Centrum Informatyczne UAM jest jak świątynia. Trudno dostępna i tajemnicza. Odgrodzona od świata, a jednocześnie w jego centrum. I tak ma być. Janusz Lachowicz, dyrektor Centrum Zarządzania Infrastrukturą i Projektami Informatycznymi UAM, stąd przewodzi grupie ponad 50 osób, które dbają o bezpieczeństwo UAM-owej sieci, a marzy o dwóch tygodniach spokoju… 

Panie dyrektorze, 50 osób to dużo… 

– No dobrze, sam pan tego chciał. Zatrudnieni w CI są specjalistami z bardzo wielu dziedzin. Ta różnorodność sprzyja prawidłowemu funkcjonowaniu jednostki. Często skupieni w różnych zespołach, łączą się, by utrzymywać prawidłowe funkcjonowanie zasobów sieciowych UAM, aplikacji i usług. Najliczniejszy zespół CI dba o naszą infrastrukturę sieciową, od konfiguracji wszystkich urządzeń sieciowych, dostępy budynkowe, wi-fi, łączenie nas ze światem, po wymianę uszkodzonych gniazdek w pokojach… Uczestniczy we wszystkich fazach remontów czy inwestycji, od projektu po realizację. Tu nadzór jest konieczny, aby wszystkie elementy były spójne i ze sobą współpracowały na odpowiednim poziomie. Ogólnie mówiąc, infrastruktura informatyczna uczelni to około 80 km światłowodów, nie licząc reszty okablowania. To ponad 1,5 tys. urządzeń sieciowych, drugie tyle punktów dostępowych sieci bezprzewodowej i ok. 4,3 tys. aparatów telefonicznych. Całość z ok. 100 obiektów i 9 miast połączona w sieć uniwersytecką, skupia się w jednej serwerowni głównej i trzech pomieszczeniach zapasowych, podzielonych ze względu na funkcje. W efekcie mamy na uczelni ponad 36 tys. poprawnych logowań do sieci na godzinę! 

Pozostali pracownicy, podzieleni na zespoły, dbają o prawidłowe funkcjonowanie poczty, kalendarzy, intranetu, panelu dydaktycznego, teamsów. Kolejne osoby zajmują się systemem wspierającym zarządzanie uczelnią klasy ERP – Microsoft Dynamics AX 2012 (Axapta), w którego skład wchodzą moduły obsługujące część kadrowo-płacową, księgowość, majątek UAM itp. Dalej: zespół ds. USOS-a, który utrzymuje i konfiguruje wszystkie systemy związane z dokumentowaniem przebiegu studiów od rekrutacji po wydanie dyplomu. Mamy tu elektroniczne rejestracje na zajęcia, wprowadzanie zaliczeń, wnioski elektroniczne o stypendium i dom studencki, rekrutację na wyjazd w ramach programu ERASMUS, elektroniczne podania, obiegówki, archiwum prac dyplomowych, system antyplagiatowy i system ankietowania…. O tych USOS-owych funkcjonalnościach mógłbym opowiadać długo, bo od wdrażania tego systemu rozpoczęła się moja praca na uczelni. 

Nasze systemy uczelniane wymieniają dane z systemami zewnętrznymi, np. system POLon, przekazujemy uczelniom partnerskim Learning Agreement w ramach Erasmus Without Paper. Wysyłamy też dane do wydruku i personalizacji elektronicznych legitymacji studenta, doktoranta czy nauczyciela akademickiego. Kolejny zespół, ds. stacji roboczych, zarządza prawie tysiącem komputerów pracowników administracji. Mamy też grupę osób, które administrują serwisem głównej strony WWW i stronami wydziałowymi. Stworzyliśmy platformę hostingową, w której każdy pracownik czy jednostka może tworzyć własne zasoby poprzez WWW i je udostępniać. Do tego dochodzi usługa AMUCloud – nasza chmura uniwersytecka, gdzie udostępniamy pracownikom naukowym możliwość budowy i zarządzania własnymi maszynami wirtualnymi. Tego jest naprawdę bardzo wiele, mógłbym wymieniać dalej… 

Zmieniam pytanie. 50 osób to mało. Rekrutacja trwa na okrągło? 

– Permanentnie. Potrzeby mamy duże, bo musimy utrzymać w działaniu dotychczasowe usługi i rozwijać nowe funkcjonalności. Nie jest łatwo znaleźć osoby z odpowiednimi kompetencjami, chętne do pracy na stanowiskach informatycznych w UAM. Wiele zadań próbujemy zrealizować w ramach naszej grupy, a tak naprawdę potrzebne jest nam wsparcie ze strony kolejnych fachowców. Nie jesteśmy rozrzutni. Proszę sobie wyobrazić, że gdy wprowadzaliśmy intranet dla całej uczelni, to zatrudniliśmy tylko jedną osobę. Co więcej, obecnie wdrażany jest coraz mocniej i szerzej Portal Pracownika i choć część procesów realizowana jest już tam elektronicznie, to na chwilę obecną nie mamy dedykowanego zespołu dla tego systemu. Wciąż mamy chęci na innowacje, wprowadzanie nowych rozwiązań i procesów elektronicznych, bo mamy świetny zespół i zgranych ludzi, którzy lubią ze sobą współpracować. Musimy i chcemy się rozwijać. 

