Aktualności
Szkoły wyższe
03 Lipca
Źródło: Adobe Stock
Opublikowano: 2024-07-03

Cyfrowa perspektywa przed uczelniami i instytutami

Ostatni rok kadencji Komisji i Parlamentu Europejskiego przyniósł wręcz tsunami legislacyjne w zakresie regulacji dotyczących nowych technologii, które już teraz, a najdalej w ciągu dwóch lat, obejmą także uczelnie, instytuty naukowe i badawcze, zarówno publiczne, jak i niepubliczne. Aby sprostać tym regulacjom, powinniśmy przygotować nasze jednostki, dostosowując infrastrukturę techniczną, systemy informatyczne, ale także procesy, aby sprostać nowym wymaganiom.

Obraz cyfryzacji uczelni jest odbiciem problemów istniejących w polskiej administracji. Począwszy od braku jednolitej strategii cyfryzacji większości z nich, poprzez nie zawsze wysokie kompetencje cyfrowe (głównie wśród administracji, ale nie tylko), wieloletnie zaniedbania infrastruktury technicznej, drenaż uczelnianych kadr IT przez rynek (głównie ze względu na sporą różnicę w zarobkach), lecz często także przez brak świadomości władz uczelni o zakresie nadciągających zmian, a co za tym idzie nowych obowiązków.

Różna też jest determinacja władz uczelni w dążeniu do cyfryzacji, zmiany przyzwyczajeń, procesów, w tym zmiany obiegu dokumentów papierowych na elektroniczne, co często jest związane ze sporym oporem przynajmniej części środowiska akademickiego. Często chodzi też o brak liderów, którzy przy pełnym wsparciu władz potrafiliby przeprowadzić uczelnie przez bardzo trudny proces cyfryzacji. Zaledwie w części z nich powołano prorektora ds. cyfryzacji czy też odpowiednio umocowanego pełnomocnika rektora do takich zadań. Nie wszystkie uczelnie mają strategie cyfryzacji, wyodrębnione budżety, nie wspominając o politykach cyberbezpieczeństwa czy wdrożeniach w tym zakresie norm ISO 27000. Liczba ataków na infrastruktury uczelniane, w szczególności w związku z wojną w Ukrainie, wzrosła prawie dwukrotnie w roku 2023 w porównaniu do poprzedniego. Wiele z nich było skutecznych, a tylko ułamek informacji o tym (i słusznie!) przedostaje się do obiegu powszechnego.

Co zaskakujące, często brakuje procedur opisujących sposób powiadamiania władz uczelni o takich incydentach, i to w sytuacji, gdy reakcja powinna być natychmiastowa. Na wielu uczelniach ostatnim ogniwem w zakresie cyberbezpieczeństwa jest dyrektor IT, pomimo że odpowiedzialnym za bezpieczeństwo, w tym cyberbezpieczeństwo, jest rektor, a ryzyka związane z atakami obejmują szeroko pojętą informację, dane itd., a nie tylko same procedury informatyczne. Zarządzanie bezpieczeństwem, w tym cyberbezpieczeństwem, jest czymś znacznie szerszym niż IT. Są też takie instytucje naukowe, w szczególności uczelnie techniczne, gdzie zarówno infrastruktura, jak i polityki bezpieczeństwa oraz wdrożone procedury nie wywołują zastrzeżeń, a działania związane z cyfryzacją są przemyślane, długofalowe i zgodne z przyjętymi strategiami. Warto brać z nich przykład.

