Dlaczego uczelnie muszą przestać lekceważyć ludzką stronę bezpieczeństwa?

W czasach dynamicznego rozwoju technologii, uczelnie wyższe stają przed wyjątkowym wyzwaniem – nie tylko ochrony danych i systemów, ale przede wszystkim budowania kultury odpowiedzialności cyfrowej. Cyberbezpieczeństwo przestało być problemem wyłącznie działu IT. Dziś to kwestia ogólnouczelniana – równie ważna dla rektora, jak i dla studenta logującego się do uczelnianej poczty z prywatnego laptopa.

W świecie, gdzie incydenty takie jak phishing, ransomware czy ataki na infrastrukturę IT stają się codziennością, uczelnie – z racji gromadzenia ogromnych ilości wrażliwych danych – są łakomym kąskiem dla cyberprzestępców. Budowanie odporności cyfrowej w tym środowisku nie może opierać się wyłącznie na technologiach. Kluczowym filarem jest człowiek – jego świadomość, nawyki i gotowość do reagowania.

 

Cyberbezpieczeństwo to nie dział IT – to kultura

Wielu rektorów i kanclerzy wciąż traktuje cyberbezpieczeństwo jako coś, czym „zajmuje się informatyk”. To jeden z największych błędów. To, jak uczelnia radzi sobie z zagrożeniami, zależy wprost od tego, czy jej społeczność – od wykładowcy po sekretariat – wie, jak działać w sytuacjach ryzykownych.

Kultura cyberbezpieczeństwa to zestaw wspólnych przekonań, postaw i zachowań, które warunkują sposób reagowania na zagrożenia. To nie systemy – to ludzie. Nawet najlepsze firewalle i zabezpieczenia nie pomogą, jeśli student kliknie w podejrzany link, albo wykładowca nie zauważy prób wyłudzenia danych.

 

Edukacja jako fundament kultury cyberbezpieczeństwa

Budowanie kultury cyberbezpieczeństwa zaczyna się od edukacji – nie raz na rok, nie tylko dla nowozatrudnionych, ale jako stały element życia akademickiego.

 

Szkolenia dla studentów

Studenci to najliczniejsza grupa użytkowników infrastruktury IT uczelni – logują się z różnych urządzeń, korzystają z wielu sieci, często są pierwszym celem kampanii phishingowych.

Uczelnie powinny wdrożyć obowiązkowe szkolenia z podstaw cyberhigieny, np.:

• rozpoznawanie fałszywych maili,
• zasady tworzenia bezpiecznych haseł,
• znaczenie uwierzytelniania dwuskładnikowego (MFA),
• zasady bezpiecznego logowania w sieciach publicznych.

 

Szkolenia dla kadry dydaktycznej i administracyjnej

Pracownicy uczelni mają dostęp do ogromnych zbiorów danych – personalnych, finansowych, badawczych. Dlatego ich szkolenie powinno obejmować:

• ochronę danych osobowych zgodnie z RODO,
• bezpieczne korzystanie z systemów wewnętrznych,
• reagowanie na incydenty (np. co zrobić, gdy ktoś podejrzewa włamanie do konta).

Szkolenia muszą być dopasowane do roli – inne dla osoby z dziekanatu, inne dla administratora systemów, inne dla nauczyciela akademickiego.

 

Odpowiedzialność zaczyna się od góry

Jeśli rektor nie przyjdzie na szkolenie z cyberhigieny – nie przyjdzie też połowa kadry. Jeśli prorektor ds. kształcenia nie wdroży polityki bezpieczeństwa – informatycy zostaną sami z ogromnym problemem.

To zarządzający uczelnią powinni świecić przykładem. Kultura cyberodporności wymaga liderów, którzy traktują bezpieczeństwo cyfrowe jako element strategii uczelni. Dlatego też projekt „Akademia Cyberodporności Uczelnie” kładzie nacisk na pracę z władzami rektorskimi – by zrozumiały nie tylko techniczne aspekty zagrożeń, ale przede wszystkim swoją rolę w ich zapobieganiu.

 

Przykład: co się dzieje, gdy zawodzi kultura bezpieczeństwa

Na jednej z polskich uczelni w 2023 roku doszło do incydentu, w którym student otworzył zainfekowany załącznik, myśląc, że to prezentacja z wykładu. W rzeczywistości był to dropper – niewielki fragment kodu, który po cichu zainstalował złośliwe oprogramowanie typu trojan.

Zainfekowane zostały nie tylko komputery studenckie, ale również serwery wewnętrzne uczelni. Przez kilka dni system e-dziekanatu był niedostępny. Nie działały elektroniczne indeksy. Kilka tysięcy studentów miało problem z rejestracją na zajęcia.

Co poszło nie tak? Zabrakło szkoleń. Zabrakło czujności. Zabrakło kultury cyberbezpieczeństwa.

 

Środowisko akademickie jako przestrzeń do budowania kompetencji przyszłości

Uczelnie nie tylko powinny uczyć bezpieczeństwa – powinny je współtworzyć. To właśnie tu, wśród studentów i kadry, kształtują się przyszli liderzy, urzędnicy, programiści, prawnicy, lekarze. Ich odporność na zagrożenia cyfrowe będzie wkrótce chronić nie tylko uczelnię, ale całą gospodarkę.

Dlatego nie można lekceważyć wpływu kultury cyfrowej na wartość edukacyjną uczelni. Studenci pytają dziś o jedno: „czy nauczycie nas czegoś, co przyda się w prawdziwym świecie?”. Odpowiedź brzmi: cyberbezpieczeństwo jest dziś kompetencją taką, jak umiejętność pisania czy liczenia. Bez niej nie da się funkcjonować.

 

Jak Akademia Cyberodporności Uczelnie wspiera budowę kultury bezpieczeństwa?

Program oparty jest na spotkaniach dedykowanych władzom uczelni oraz studentom. Nasze działania to m.in.:

• warsztaty dla studentów („Cyberhigiena studenta”, „MITRE ATT&CK i analiza zagrożeń”),
• spotkania z rektorami, kanclerzami, kadrą kierowniczą,
• doradztwo w zakresie wdrożenia dyrektywy NIS2 na uczelni,
• promocja dobrych praktyk, również w formie gry edukacyjnej „Misja: Cyberbezpieczeństwo”.

Jak mówi Krzysztof Tokarz, pomysłodawca projektu: „W kulturze cyberbezpieczeństwa nie chodzi o to, by wszyscy byli informatykami. Chodzi o to, by nikt nie był słabym ogniwem. Tego uczymy i do tego inspirujemy.”

Uczelnie mają szczególną misję – nie tylko edukować, ale dawać przykład. W dobie rosnącej liczby cyberataków nie wystarczą już firewalle i hasła. Potrzebna jest zmiana mentalności – od rektora po studenta pierwszego roku.

Budowanie kultury cyberbezpieczeństwa to proces. Wymaga konsekwencji, zaangażowania i odwagi do tego, by powiedzieć: „nie wiem – chcę się nauczyć”. Właśnie to podejście – oparte na edukacji i współodpowiedzialności – może uchronić środowisko akademickie przed kryzysami, a zarazem uczynić je liderem w walce z zagrożeniami cyfrowego świata.