Na UAM powstał zespół ds. cyberbezpieczeństwa. Co jest jego głównym zadaniem?  

– Zespół powołała pani rektor w związku z koniecznością dostosowania uczelni do wymogów dyrektywy NIS2. Ma on zatem za zadanie zweryfikować i określić cele, strategię, a także procedury funkcjonowania uczelni pod kątem bezpieczeństwa informacji.  

Weszła w życie nowa dyrektywa unijna NIS2 dotycząca cyberbezpieczeństwa. Przed nami dostosowanie się do znowelizowanej ustawy o Krajowym Systemie Bezpieczeństwa. Co się zmieni? 

– Po wejściu w życie znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) uczelnie publiczne, takie jak nasza, zostaną formalnie uznane za podmioty kluczowe. Będzie to się wiązało z nowymi obowiązkami, które nie dotyczą wyłącznie obszaru IT, lecz całej organizacji – jej struktury, procedur, kultury pracy, a przede wszystkim sposobu zarządzania. 

Nowe przepisy nie ograniczają się tylko do kwestii technicznych, takich jak zabezpieczenia sieci i serwerów czy systemów informatycznych, ale uznają cyberbezpieczeństwo za element zarządzania strategicznego i organizacyjnego, który musi być odpowiednio nadzorowany, dokumentowany i wspierany na każdym poziomie naszego funkcjonowania. 

W praktyce oznacza to, że nadzór nad cyberbezpieczeństwem nie będzie już wyłącznie zadaniem informatyków czy działu IT. Pojawia się konieczność formalnej odpowiedzialności kierownictwa organizacji za nadzór nad cyberbezpieczeństwem oraz wdrożenia systemowego podejścia do zarządzania ryzykiem, które obejmuje analizę zagrożeń, tworzenie polityk bezpieczeństwa, planów reagowania na incydenty oraz systemów szkoleń dla pracowników. Uczelnia będzie musiała opracować na nowo i stosować procedury zgłaszania incydentów, a w razie poważnych naruszeń informować właściwe krajowe organy, często w ciągu zaledwie 24 godzin. Niezbędne będą też szkolenia i uświadamianie pracowników – nie tylko informatyków, ale też kadry naukowej i administracyjnej – na temat ich roli w utrzymaniu bezpieczeństwa informacji. W przypadku zaniedbań możliwe będą kontrole zewnętrzne oraz sankcje administracyjne, w tym kary finansowe. 

Nowelizacja ustawy, wdrażająca dyrektywę NIS2, oznacza więc dla uczelni konieczność traktowania cyberbezpieczeństwa nie jako pobocznej funkcji IT, lecz jako integralny element zarządzania instytucją publiczną, który ma wpływ na jej reputację, ciągłość działania i zaufanie społeczne. W skrócie: chodzi o zmianę naszego podejścia, kultury organizacji, w której bezpieczeństwo cyfrowe staje się wspólną odpowiedzialnością całej uczelni, a nie tylko informatyków. 

Niedawno uczestniczyłem, podobnie jak inni pracownicy UAM, w szkoleniu dotyczącym cyberbezpieczeństwa. Wnioski płynące ze spotkania nie były optymistyczne. Co chroni nas przed internetowymi bandytami? 

– Nie istnieje jeden uniwersalny system, który mógłby zapewnić pełne bezpieczeństwo w sieci. Choć możemy wymieniać różnorodne narzędzia i mechanizmy, które chronią nasze komputery i infrastrukturę uczelni, kluczowym elementem pozostajemy my sami. Nasze zachowanie oraz dyscyplina są fundamentem skutecznej ochrony. Nawet najlepsze zabezpieczenia nie będą wystarczające, jeśli nie będziemy przestrzegać zasad bezpieczeństwa. Często wystarczy chwila nieuwagi, aby stworzyć zagrożenie nie tylko dla siebie, ale również dla innych. Ostatecznie to od każdego z nas zależy, jak skutecznie będziemy chronić nasze systemy. 

Wystarczy atak typu phishing? 

– Tak, ataki typu phishing to incydenty bezpieczeństwa, które są najczęstsze, ale niejedyne. Wystarczy, że jedna czy dwie osoby staną się ofiarami takiego ataku i udostępnią swoje hasło i dane, by stać się źródłem dalszych ataków i rozsyłania spamu, aż do momentu zablokowania ich kont.  

Jak reagować? Czy zgłoszenie incydentu na helpdesk jest priorytetem? 

– Szybka reakcja jest najważniejsza. Informacja wysłana na helpdesk na pewno nie zginie. Operator I linii wsparcia zdecyduje, gdzie przesłać dalej zgłoszenie. Natomiast jeśli mówimy typowo o incydentach bezpieczeństwa, to mamy na uczelni opisane procedury ich zgłaszania w zależności od ich rodzaju. Helpdesk na pewno pomoże, ale warto zapamiętać adres abuse@amu.edu.pl, na który należy wysyłać zgłoszenia wszelkiego rodzaju nadużyć internetowych. Mam tu na myśli różnego rodzaju działania sprzeczne z prawem oraz regulaminami, czy nawet dobrymi obyczajami. Tutaj klasyfikacja incydentu i reakcja nastąpi bardzo szybko, gdyż najważniejsze jest wyeliminowanie zagrożenia, nawet kosztem czasowej niedostępności usługi czy konta. W przypadku zidentyfikowania takiego ataku zostanie powiadomiony dostawca oprogramowania antywirusowego uniwersytetu i ogólnokrajowy zespół reagowania na incydenty bezpieczeństwa komputerowego. Staramy się też wtedy na bieżąco informować w intranecie o wykrytych zagrożeniach.  

Kiedy ostatnio mieliśmy do czynienia z poważnym atakiem? 

– Tego nie mogę powiedzieć, ale ataki są i się powtarzają. Wzmożony ruch hakerski obserwujemy od dłuższego czasu i wiążemy go z tym, co dzieje się za naszą wschodnią granicą. Formy ataków są rozmaite i jest ich sporo. Wiele z nich jest udaremnianych już na poziomie dostawcy usługi czy operatora sieciowego, inne zatrzymywane są przez nasze zapory i zabezpieczenia. 

Proszę też pamiętać, że od momentu, gdy Rosja zaatakowała Ukrainę, wprowadzono w całym kraju stopień alarmowy w celu ochrony systemów teleinformatycznych. Polska obecnie jest w czołówce krajów, które są atakowane w cyberprzestrzeni.  

Jesteśmy uczelnią badawczą. Chronimy zasoby uczelniane, ale i pracę naszych naukowców? 

– Jako jednostka odpowiedzialna za zarządzanie i administrowanie infrastrukturą informatyczną uczelni podejmujemy szereg działań mających na celu zapewnienie bezpieczeństwa danych i systemów. Warto jednak podkreślić, że zakres ochrony, jaką Centrum Informatyczne może oferować, jest ściśle związany z zasobami, które są nam powierzone. Oznacza to, że CI skutecznie zabezpiecza te elementy, które są w jego kompetencjach, dbając o ich integralność i dostępność.  

Pracujecie nad obsługą i rozwojem aplikacji wspomagających zarządzanie uczelnią. Co obecnie jest priorytetem w pracach CI? 

– Mogę powiedzieć o kluczowych działaniach CI na ten rok, nie ma jednego elementu, który byłby absolutnie pierwszy. Z pewnością będziemy kontynuować modernizację infrastruktury sieciowej i, miejmy nadzieję, również serwerowej. Jak już wynikało z naszej rozmowy, niezwykle istotne będzie wdrożenie reguł i wymagań wynikających z NIS2 i nowelizacji ustawy KSC. W ślad za tym musi iść porządkowanie reguł i zasad funkcjonowania systemów informatycznych uczelni oraz wdrożenie systemu zarządzania tożsamością. Równolegle dalej rozwijany będzie Portal Pracownika, dla którego Centrum Informatyczne utrzymuje infrastrukturę i który integruje z systemami uczelni. Należy też wspomnieć o rozwoju uczelnianego systemu ERP, w tym w zakresie KSeF i JPK CIT. W ramach USOS-a wdrażamy elektroniczną teczkę studenta i elektroniczne dostarczanie dokumentów. Dużym wyzwaniem jest również projektowanie i wdrożenie centralnego systemu kontroli dostępu do obiektów. Zgodnie z zapowiedzianymi już planami projektujemy też nową serwerownię, która znacząco poprawi nasze bezpieczeństwo i jakość usług. To te najważniejsze planowane działania. 

Marzenie? 

– Dwa tygodnie bez awarii, alarmu w sieci czy nieoczekiwanego zadania z terminem realizacji na wczoraj. Cieszyłbym się również z większego zrozumienia dla naszych działań, dostrzegania nie tylko tego, co przestało działać, ale tego, jak wiele udaje się wspólnie zrobić i funkcjonuje dobrze. Pracujemy dla nas wszystkich, a nie dla siebie.  

Czytaj też: Okiem kanclerza