W erze cyfrowej transformacji, w której edukacja przenosi się do świata online z coraz większą intensywnością, uczelnie wyższe stają się nie tylko ośrodkami wiedzy, ale również organizacjami zarządzającymi ogromnymi zasobami danych. To właśnie w ich infrastrukturze informatycznej przechowywane są dane osobowe studentów, wyniki egzaminów, dokumenty finansowe, dane badawcze, a także informacje dotyczące międzynarodowych projektów naukowych czy grantów.

W tym kontekście bezpieczeństwo informatyczne uczelni nie może być traktowane jako dodatek, lecz jako fundament ich funkcjonowania. Coraz więcej szkół wyższych dostrzega potrzebę przejścia od podejścia reaktywnego (naprawa po incydencie) do proaktywnego – opartego na filozofii cybersecurity by design.

To podejście oznacza, że bezpieczeństwo jest integralnym elementem projektowania i rozwijania systemów informatycznych od samego początku. Nie jako dodatkowa warstwa, nie jako zabezpieczenie „na koniec”, ale jako stały komponent każdego etapu życia systemu IT – od planowania, przez wdrożenie, aż po utrzymanie.

 

Czym jest „Cybersecurity by design”?

W dużym uproszczeniu, „cybersecurity by design” to podejście, które zakłada projektowanie systemów w sposób, który od początku uwzględnia bezpieczeństwo jako nadrzędny priorytet. Nie chodzi tu tylko o stosowanie konkretnych technologii, lecz o sposób myślenia, który zakłada, że każdy element infrastruktury – od systemu rekrutacyjnego po aplikacje studenckie – może być potencjalnym punktem wejścia dla ataku.

Jak zauważa Krzysztof Tokarz, pomysłodawca Akademia Cyberodporności: „Na uczelniach nie wystarczy już dziś działać tylko naprawczo. Trzeba budować odporność od fundamentów, od pierwszej linijki kodu, od pierwszego kliknięcia w planowanie sieci. Cybersecurity by design to nie trend – to konieczność”.

 

Segmentacja sieci: pierwsza linia obrony

Jednym z najważniejszych aspektów projektowania bezpiecznej infrastruktury jest segmentacja sieci. Uczelnie to złożone organizmy, w których współistnieją różne działy: administracja, nauka, dydaktyka, IT, studenci, jednostki badawcze, czasem także kliniki, inkubatory przedsiębiorczości czy centra innowacji.

Brak logicznego podziału sieci może prowadzić do sytuacji, w której jedno kliknięcie w zainfekowany załącznik przez studenta z akademika otwiera furtkę do serwerów dziekanatu lub systemu płatności.

Krzysztof Tyl, CEO IT Challenge sp. z o.o. oraz trener Akademia Cyberodporności, tłumaczy: „Segmentacja to jak drzwi w budynku – bez nich można przejść z kuchni do archiwum i z archiwum do sypialni bez żadnej kontroli. A przecież nie każdy powinien mieć dostęp wszędzie. W sieci jest tak samo – dobrze zaprojektowana segmentacja może ograniczyć zasięg ataku do jednego działu zamiast całej uczelni.”

W praktyce oznacza to tworzenie tzw. VLAN-ów (Virtual Local Area Network), odseparowanych od siebie segmentów, w których każdy ma określony dostęp do zasobów – student nie musi mieć dostępu do sieci finansowej, a pracownik administracji – do laboratoriów.

 

Dane osobowe w systemach dziekanatowych i rekrutacyjnych

Systemy dziekanatowe i rekrutacyjne zawierają jedne z najbardziej wrażliwych danych – numery PESEL, adresy, wyniki matur, dokumenty tożsamości, dane dotyczące dochodów (w przypadku stypendiów), informacje o stanie zdrowia (np. w uzasadnieniach zwolnień), a nawet dane członków rodziny.

Ich ochrona powinna być absolutnym priorytetem. Niestety, wiele systemów działających na polskich uczelniach to rozwiązania, które powstały wiele lat temu i były rozwijane bez uwzględnienia współczesnych wymogów cyberbezpieczeństwa. Często brak w nich szyfrowania danych w bazie, a komunikacja odbywa się przez niezabezpieczone protokoły.

Przykładem dobrej praktyki jest wdrożenie szyfrowania danych w spoczynku i w ruchu. Dane powinny być przechowywane w postaci zaszyfrowanej, z dostępem ograniczonym tylko dla konkretnych, uwierzytelnionych użytkowników.

