Stanowisko Komitetu Informatyki PAN dotyczące cyberbezpieczeństwa badań naukowych w Polsce
Stanowisko z 10 marca 2025 r.
- Zasoby informacyjne polskiej nauki nie są obecnie chronione w systematyczny sposób. Co więcej, rozwiązania chmurowe do przetwarzania danych w działalności naukowej są coraz szerzej Proces ten jest pochodną niskich kosztów, dojrzałości i efektywności narzędzi oraz częstokroć braku alternatywnych rozwiązań.
W konsekwencji, dane które mogą być podstawą zastosowań komercyjnych, a także dane z obszaru badań o podwójnym zastosowaniu, nie znajdują się pod kontrolą polskich organizacji, ani nawet europejskich. - Brak jest systematycznej ochrony wyników badań o podwójnym zastosowaniu (na przykład na wzór australijskiego podejścia z Defence and Strategic Goods List). Co więcej, system ewaluacji jakości działalności naukowej motywuje jednostki naukowe do nieograniczonego udostępniania wyników tego typu badań. Jest to wynikiem zarówno ewaluacji w zakresie kryterium 1 („publikacje”) jak i kryterium 3 („wpływ”). Wyniki badań udostępnione i wykorzystywane jedynie w Polsce, automatycznie prowadzą do niskiej oceny jednostki i w konsekwencji niższego Paradoksalnie, wykorzystanie wyników badań przez wrogie nam państwa stanowi podstawę do wysokiej oceny jednostki naukowej w zakresie kryterium 3.
Możliwość prowadzenia badań w trybie niejawnym nie rozwiązuje problemu, bowiem dotyczy jedynie części badań mogących mieć strategiczne znaczenie. - Wobec braku systemowych rozwiązań, indywidualne zachowanie zasad cyberbezpieczeństwa przez pracowników naukowych nie rozwiązuje problemu braku kontroli nad danymi.
- Do uzdrowienia sytuacji wymagane jest podjęcie co najmniej następujących działań:
- Stopniowa budowa środowiska teleinformatycznego dla badań naukowych. Ze względów pragmatycznych, działania powinny być skoncentrowane na narzędziach i zasobach o największym znaczeniu i najłatwiejszych do szybkiego zrealizowania:
- przestrzeń do przechowywania danych z zapewnieniem silnej kontroli dostępu i odporności na zniszczenie i manipulacje, z wykorzystaniem szyfrowania E2E oraz replikacji,
- narzędzia do bezpiecznej edycji materiałów naukowych (wraz z możliwością jednoczesnej edycji, automatyczną korektą językową ),
- narzędzia do bezpiecznego przetwarzania danych (np. narzędzia statystyczne),
- narzędzia do bezpiecznej komunikacji (telekonferencje, czat) w trybie szyfrowania E2E
- Opracowanie rozwiązań systemowych dla ochrony badań o podwójnym Zagadnienie to jest wyjątkowo trudne ze względu na skutki uboczne tworzenia barier przepływu informacji.
- Stopniowa budowa środowiska teleinformatycznego dla badań naukowych. Ze względów pragmatycznych, działania powinny być skoncentrowane na narzędziach i zasobach o największym znaczeniu i najłatwiejszych do szybkiego zrealizowania:
- Szereg wspomnianych powyżej zagadnień ma szerszy charakter i może być zaadresowanych poprzez stworzenie bezpiecznego ekosystemu informacyjnego Państwa. Dla przykładu, kontrola dostępu do zasobów mogłaby być zrealizowana za pomocą narzędzi budowanych w ramach portfela cyfrowego EDIW z wykorzystaniem certyfikatów atrybutów. Wybór architektury ekosystemu i mechanizmów ochrony powinien być zrealizowany w szerszym kontekście, bez tworzenia silosu informatycznego dedykowanego dla świata nauki. Ekosystem powinien być niezależny od pojedynczego dostawcy, rozproszony i oparty o niewielką liczbę prostych i otwartych standardów.
Stanowisko wyraża poglądy Komitetu Informatyki PAN i nie powinno być utożsamiane ze stanowiskiem Polskiej Akademii Nauk.