powinien obejmować podstawy cyberbezpieczeństwa (zagrożenia i higiena IT) oraz stosowanie polityk i procedur (przestrzeganie regulacji wewnętrznych).

Serdecznie zapraszamy na spotkanie w zakresie omawianych rozwiązań!

Dane kontaktowe: