Cyberbezpieczeństwo na polskich uczelniach. Jakich zmian potrzebujemy?

Patronat medialny

Raport „Cyberbezpieczeństwo sektora akademickiego”, będący pracą zespołową Partnerów Konsorcjum SOCCER pod redakcją Pawła Słonia (AGH), wydany pod patronatem Ministerstwa Cyfryzacji, pokazuje realny obraz cyberbezpieczeństwa na polskich uczelniach wyższych. Jednym z celów publikacji jest podkreślenie roli wdrożenia SOC (ang. Security Operation Center).

Badanie opiera się na ankietach przesłanych drogą elektroniczną do kilkudziesięciu uczelni oraz serii pogłębionych wywiadów z przedstawicielami wybranych szkół wyższych. Opracowanie oparte jest na danych z lat 2024-2025 na bazie 22 kwestionariuszy.

Zagrożenia a CISO

Zgodnie z raportem ENISA przytoczonym w omawianym opracowaniu, wśród trzech najczęstszych rodzajów ataków na uczelnie wyższe w 2024 roku znalazły się:

• ransomware - 37,4% (polega zazwyczaj na zaszyfrowaniu danych wraz z uprzednią kradzieżą oraz żądaniami okupu za odszyfrowanie i niepublikowanie plików – przyp. red.);
• wyciek danych – 27%;
• DDoS i DoS – 26,1%.

Ważne pytanie dotyczy tego, kto ma odpowiadać za cyberbezpieczeństwo. W raporcie zaznaczono, że w sektorze prywatnym taką rolę zazwyczaj pełni CISO (ang. Chief Information Security Officer). _

„Do zadań CISO powinno należeć opracowanie strategii bezpieczeństwa informacji, zarządzanie ryzykiem, monitorowanie i reagowanie na zagrożenia, jak również edukowanie pracowników w zakresie cyberbezpieczeństwa. Osoba ta powinna mieć szereg kompetencji technicznych, przywódczych i strategicznych; posiadać autonomię w zakresie strukturalnym, decyzyjności i najlepiej również budżetowym”_ – podkreślono w dokumencie.

Z przeprowadzonych badań wynika, że ok. jedna trzecia (32%) uczelni nie wyznaczyła osoby (lub stanowiska) odpowiedzialnej za bezpieczeństwo informacji. Taki sam odsetek badanych przyznał, że planowane jest stworzenie takiego stanowiska. 27% ankietowanych stwierdziło, że szkoła wyższa wskazała taką osobę. Pozostałe 9% respondentów przekazało, że takie kompetencje zostały przekazane działowi IT lub zespołowi ds. bezpieczeństwa informacji (kolejno po 4,5%).

Większość uczelni nie ma SOC

O wiele mniej optymistycznie prezentują się dane dotyczące wdrożenia SOC na polskich uczelniach wyższych. Z danych wynika, że brakuje dedykowanych zespołów na poziomie uczelni.

Autorzy raportu podkreślają, że wynika to m.in. z poniższych czynników:

• ograniczeń finansowych w zakresie zakupu odpowiedniego sprzętu czy oprogramowania;
• trudności z pozyskaniem kompetentnych pracowników z sektora prywatnego.

Dodatkowo, poza wysokim progiem wejścia, dochodzą potencjalne koszty utrzymania infrastruktury i kadry, a także inwestycje w rozwój, chociażby poprzez szkolenia czy certyfikacje.
Raport „Cyberbezpieczeństwo sektora akademickiego", SOCCER

Aż 72% badanych stwierdziło, że nie ma dedykowanego zespołu ds. cyberbezpieczeństwa (SOC, CERT, CSIRT). 9% odpowiedziało, że są w „fazie rozważania. Pozostałe 18% odparło (w proporcji po 4,5%), że:

• są w trakcie tworzenia takiego zespołu;
• mają zewnętrzną usługę SOC;
• są w trakcie planowania takiego zespołu;
• częściowo ustanowiła zespół.

SIEM, EDR i XDR

W ramach reagowania na zagrożenia w sieci powszechnie wykorzystuje się trzy rodzaje narzędzi bądź systemów, takie jak:

• SIEM (ang. Security Information and Event Management) – system odpowiedzialny za zarządzanie informacjami i zdarzeniami, wykorzystywany do monitorowania sieci w czasie rzeczywistym oraz korelowania ze sobą logów;
• EDR (ang. Endpoint Detection and Response) – oprogramowanie wykrywające oraz reagujące na zagrożenia, stosowane na urządzeniach końcowych (np. komputerach);
• XDR (ang. Extended Detection and Response) – rozszerzenie rozwiązań typu EDR.

