Zidentyfikowano włamanie hakerskie na część infrastruktury informatycznej Uniwersytetu Warszawskiego – oznajmił we wtorek na platformie X wicepremier, minister ds. cyfryzacji Krzysztof Gawkowski. Jak podała rzeczniczka UW, dr Anna Modzelewska, obecne ustalenia nie wskazują na nieuprawniony dostęp do informacji osobistych.
– Złośliwe oprogramowanie zostało wykryte na jednej ze stacji roboczych uniwersytetu. O zajściu powiadomiono służby państwowe, które rozpoczęły intensywne działania. Zostały podjęte m.in. kroki związane z zapewnieniem bezpieczeństwa oraz ograniczeniem oddziaływania naruszenia. Kontynuowane są również analizy mające na celu identyfikację sprawców. Dotychczasowe rezultaty nie sugerują, że cyberprzestępcy uzyskali dostęp do danych osobowych z zasobów uniwersytetu – napisał na platformie X wicepremier Krzysztof Gawkowski.
UW: Brak przesłanek o wycieku danych osobowych
Jak przekazała PAP rzeczniczka Uniwersytetu Warszawskiego dr Anna Modzelewska, po otrzymaniu informacji o trwającej kampanii szkodliwego oprogramowania, 9 lutego bieżącego roku, Zespół ds. Bezpieczeństwa Informacji UW „niezwłocznie rozpoczął sprawdzanie środowiska teleinformatycznego uczelni”.
– W wyniku przeprowadzonych analiz potwierdzono występowanie złośliwego oprogramowania typu ransomware w części infrastruktury IT Uniwersytetu Warszawskiego. Ustalono, że wydarzenie miało miejsce w styczniu 2026 roku. Zidentyfikowano stację roboczą, za pośrednictwem której wprowadzono złośliwe oprogramowanie do systemu uczelni. (…) Równocześnie wdrożono działania techniczne w celu znalezienia i eliminacji nieuprawnionego dostępu, aktualnie prowadzona jest dalsza analiza techniczna oraz weryfikacja integralności systemów. Dotychczasowe rezultaty nie wskazują na pojawienie się nieautoryzowanego dostępu do danych osobowych – poinformowała.
Procedury bezpieczeństwa i notyfikacja służb
Podkreśliła, że ochrona danych i infrastruktury jest jednym z priorytetów Uniwersytetu Warszawskiego, dlatego incydent jest „badany z największą pieczołowitością”. Dbając o transparentność działań – przekazała rzeczniczka UW – uczelnia powiadomiła również o zaistniałej sytuacji w komunikacie na stronie internetowej uczelni.
Niezwłocznie zgłoszono incydent do zespołu reagowania na incydenty bezpieczeństwa CERT Polska, złożono doniesienie na policję, informacja o incydencie została przekazana do wiadomości prezesa Urzędu Ochrony Danych Osobowych – objaśniła.
Wicepremier Gawkowski wspomniał, że instytucje publiczne, w tym uczelnie i firmy, powinny stale zwracać szczególną uwagę na zabezpieczanie dostępu elektronicznego do swoich systemów oraz postępować zgodnie z zasadami określonymi w Krajowym Systemie Cyberbezpieczeństwa (KSC). – Nowe instrumenty w tym obszarze są wprowadzane nowelizacją ustawy o KSC, która oczekuje aktualnie na podpis Prezydenta. Polska musi maksymalnie umacniać swoje zdolności ochrony cyberprzestrzeni, jako państwo UE, które jest najbardziej narażone na ataki – dodał.
Znaczenie przyjętej w styczniu bieżącego roku nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa podkreśliła także we wtorkowym oświadczeniu Konferencja Rektorów Akademickich Szkół Polskich. Według KRASP, chociaż od lat obowiązywały regulacje wymagające zabezpieczenia systemów teleinformatycznych – w tym wynikające z Krajowych Ram Interoperacyjności, w praktyce brakowało jednolitego nadzoru, jednoznacznych standardów i efektywnych mechanizmów egzekwowania zobowiązań. Co więcej, pomimo wzrastającej skali zagrożeń cyberbezpieczeństwo nie było traktowane jako sprawa priorytetowa. Zdaniem KRASP nowelizacja dopasowuje poziom wymogów cyberbezpieczeństwa do faktycznego poziomu ryzyka. W praktyce oznacza to zróżnicowanie obowiązków po stronie uczelni i instytutów.
Najwyższe wymogi dotyczą konkretnych systemów i procesów związanych z badaniami stosowanymi i pracami rozwojowymi. Pozostałe obszary działalności uczelni i instytutów obejmują mniej rygorystyczne, aczkolwiek wciąż wysokie standardy. Takie rozwiązanie pozwala skutecznie chronić te elementy systemu nauki, które rzeczywiście mają znaczenie strategiczne, bez zakłócania codziennego funkcjonowania uczelni.
Nowa rola rektorów w systemie ochrony informacji
Istotna modyfikacja dotyczy jasnego określenia odpowiedzialności. Znowelizowana ustawa wyraźnie przydziela jednostkom naukowym, rektorom i dyrektorom instytutów powinności w zakresie cyberbezpieczeństwa. Daje też ministrowi nauki i szkolnictwa wyższego szereg uprawnień i obowiązków w zakresie nadzoru i kontroli. System nie ogranicza się do sankcji. Przewiduje bowiem zagwarantowanie środków na cyberbezpieczeństwo w nauce i utworzenie CSIRT Nauka.
– Dzięki tym rozwiązaniom cyberbezpieczeństwo przestaje być jedynie kwestią techniczną. Staje się elementem zarządzania i odpowiedzialności organizacyjnej. Uczelnie i instytuty muszą wiedzieć, jak mają działać w tym obszarze. Nowelizacja ustawy o KSC wprowadza konkretne rozwiązania – uznał dr hab. Dariusz Szostek, prof. UŚ, przewodniczący Zespołu ds. Cyberbezpieczeństwa KRASP, cytowany w komunikacie KRASP.
Prof. Bogumiła Kaniewska, przewodnicząca KRASP, zauważyła, że sektor nauki i szkolnictwa wyższego potrzebuje zawartych w nowelizacji rozwiązań. – Cyberbezpieczeństwo w tym sektorze jest naszą wspólną odpowiedzialnością – zarówno uczelni i instytutów, jak też organów władzy publicznej. W imieniu całego środowiska akademickiego apeluję do pana Prezydenta o podpisanie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – dodała przewodnicząca KRASP. (PAP)
ekr/ bar/