W państwach bardziej rozwiniętych cyfrowo to uczelnie są liderami zmian w obszarze cyfryzacji. To one uczą cyfrowego myślenia (mocno odbiegającego od analogowego) oraz cyfrowego zarządzania procesami nie tylko przez kadrę akademicką, ale przede wszystkim przez studentów, stanowiących w przyszłości trzon gospodarki cyfrowej. Odwiedzając część polskich uczelni, mimo wspaniałych naukowców, zaangażowanych wizjonerów, wyjątkowych badań, grantów, wdrożeń B+R, ma się jednak wrażenie „powrotu do przeszłości”. Ogólny ogląd cyfryzacji polskich uczelni nie jest optymistyczny. Chociażby kwestia wykorzystania generatorów treści, algorytmów sztucznej inteligencji. Zaledwie garstka szkół wyższych przyjęła rekomendacje czy też wewnętrzne przepisy dotyczące ich wykorzystywania w pracy naukowej i dydaktycznej. Wielu naukowców, ale i studentów, pyta, czy wykorzystywać, a jeżeli tak (bo dlaczego by nie), to jak wskazywać generatory treści jako narzędzie pracy naukowej. Problem jest poważny, w niektórych ośrodkach rozwiązywany, ale powszechnie w polskim szkolnictwie wyższym nie podejmowany. Wydaje się, że jest to materia na tyle poważna i dotycząca wszystkich, iż rekomendacje mogłyby zostać przygotowane wspólnie m.in. we współpracy z Konferencją Rektorów Akademickich Szkół Polskich.

Mamy wiele zaszłości do nadrobienia oraz możliwość zbudowania nowoczesnych, dobrze cyfrowo zarządzanych uczelni w związku z perspektywami, ale także obowiązkami, jakie na nas nałoży w najbliższym czasie UE. Poniżej tylko wycinek tego co nas czeka.

Rozporządzenie eIDAS 2 – szansa i nowe obowiązki

W 2023 i 2024 roku Unia Europejska dokonała przeglądu rozporządzenia eIDAS, wprowadzając szereg nowych narzędzi prawno-technicznych długo oczekiwanych przez rynek. Mają one na celu dalszy rozwój usług cyfrowych w UE oraz rozszerzenie dotychczasowych. Wśród najważniejszych zmian należy wymienić wprowadzenie jednolitej tożsamości cyfrowej dla obywateli i rezydentów UE oraz portfela cyfrowego, do którego będą stopniowo dodawane kwalifikowane atrybuty równoważne tradycyjnym dokumentom.

Już w dokumencie Droga ku cyfrowej dekadzie z 2022 roku (Decyzja Parlamentu i Rady UE 2022/2481) wskazano na potrzebę wprowadzenia na szeroką skalę zaufanej, dobrowolnej i kontrolowanej przez użytkownika tożsamości cyfrowej, uznawanej w całej UE oraz umożliwiającej każdemu użytkownikowi kontrolowanie swoich danych w interakcjach online, w tym z administracją publiczną, a co za tym idzie z uczelniami, a także możliwość poświadczania m.in. swoich kompetencji cyfrowymi atrybutami.

Zgodnie z preambułą rozporządzenia eIDAS 2.0 państwa członkowskie UE powinny dać możliwość wydawania i obsługi wiarygodnych atrybutów elektronicznych, co ma przyczynić się do zmniejszenia obciążenia administracyjnego poprzez umożliwienie obywatelom i rezydentom UE korzystania z nich w transakcjach prywatnych i publicznych. Każdy dostawca, który wydaje poświadczone atrybuty w postaci elektronicznej, takie jak dyplomy, akty urodzenia czy pełnomocnictwa, powinien być uznawany za dostawcę usług zaufanych (motyw 55 preambuły cytowanego rozporządzenia). Istotne jest również to, że kwalifikowany poświadczony atrybut będzie miał równoważny skutek prawny jak dokument papierowy i będzie podlegał transgranicznemu uznawaniu.

Jednym ze sposobów poświadczania atrybutów jest nałożenie na nie kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej. W tym kontekście warto rozważyć możliwość wydawania dyplomów uczelni w postaci elektronicznej, co ułatwi proces potwierdzania wykształcenia. Państwa członkowskie mają obowiązek zapewnić, że poświadczenie atrybutów zawiera odpowiednie dane oraz kwalifikowany podpis elektroniczny lub pieczęć elektroniczną. Warto zastanowić się, czy tradycyjne potwierdzenia wykształcenia oraz tytułów i stopni naukowych powinny funkcjonować w dotychczasowej formie drukowanego dyplomu, czy może forma elektroniczna, cyfrowy odpowiednik dyplomu, powinna stać się priorytetem.