Sami badani wskazują jednak, że posiadanie tych rozwiązań rozwiąże jedynie część problemów, ponieważ do ich obsługi potrzebować będą wykwalifikowanych specjalistów, których trzeba będzie wyszkolić lub pozyskać. Niemniej jednak wśród badanych panuje przekonanie, że systemy te są konieczne do zapewnienia cyberodporności i będą dążyć do ich jak najszybszego pozyskania.
Raport „Cyberbezpieczeństwo sektora akademickiego", SOCCER

Nieco ponad 9% ankietowanych odmówiło odpowiedzi na pytanie o to, czy uczelnia posiada zintegrowany system wykrywania zagrożeń i reagowania na incydenty (SIEM, EDR, XDR). Niecałe 23% badanych stwierdziło wprost, że szkoła wyższa nie posiada takiego systemu. Taki sam odsetek osób stwierdził, że SIEM/EDR/XDR zostały wdrożone częściowo. Największa część badanych (27,3%) zapewniła, że organizacje są w trakcie planowania lub wdrażania takich rozwiązań.

Tylko niecałe 14% ankietowanych było w stanie stwierdzić, że uczelnia całościowo wdrożyła zintegrowany system wykrywania zagrożeń i reagowania na incydenty (SIEM, EDR, XDR). Pozostałe 4,5% korzysta z usług świadczonych zewnętrznie.

Problemy uczelni z ochroną informacji

W raporcie wyróżniono pięć głównych przyczyn trudności w zapewnianiu „kompleksowej ochrony informacji na uczelniach”. Wśród nich znalazły się następujące wskazania:

1. Brak specjalistów;
2. Koszty finansowe;
3. Regulacje i przepisy;
4. Specyfika uczelni i biurokracja;
5. Brak wsparcia, współpracy i wspólnych projektów.

W dokumencie wskazano również proponowane rozwiązania wspomnianych problemów:

Wśród rozwiązań, jakie planują bądź wdrażają uczelnie jest powołanie zespołów SOC, które mogłyby obsługiwać kilka jednostek jednocześnie (np. na obszarze jednego miasta/regionu). W takim modelu uczelnie mogłyby współdzielić koszty utrzymania tych jednostek zamiast ponosić je samodzielnie. Inna formą rozwiązania problemu to zlecenie usługi do podmiotów zewnętrznych.
Raport „Cyberbezpieczeństwo sektora akademickiego", SOCCER

W rozmowach z badaczami wielokrotnie wspominano o stworzeniu „centralnej dedykowanej platformy szkoleniowej” dla całego sektora akademickiego.

„Na platformie mogłyby znaleźć się kursy z wielu obszarów cyberbezpieczeństwa, uwzględniając zarówno aspekty czysto techniczne, jak np. hardening konfiguracji systemów, techniki obsługi oprogramowania do monitoringu podatności, jak również aspekty organizacyjne, zarządzanie ryzykiem, dostosowanie do obowiązujących regulacji, socjotechnika czy podstawowe zasady cyberhigieny. Materiały te powinny być również zróżnicowane ze względu na poziom trudności materiału czy docelowego odbiorcę, a więc inne dla specjalistów IT niż dla pozostałych pracowników. Platforma ta mogłaby również pełnić funkcje forum międzyuczelnianego do dyskusji i wymiany doświadczeń i informacji” – stwierdzono w opracowaniu.

Realne zastosowania

W raporcie wskazano również przykładowe rozwiązania klasy SIEM, SOAR, EDR i XDR. Niektóre z nich są darmowe oraz otwartoźródłowe. Opracowanie wymienia poniższe oprogramowanie w ramach narzędzi dla zespołów SOC:

Warto również zwrócić uwagę na narzędzia do monitorowania sieci, które można wyróżnić na dwie kategorie:

• bezpłatne: Suricata, Snort, Zabbix, NEMEA, Arkime;
• działające w modelu subskrypcji: Flowmon, PRTG Network Monitor.

W raporcie wymieniono również narzędzia pozwalające zarządzać podatnościami. Mowa tutaj o Rapid7 InsightVM i Anchore (obydwa w modelu subskrypcji) oraz DefectDojo i Pakiti (obydwa bezpłatne).

Co to dla nas oznacza?

Cyberataki na uczelnie wyższe potrafią mieć długofalowe skutki, co opisaliśmy w jednym z artykułów na naszych łamach. Wystarczy przytoczyć atak na Akademię Sztuki Wojennej w Warszawie, który wiązał się z długotrwałymi utrudnieniami dla studentów i wykładowców.

W styczniu 2025 roku TVN24 informował o dwudniowej przerwie w prowadzeniu zajęć na Uniwersytecie Technicznym w Eindhoven, która była spowodowana cyberatakiem na tamtejszą uczelnię.

Pamiętajmy o tym, że za cyberbezpieczeństwo odpowiadają zarówno ludzie i systemy.

/OK