Krzysztof Tyl, CEO IT Challenge sp. z o.o., dodaje: „Kiedyś wystarczyło mieć hasło do bazy, by zobaczyć wszystko. Dziś potrzebujemy warstwowego podejścia – szyfrowanie, tokenizacja, ograniczony dostęp, audyt logów. Dane studentów to zasób krytyczny, a nie tylko wpis w tabeli”.

 

Polityki dostępu: kto, kiedy i po co?

Bezpieczeństwo nie polega tylko na zabezpieczeniach technicznych. Równie ważne są polityki dostępu – czyli zasady określające, kto może korzystać z jakich zasobów, w jakim czasie, z jakiego urządzenia, w jakim kontekście.

Zbyt szerokie uprawnienia (np. pracownik techniczny mający dostęp do systemu płatności) to prosta droga do katastrofy. Stosowanie zasady minimum privilege (najmniejszych uprawnień) to absolutna podstawa.

W tym miejscu warto też wspomnieć o MFA – wieloskładnikowym uwierzytelnianiu. Każdy pracownik administracji powinien logować się do systemów dziekanatowych z użyciem dodatkowego czynnika – kodu SMS, aplikacji mobilnej, klucza sprzętowego.

 

Backup i redundancja: ostatnia linia obrony

Każdy, kto pracuje w IT, wie, że „backup się nie liczy, dopóki nie został przetestowany”. Na uczelniach bardzo często backup jest wykonywany… ale tylko częściowo. Albo tylko raz na tydzień. Albo nie obejmuje całej bazy danych. Albo nikt nie testował jego przywracania od lat.

Redundancja (czyli utrzymywanie kilku kopii danych i systemów w różnych lokalizacjach) to dziś konieczność – zwłaszcza w kontekście ataków ransomware, które szyfrują dane i żądają okupu.

Przykład? W jednej z polskich uczelni (proszącej o anonimowość) atak ransomware sparaliżował całą sieć – na szczęście backup danych dziekanatu był wykonywany codziennie i utrzymywany w odizolowanej lokalizacji. Dzięki temu uczelnia wróciła do działania po 3 dniach, nie płacąc okupu.

 

Przykłady z Polski i świata

W Polsce coraz więcej uczelni wdraża politykę „cybersecurity by design”. Uniwersytet Jagielloński od lat inwestuje w segmentację sieci i systemy monitorujące. Politechnika Gdańska testuje nowe metody uwierzytelniania, w tym logowanie biometryczne dla pracowników IT.

Za granicą wzorem może być np. University of Cambridge, który wdrożył całościową politykę bezpieczeństwa, uwzględniającą m.in. regularne audyty, red team/blue team, edukację studentów, a także „cyfrowy kodeks etyczny”.

 

Dobre rady ekspertów: jak uczelnie mogą zacząć?

Krzysztof Tyl, CEO IT Challenge sp. z o.o., trener Akademia Cyberodporności, nauczyciel akademicki: „Bezpieczna uczelnia zaczyna się od architektury – nie od pojedynczego firewalla. Projektując sieć z myślą o bezpieczeństwie, budujemy odporność na lata. Wspieramy uczelnie we wdrażaniu rozwiązań, które analizują zachowania w sieci i reagują na zagrożenia zanim się rozprzestrzenią”.

Kacper Piątkowski, Network Administrator w IT Challenge sp. z o.o., trener Akademia Cyberodporności: „Zaczynamy od podstaw – przegląd systemów, audyt polityk, analiza luk. Dla wielu uczelni to pierwsze takie spojrzenie z zewnątrz. Czasem wystarczy dobrze wdrożony SIEM i polityka dostępu, by zatrzymać 80% zagrożeń”.

 

Cybersecurity by design to nie moda, lecz konieczność. Uczelnie, które traktują bezpieczeństwo jako integralny element swojej strategii IT, budują odporność nie tylko na dziś, ale i na przyszłość. W świecie, w którym dane są walutą, a przerwy w działaniu oznaczają realne straty – nie ma miejsca na półśrodki.

Akademia Cyberodporności to przestrzeń, w której uczelnie mogą zdobyć wiedzę, wymienić się doświadczeniami i rozpocząć proces wdrażania prawdziwie bezpiecznych systemów – projektowanych z myślą o odporności od pierwszego dnia.