Umieszczenie danych potwierdzających uprawnienia w bezpiecznej chmurze oraz w portfelu cyfrowym obywateli stanowiłby istotny krok w kierunku pełnej cyfryzacji. Konieczne jest dostosowanie krajowych przepisów prawnych do nowych wymogów eIDAS 2, aby umożliwić skuteczne wdrożenie tych zmian. Nie ma od nich ucieczki. Gdyby Ukraina nie zrobiła tego przed laty, wielu ze specjalistów nie byłoby w stanie dziś wykazać się uprawnieniami.

Już dzisiaj moglibyśmy wydawać dyplomy czy świadectwa ukończenia studiów podyplomowych w postaci elektronicznej, opatrując je kwalifikowaną pieczęcią elektroniczną uczelni. Umożliwienie wydawania elektronicznych dyplomów może przyczynić się do rozłożenia obowiązku potwierdzania wykształcenia na uczelnie wyższe na dłuższy okres, co jest ważne w kontekście rosnącej liczby absolwentów studiów. Jest to również odpowiedź na potrzeby współczesnego świata cyfrowego i zapewnienie obywatelom skutecznej kontroli nad ich cyfrową tożsamością. Państwa członkowskie muszą już za 4 lata zagwarantować możliwość potwierdzenia wykształcenia jako kwalifikowanego atrybutu w portfelu cyfrowym. Więc i tak nas to czeka. Dlaczego nie zacząć od następnego roku akademickiego?

Doręczenia elektroniczne

W grudniu 2023 roku przesunięto obowiązek, zarówno po stronie administracji, jak i przedsiębiorców, wdrożenia tzw. ustawy o doręczeniach elektronicznych. W chwili obecnej w Ministerstwie Cyfryzacji prowadzone są prace nad zmianą tego aktu i bardziej liberalnym podejściem do obowiązku doręczania elektronicznego. Nie zmieni to jednak samego obowiązku uwzględniania przez uczelnie konieczności doręczania elektronicznego pism na skrzynkę elektroniczną do podmiotów, pracowników i studentów, ale też instytucji współpracujących, które będą tego chciały. Doręczenie takie jest równoważne z dotychczasową przesyłką poleconą za zwrotnym potwierdzeniem odbioru lub z doręczeniem osobistym.

E-doręczenie działa pod dotychczasowymi adresami doręczeń elektronicznych (ADE), z których każdy jest wpisywany do publicznego rejestru zwanego Bazą Adresów Elektronicznych (BAE). Rejestr ten jest w pełni jawny dla podmiotów publicznych i służy ustaleniu ADE adresata. Uczelnie będą miały obowiązek weryfikowania tych adresów i każdorazowego wysyłania na nie korespondencji w odniesieniu do podmiotów w nich wpisanych.

Ustawa przewiduje możliwość korzystania z publicznej lub kwalifikowanej usługi doręczeń. Odróżnia je przede wszystkim to, że publiczną – wedle standardu wynikającego z Ustawy o e-doręczeniach – świadczy operator wyznaczony, którym, zgodnie z decyzją prezesa Urzędu Komunikacji Elektronicznej, w latach 2016–2025 jest Poczta Polska SA i takie doręczenie ma skutek prawny wyłącznie na terytorium kraju. Kwalifikowaną usługę świadczą kwalifikowane podmioty zaufania, podlegające bezpośrednio pod regulacje rozporządzenia eIDAS, podlegające unijnym audytom także w zakresie bezpieczeństwa, a ich usługa jest skuteczna nie tylko na terytorium Polski, ale w całej Unii Europejskiej. Łatwość integracji kwalifikowanej usługi doręczenia elektronicznego z innymi systemami, w tym służącymi do masowego i automatycznego generowania pism, znacznie ułatwia zarządzanie, monitorowanie, a także ich wysyłanie. Warto monitorować prace nad ustawą i już teraz przygotowywać uczelnie do jej wdrożenia, co powinno nastąpić do 10 grudnia 2024 roku.

