Minister nauki Marcin Kulasek ocenił w piątek, że nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) tworzy polskim uczelniom zaporę bezpieczeństwa, nie ograniczając przy tym autonomii akademickiej. Zdaniem rektorów ustawa daje uczelniom lepsze warunki działania, ale i nakłada szereg nowych obowiązków.
– Możemy dziś bez przesady powiedzieć, że to przełom w ochronie cyfrowej polskiej nauki – powiedział szef resortu nauki Marcin Kulasek podczas piątkowego briefingu prasowego w Warszawie, komentując nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Zaznaczył, że polskie uczelnie, obsługujące ponad 1,2 mln studentów, są codziennie narażone na cyberataki, a dotychczasowe przepisy nie zapewniały im wystarczającej ochrony.
– Tworzymy zaporę wzmacniającą bezpieczeństwo, a jednocześnie (...) nie ograniczamy kreatywności ani autonomii akademickiej – podsumował minister.
Przewodnicząca Konferencji Rektorów Akademickich Szkół Polskich (KRASP) prof. Bogumiła Kaniewska podkreśliła, że celem nowych przepisów jest stworzenie warunków do tego, aby szkoły wyższe poruszały się w przestrzeni cyfrowej bezpiecznie. Dodała jednak, że choć poprawi się działanie instytucji, to nowelizacja nakłada nowe obowiązki na rektorów, pracowników nauki, a także studentów. Jej zdaniem wszyscy użytkownicy sieci muszą zachowywać się bezpiecznie i wiedzieć, jak reagować w warunkach „cyfrowej wojny, z którą mamy do czynienia”. Jej zdaniem nowelizacja prowadzi nie tylko do unowocześnienia sprzętu, ale przede wszystkim sposobu myślenia o bezpieczeństwie uczelni.
Uczestnicy briefingu wskazywali, że nowe regulacje mają zapewnić spójność i adekwatność ochrony. Najwyższe wymogi bezpieczeństwa obejmą obszary działania uczelni dotyczące prowadzenia badań o charakterze strategicznym, rozwojowym i stosowanym. Pozostała działalność, np. humanistyczna czy artystyczna, zostanie objęta solidnymi, lecz mniej rygorystycznymi zabezpieczeniami.
Jedną z ważnych zmian organizacyjnych jest przeniesienie odpowiedzialności za cyberbezpieczeństwo z działów IT bezpośrednio na rektorów i dyrektorów instytutów. - Cyberbezpieczeństwo wchodzić będzie w zakres podstawowego obowiązku każdego rektora, każdego dyrektora instytutu PAN. Mało tego, jest to odpowiedzialność osobista bez możliwości przeniesienia na jakąkolwiek inną osobę – wyjaśnił dr hab. Dariusz Szostek, prof. UŚ, przewodniczący Zespołu ds. Cyberbezpieczeństwa KRASP.
Uczelnie będą musiały przygotować analizy ryzyka, oprogramowania oraz systemów informatycznych. Muszą też analizować łańcuchy dostaw pod kątem obecności ewentualnego oprogramowania szpiegującego. Konieczny będzie również przegląd procedur bezpieczeństwa fizycznego, np. dostępu do różnych pomieszczeń.
Nowelizacja zakłada również stworzenie w ciągu 18 miesięcy sektorowego zespołu reagowania – CSIRT Nauka. Ma on wspierać uczelnie w sytuacjach kryzysowych, ujednolicać procedury oraz pełnić funkcję kontrolną. W przypadku wykrycia incydentu, uczelnia będzie miała 24 godziny na poinformowanie zespołu reagowania.
– Czeka nas tytaniczna praca – ocenił prof. Szostek. - Jesteśmy w środku wojny cybernetycznej, a niesprzyjające nam podmioty chętnie pozyskają dane i informacje o badaniach naukowych, które dzisiaj prowadzimy - dodał.
Ministerstwo nauki zapewniło o wsparciu finansowym dla uczelni, które ma pozwolić spełnić nowe wymagania. – Na pewno zadbamy o to, żeby dodatkowe środki się znalazły – powiedział minister Kulasek. Dodał, że mają być na to przeznaczone fundusze z Ministerstwa Cyfryzacji. Pytany o szacowane koszty dostosowania instytucji do nowych wymogów, odparł, że okaże się to w toku prac. - Deklaracja Ministerstwa Cyfryzacji, które ma określoną pulę środków na to, pozwala nam spać trochę spokojniej – zapewnił.
Eksperci wskazali, że nowym wyzwaniem dla polskiego cyberbezpieczeństwa będzie deficyt kadr. Prof. Szostek ocenił, że w ciągu najbliższych lat Polska będzie potrzebować kilkudziesięciu tysięcy specjalistów od zarządzania cyberbezpieczeństwem. Wykształcenie ich spoczywa na barkach sektora nauki.
19 lutego prezydent Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Wysłał ją jednak do Trybunału Konstytucyjnego, w trybie kontroli następczej.
Nowe regulacje rozszerzają listę sektorów objętych rygorami bezpieczeństwa, dzieląc je na podmioty kluczowe (m.in. energia, ochrona zdrowia, administracja publiczna, instytuty badawcze) oraz ważne (m.in. produkcja żywności, usługi pocztowe). Instytucje te będą zobowiązane do wdrożenia systemów zarządzania ryzykiem, regularnych audytów oraz raportowania incydentów w rygorystycznych terminach. Za niedopełnienie obowiązków ustawodawca przewidział kary finansowe.
Nowelizacja ma wejść w życie po upływie miesiąca od dnia ogłoszenia. (PAP)
Nauka w Polsce
lt/ agt/
Fundacja PAP zezwala na bezpłatny przedruk artykułów z Serwisu Nauka w Polsce pod warunkiem mailowego poinformowania nas raz w miesiącu o fakcie korzystania z serwisu oraz podania źródła artykułu. W portalach i serwisach internetowych prosimy o zamieszczenie podlinkowanego adresu: Źródło: naukawpolsce.pl, a w czasopismach adnotacji: Źródło: Serwis Nauka w Polsce - naukawpolsce.pl. Powyższe zezwolenie nie dotyczy: informacji z kategorii "Świat" oraz wszelkich fotografii i materiałów wideo.
