Zidentyfikowano włamanie hakerskie na fragment infrastruktury informatycznej Uniwersytetu Warszawskiego – oznajmił we wtorek na platformie X wicepremier i minister ds. cyfryzacji, Krzysztof Gawkowski. Według relacji rzeczniczki prasowej UW, dr Anny Modzelewskiej, dotychczasowe informacje nie wskazują na zaistnienie nieautoryzowanego dostępu do informacji wrażliwych.
– Na jednym z komputerów uczelni wykryto szkodliwe oprogramowanie. O zdarzeniu powiadomiono służby państwowe, które niezwłocznie rozpoczęły działania. Podjęto między innymi kroki w celu zapewnienia bezpieczeństwa oraz zminimalizowania konsekwencji naruszenia. Aktualnie trwają również analizy mające na celu identyfikację sprawców. Obecne ustalenia nie wskazują, aby cyberprzestępcy uzyskali dostęp do danych osobowych z zasobów uniwersytetu – napisał na platformie X wicepremier Krzysztof Gawkowski.
UW: Brak przesłanek o wycieku danych osobowych
Jak przekazała PAP rzeczniczka Uniwersytetu Warszawskiego, dr Anna Modzelewska, po uzyskaniu wiadomości o trwającej kampanii ze złośliwym oprogramowaniem, w dniu 9 lutego br., Zespół ds. Bezpieczeństwa Informacji UW „natychmiast przystąpił do weryfikacji środowiska teleinformatycznego uniwersytetu”.
– W następstwie przeprowadzonych analiz potwierdzono obecność złośliwego oprogramowania typu ransomware w części infrastruktury IT Uniwersytetu Warszawskiego. Ustalono, że incydent miał miejsce w styczniu 2026 roku. Wykryto stację roboczą, za pośrednictwem której wprowadzono złośliwe oprogramowanie do systemu uczelni. (…) Równocześnie podjęto działania techniczne mające na celu wykrycie i usunięcie nieuprawnionego dostępu, obecnie prowadzona jest dalsza analiza techniczna i weryfikacja integralności systemów. Aktualne ustalenia nie wskazują na zaistnienie nieautoryzowanego dostępu do danych osobowych – poinformowała.
Procedury bezpieczeństwa i powiadomienie służb
Podkreśliła, że ochrona danych i infrastruktury pozostaje jednym z priorytetów Uniwersytetu Warszawskiego, dlatego incydent jest „badany z najwyższą dokładnością”. W imię transparentności działań – jak podała rzeczniczka UW – uczelnia również poinformowała o incydencie w komunikacie opublikowanym na stronie internetowej uniwersytetu.
Niezwłocznie zgłoszono zdarzenie do zespołu reagowania na incydenty bezpieczeństwa CERT Polska, złożono doniesienie na policję, a informacja o zdarzeniu została przekazana do wiadomości prezesa Urzędu Ochrony Danych Osobowych – objaśniła.
Wicepremier Gawkowski zwrócił uwagę, że instytucje publiczne, w tym uczelnie oraz przedsiębiorstwa, powinny nieustannie przykładać szczególną wagę do zabezpieczania dostępu elektronicznego do swoich systemów oraz postępować zgodnie z regulacjami zawartymi w Krajowym Systemie Cyberbezpieczeństwa (KSC). – Nowe instrumenty w tym obszarze są wprowadzane poprzez nowelizację ustawy o KSC, która aktualnie czeka na podpis Prezydenta. Polska musi w jak największym stopniu wzmacniać swoje możliwości ochrony cyberprzestrzeni, będąc najbardziej atakowanym krajem w UE – dodał.
Doniosłość przyjętej w styczniu br. nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa podkreśliła także we wtorkowym oświadczeniu Konferencja Rektorów Akademickich Szkół Polskich. Zdaniem KRASP, pomimo że od lat obowiązywały przepisy wymagające zabezpieczenia systemów teleinformatycznych – w tym wynikające z Krajowych Ram Interoperacyjności, w rzeczywistości brakowało jednolitego nadzoru, klarownych standardów i efektywnych mechanizmów egzekwowania obowiązków. Ponadto, pomimo narastającej skali zagrożeń, cyberbezpieczeństwo nie było traktowane jako zadanie o najwyższej wadze. W opinii KRASP nowelizacja dostosowuje poziom wymogów cyberbezpieczeństwa do faktycznego poziomu ryzyka. W praktyce oznacza to zróżnicowanie obowiązków po stronie uczelni i instytutów.
Najsurowsze wymogi dotyczą konkretnych systemów i procesów związanych z badaniami aplikacyjnymi i pracami rozwojowymi. Pozostałe obszary aktywności uczelni i instytutów objęte są mniej rygorystycznymi, aczkolwiek nadal wysokimi standardami. Takie rozwiązanie pozwala skutecznie chronić te komponenty systemu nauki, które realnie mają znaczenie strategiczne, bez blokowania codziennej działalności uczelni.
Nowa rola rektorów w systemie ochrony danych
Istotna modyfikacja dotyczy jednoznacznego określenia odpowiedzialności. Znowelizowana ustawa wyraźnie przypisuje jednostkom naukowym, rektorom i dyrektorom instytutów obowiązki w obszarze cyberbezpieczeństwa. Przyznaje także ministrowi nauki i szkolnictwa wyższego szereg kompetencji i powinności w zakresie nadzoru i kontroli. System nie koncentruje się wyłącznie na sankcjach. Przewiduje bowiem zagwarantowanie środków na cyberbezpieczeństwo w nauce i powołanie CSIRT Nauka.
– Dzięki tym rozwiązaniom cyberbezpieczeństwo przestaje być jedynie kwestią techniczną. Przekształca się w element zarządzania i odpowiedzialności instytucjonalnej. Uczelnie i instytuty muszą orientować się, jak mają postępować w tym zakresie. Nowelizacja ustawy o KSC wprowadza konkretne rozwiązania – stwierdził dr hab. Dariusz Szostek, prof. UŚ, przewodniczący Zespołu ds. Cyberbezpieczeństwa KRASP, cytowany w komunikacie KRASP.
Prof. Bogumiła Kaniewska, przewodnicząca KRASP, zaznaczyła, że sektor nauki i szkolnictwa wyższego potrzebuje rozwiązań zawartych w nowelizacji. – Cyberbezpieczeństwo w tym sektorze stanowi naszą wspólną odpowiedzialność – zarówno uczelni i instytutów, jak i organów władzy publicznej. W imieniu całego środowiska akademickiego apeluję do pana Prezydenta o podpisanie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – dodała przewodnicząca KRASP. (PAP)
ekr/ bar/