Problem cyberbezpieczeństwa na uczelniach

W związku z wojną w Ukrainie polskie uczelnie stanowią istotny cel na mapie cyberataków. Ich liczba gwałtownie wzrosła w porównaniu do okresu sprzed 2022 r. I raczej się to nie zmieni. Wkrótce, bo 17 października 2024 roku, mija termin implementacji dyrektywy NIS2 w zakresie cyberbezpieczeństwa. Ministerstwo Cyfryzacji prowadzi prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Zostanie ona uchwalona i wejdzie w życie przed wskazaną powyżej datą. Już dzisiaj powinniśmy, jako uczelnie, bacznie obserwować proces legislacyjny, a nawet w nim uczestniczyć.

Dyrektywa rozszerza zakres przedmiotowy obowiązków z niej wynikających na nowe branże, ale co dla nas istotniejsze, rozszerza także zakres podmiotowy, obejmując podmioty administracji publicznej (zarówno instytucji rządowych na szczeblu centralnym, jak i na poziomie regionalnym) oraz wprowadza nową kategorię „sektory ważne”, do których zaliczeni zostają dostawcy usług cyfrowych, platform internetowych, ale także organizacje badawcze, które zostały zdefiniowane jako podmiot, którego głównym celem jest prowadzenie badań stosowanych lub eksperymentalnych prac rozwojowych z myślą o wykorzystaniu ich do celów komercyjnych z wyłączeniem instytucji edukacyjnych. Ustawa implementująca dyrektywę może rozszerzyć katalog tych podmiotów.

Niezależnie od NIS2 rektorzy mają obowiązek zapewnienia cyberbezpieczeństwa w uczelniach, monitorowanie i zgłaszanie incydentów, a także podnoszenie wiedzy i kwalifikacji pracowników i studentów w tym zakresie.

Warto przejrzeć polityki cyberbezpieczeństwa uczelni, stanowiące istotny element strategii mającej na celu zapewnienie długoterminowego bezpieczeństwa i stabilności operacyjnej organizacji, a jeżeli ich nie ma, to je przygotować i wdrożyć, dostosowując odpowiednio struktury i procedury do wymagań zapewniających bezpieczeństwo w tym obszarze. Niezwykle istotne jest, aby każda organizacja (uczelnia, ale też spółki uczelniane) zidentyfikowała, czy i w jakim stopniu podlega regulacjom NIS2. To pierwszy krok do zrozumienia obowiązków i przygotowania strategii dostosowawczej. W drugim etapie warto przygotować audyt zgodności, którego przeprowadzenie pozwala organizacjom na precyzyjne ustalenie, które obszary wymagają dostosowania do nowych przepisów, co ułatwia planowanie dalszych działań. Opracowanie efektywnych procedur reagowania na incydenty, pozwala na szybką i skuteczną reakcję, co jest kluczowe w minimalizowaniu szkód. I wreszcie, warto przygotować i rozwijać plany ciągłości działania uczelni, wymagane nie tylko w związku z cyberbezpieczeństwem, ale także na wypadek utraty danych.

Alokacja odpowiednich środków finansowych na cyberbezpieczeństwo jest kluczowa dla zapewnienia skutecznej ochrony i implementacji niezbędnych technologii oraz procedur. Warto rozpocząć poważną dyskusję nad finasowaniem uczelni w tym zakresie, a właściwie jego brakiem (środków celowych na cyberbezpieczeństwo), jak i sposobem zarządzania cyberbezpieczeństwem oraz infrastrukturą uczelnianą. Model oparty na własnych informatykach nie sprawdza się, w szczególności w uczelniach mniejszych i nietechnicznych. Warto poważnie przemyśleć uwspólnotowienie (przez kilka uczelni) infrastruktury informatycznej, w tym serwerowni, wspólne zakupy usług, licencji, w tym narzędzi ochrony bezpieczeństwa sieci, domen, jeden zespół reagujący na incydenty itd. Wspólne prace nad politykami cyberbezpieczeństwa, wzajemne szkolenia itd. Sporą rolę w zakresie koordynacji i promowania takich działań może przyjąć Ministerstwo Nauki i Szkolnictwa Wyższego wspólne z Ministerstwem Cyfryzacji, ale też i KRASP.

