Cyberbezpieczeństwo polskich uczelni kuleje. Z najnowszej analizy Grant Thornton, opisanej przez „Rzeczpospolitą” wynika, że w internecie krążą tysiące loginów i haseł związanych ze szkołami wyższymi, a uczelniane systemy mają dziesiątki tysięcy podatności.
- W sieci dostępnych jest blisko 25 tys. danych uwierzytelniających związanych z polskimi uczelniami.
- W systemach szkół wyższych wykryto około 60 tys. luk bezpieczeństwa.
- Eksperci ostrzegają, że słabe cyberbezpieczeństwo zwiększa ryzyko kradzieży danych, ransomware i przejmowania kont.
Cyberbezpieczeństwo uczelni: 25 tys. danych logowania w sieci
Według analizy specjalistów Grant Thornton, do której dotarła „Rzeczpospolita”, a którą opisała PAP, w sieci dostępnych jest blisko 25 tys. danych uwierzytelniających użytkowników pochodzących z polskich uczelni. W uczelnianych systemach wykryto około 60 tys. luk bezpieczeństwa.
To dane szczególnie niepokojące, bo uczelnie przetwarzają wiele kategorii informacji: dane studentów, pracowników, doktorantów, kandydatów, projekty badawcze, dane finansowe, korespondencję administracyjną, a w przypadku uczelni medycznych również informacje związane z działalnością kliniczną i badaniami.
„Niechlubny rekordzista” to jedna z dużych publicznych uczelni, której dotyczy ponad 1400 zidentyfikowanych wycieków – podała „Rzeczpospolita”, cytowana przez Forsal. Nazwy instytucji nie ujawniono. Według dziennika taki wynik może świadczyć o wieloletnich zaniedbaniach w zarządzaniu dostępem i bezpieczeństwem kont.
Luki, przejęte konta i ryzyko ransomware
W analizie wskazano również ponad 70 wycieków o podwyższonym poziomie ryzyka oraz 32 przypadki wycieku powiązane z rektorami polskich uczelni. To oznacza, że problem nie dotyczy wyłącznie pojedynczych kont studentów, ale może obejmować osoby z dostępem do informacji organizacyjnych i decyzyjnych.
Źródłem ryzyka są m.in. systemy sieciowe, serwery, usługi dostępne przez internet oraz środowiska używane przez studentów i pracowników. Takie słabości mogą być wykorzystywane do ataków phishingowych, przejmowania skrzynek pocztowych, podszywania się pod pracowników uczelni, kradzieży dokumentów albo blokowania systemów w ramach ataków ransomware.
Dla uczelni skutki mogą być poważne. Atak może zatrzymać rekrutację, sparaliżować obsługę studentów, zablokować dostęp do systemów egzaminacyjnych, narazić uczelnię na odpowiedzialność za naruszenie ochrony danych osobowych i uderzyć w reputację instytucji. W przypadku projektów badawczych dochodzi jeszcze ryzyko utraty własności intelektualnej albo danych partnerów biznesowych.
Polska cyberprzestrzeń pod coraz większą presją
Problem uczelni wpisuje się w szerszy wzrost liczby incydentów w kraju. Jak podał NASK, CERT Polska otrzymał w 2025 r. 658 320 zgłoszeń, o 10 proc. więcej niż rok wcześniej. Na ich podstawie zarejestrowano 260 783 unikalne incydenty bezpieczeństwa.
Wicepremier i minister cyfryzacji Krzysztof Gawkowski mówił przy okazji publikacji raportu, że „ponad 260 tys. incydentów w roku 2025 to rekord”. Według informacji Kompetencji Cyfrowych, aż 97 proc. wszystkich incydentów stanowiły oszustwa internetowe, a ich liczba wzrosła o 158 proc. względem 2024 r.
Dla szkół wyższych oznacza to, że nie działają w próżni. Uczelnie są częścią dużego cyfrowego ekosystemu: korzystają z poczty, e-learningu, systemów rekrutacyjnych, bibliotek cyfrowych, repozytoriów naukowych, usług chmurowych, grantowych baz danych i narzędzi administracyjnych. Każdy z tych elementów może stać się punktem wejścia dla atakującego.
Za mało testów i reakcji na incydenty
Według informacji opisanych przez Forsal, testy penetracyjne prowadzi 14 proc. polskich ośrodków, a mniej niż połowa instytucji ma zintegrowane systemy wykrywania i reagowania na incydenty. To pokazuje, że problem nie sprowadza się wyłącznie do braku pieniędzy, ale także do organizacji bezpieczeństwa.
Testy penetracyjne pozwalają wykrywać podatności zanim zrobią to cyberprzestępcy. Systemy wykrywania i reagowania pomagają szybko zauważyć nietypowe logowania, próby eskalacji uprawnień, masowe pobieranie danych lub komunikację z serwerami wykorzystywanymi przez złośliwe oprogramowanie. Bez takich narzędzi atak może rozwijać się tygodniami, zanim zostanie zauważony.
Uczelnie mają przy tym szczególnie trudne zadanie. Z jednej strony muszą zapewniać otwarty dostęp do zasobów naukowych i dydaktycznych. Z drugiej: chronić dane wrażliwe i projekty badawcze. Duża rotacja użytkowników, konta studentów, konta absolwentów, systemy zewnętrzne i wiele rozproszonych jednostek organizacyjnych zwiększają powierzchnię ataku.
NIS2 i KSC zwiększają presję na instytucje
Na znaczeniu zyskują też regulacje. Ministerstwo Cyfryzacji wskazuje, że nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma wdrożyć wymogi wynikające z dyrektywy NIS2 oraz podnieść poziom bezpieczeństwa systemów informacyjnych w Polsce.
Dla części instytucji oznacza to konieczność uporządkowania zarządzania ryzykiem, procedur zgłaszania incydentów, audytów, ciągłości działania i odpowiedzialności kadry zarządzającej. Nawet jeżeli nie wszystkie uczelnie będą objęte takimi samymi obowiązkami jak podmioty infrastruktury krytycznej, presja regulacyjna i oczekiwania społeczne będą rosły.
W praktyce uczelnie będą musiały inwestować w podstawowe zabezpieczenia: wieloskładnikowe uwierzytelnianie, regularne aktualizacje, segmentację sieci, kopie zapasowe, szkolenia dla pracowników i studentów, monitoring wycieków danych oraz sprawne procedury reakcji na incydenty. To nie są dodatki do cyfryzacji, ale warunek jej bezpiecznego działania.
Czytaj także:
Odbudowa Ukrainy z finansowaniem BGK. Polskie firmy podpisały umowy na 169 mln zł
Upały testują polską energetykę. Ile mogą kosztować gospodarkę?
Polacy nie chcą elektryków. Największy spadek rejestracji w Europie