Na Śląsku podjęto działania w celu utworzenia eduISAC (Information Sharing and Analysis Center – Centrum Wymiany i Analizy Informacji), w którym dokonywana byłaby (a częściowo już jest) wymiana doświadczeń, wzajemne szkolenia oraz przekazywanie informacji o incydentach. ISAC stanowi bardzo dobrą formę gromadzenia wiedzy na temat aktualnych zagrożeń i ryzyka, głównie dlatego, że składa się ze specjalistów, którzy znają specyfikę sektora i mają najbardziej aktualne informacje na temat zagrożeń. Taki stan wiedzy może być trudny do osiągnięcia dla organów właściwych. Jednocześnie ISAC może być dobrą platformą współpracy i wymiany informacji dla operatorów usług kluczowych. W obliczu incydentu nie zawsze konieczny jest zespół typu CERT/CSIRT działający w systemie 24/365.

Dobrze finansowane centrum tego rodzaju, w połączeniu z koordynacją działań uczelni w zakresie cyberbezpieczeństwa, mogłoby w sporej mierze przyczynić się do zwiększenia bezpieczeństwa w polskiej nauce, a także podnieść kompetencje uczelnianych kadr.

Zamiast zakończenia

We wrześniu rozpoczyna się nowa kadencja władz uczelni. Najbliższe cztery lata będą kluczowe w zakresie uzyskania przewagi technologicznej i wykorzystania narzędzi algorytmicznych, w tym AI, w procesach biznesowych, ale także naukowych i edukacyjnych. Będą też kluczowe dla zapewnienia bezpieczeństwa i cyberbezpieczeństwa na uczelniach.

Dla wielu z nich będzie to spory wysiłek i wyzwanie. Ale jeżeli mamy mieć jakiekolwiek znaczenie na europejskim rynku nauki oraz edukacji, nie mamy alternatywy. Uczelnie, które wprowadzą narzędzia wynikające z przepisów unijnych, uzyskają przewagę nad pozostałymi. Nie mam wątpliwości, że wiele polskich uczelni nie będzie w stanie dokonać przeskoku technologicznego, a obraz pracowników administracji chodzących z teczkami do podpisu, mimo istnienia narzędzi pozwalających na pełną cyfryzację procesów, szybko nie minie. Mimo że jest to szybsze, tańsze i efektywniejsze. Z moich obserwacji – a z racji pełnionej funkcji miałem okazję odwiedzić kilka polskich uczelni – proces informatyzacji naszych jednostek jest często chaotyczny, niespójny, z wadliwymi procesami i błędami przenoszonymi z procesów „papierowych”. Niespójność i brak integralności systemów uczelnianych (a bywa, że ich nadmierna liczba) powodują, iż wiele danych wciąż musi przenosić „interfejs białkowy”, czyli pracownik, a wiele czynności jest powielanych. Częstym błędem jest także dublowanie procesów „elektronicznych” i „papierowych”, co nie sprzyja efektywności wdrożeń. A temu oraz ułatwieniu pracy ma sprzyjać racjonalne wdrażanie paperless, ale także racjonalności zatrudnienia, bowiem procesy informatyczne powinny sprzyjać zmniejszaniu liczby czynności dokonywanych przez pracowników. Wadliwa cyfryzacja (bez stosownej zmiany procesów) wywołuje niezrozumienie, niechęć, frustrację, a nawet odrzucenie przez użytkowników.

dr hab. Dariusz Szostek

Autor jest prawnikiem specjalizującym się w prawie nowych technologii. Pełni funkcję pełnomocnika rektora Uniwersytetu Śląskiego ds. cyfryzacji i dyrektora Cyber Science (wspólnej jednostki UŚ, Politechniki Śląskiej, Uniwersytetu Ekonomicznego w Katowicach oraz NASK).

Dyskusja (2 komentarze)
  • ~StaryZgred2012 06.07.2024 22:19

    Do takich działań potrzeba PIENIĘDZY, PIENIĘDZY i jeszcze raz... PIENIĘDZY. Pieniędzy, których nie ma! Po latach pauperyzacji uczelnie walczą o utrzymanie kapitału kadrowego, który topnieje w zastraszającym tempie.

  • ~Ireneusz 03.07.2024 16:32

    Może jednak Pan Autor napisałby kilka zdań o zagrożeniach związanych z ową dyrektywą Komisarzy.