Recomanacions de Seguretat

Què considerem un incident de seguretat

En general, un incident de seguretat és qualsevol esdeveniment que compromet la confidencialitat, integritat o disponibilitat dels sistemes d’informació, dades o xarxes de la nostra Universitat. Intentarem aclarir-ho amb alguns exemples:

• Phishing: intent de produir un frau o atac a través d’un correu electrònic fals
• Malware: equip o dispositiu infectat amb un programa maliciós capaç d’exfiltrar o destruir informació privada o corporativa
• Accés no autoritzat: ús de credencials o de vulnerabilitats de les aplicacions/sistemes per a accedir de manera il·lícita a aplicacions o informació
• Robatoris de dades: exfiltración d’informació no pública amb qualsevol fi
• Robatoris de credencials: comunicació o venda de credencials d’usuaris que permetran a delinqüents realitzar altres actes delictius o il·lícits
• Interrupcions de serveis o denegació de serveis: sabotatges de qualsevol tipus per a inutilitzar temporal o permanentment els serveis oferits per part de la UPV
• En general qualsevol altre fet que poguérem considerar un frau, delicte o atac contra la seguretat de la informació

Segons el tipus de ciberincident del qual es tracta:

En funció del tipus d’incident tenim vies distintes, adaptades a la millor resolució de cadascun d’ells

Phishing

És el tipus d’incident més freqüent. Per moltes mesures de prevenció que posem en marxa, els delinqüents continuen millorant els seus procediments i això fa que cada vegada siguen més difícils de detectar.

El nou sistema de correu electrònic de la UPV basat en Microsoft 365 és capaç d’eliminar la gran majoria dels atacs de phishing, però no és capaç de filtrar el 100%. De tant en tant entra algun. Per això no hem de baixar la guàrdia amb aquesta mena d’atacs.

La forma de comunicació és a través del servei de Frau Internet proporcionada per l’ASIC. Per a això hem de reexpedir els missatges sospitosos de phishing a l’adreça d’email fraude.internet@upv.es.

Des d’aquest servei es respondrà #al més prompte possible per a informar si el missatge realment és fraudulent o si és legítim. Ull: aquest servei no és immediat. Pot demorar-se unes hores o fins i tot un dia en la seua resposta. Si és una cosa urgent, recomanem contactar amb el CAU

Malware, virus, comportaments estranys del nostre equip, sospites de compromís de contrasenyes

Si sospitem o tenim indicis que els nostres equips poden haver sigut compromesos hem d’informar l’equip d’assistència informàtica del meu centre, departament o institut, o al CAU en defecte d’això.

Quins poden ser els indicis que em suggereixen que puc ser víctima d’un atac d’aquest estil?

• Avís de l’antivirus / EDR corporatiu. L’ESET ens indica que hi ha un programari maliciós en el nostre equip
• Aquest programa intentarà bloquejar-lo però si l’avís és persistent perquè no aconsegueix fer-ho, hem de notificar-lo a un responsable informàtic
• Funcionament molt estrany del nostre equip. És difícil posar exemples d’això, perquè el que pot succeir és molt variat, però si tenim la intuïció que l’equip està fent coses estranyes, convé consultar-lo amb els experts.
• Avís per part d’altres usuaris (generalment més d’un) que estan rebent correu nostre, que nosaltres no hem enviat. Això podria ser un símptoma que algú ha tingut accés a les nostres credencials i està enviant correu en el nostre nom. No sempre ha de ser aquest el motiu, però s’ha d’investigar

Exfiltración de dades privades o corporatives, filtracions de contrasenyes o sospites de ransomware

Si tenim constància que s’ha produït una exfiltración de dades privades, corporatius o coneixem fefaentment l’exfiltración de contrasenyes d’usuaris de la universitat, o si tenim sospites de ransomware hem d’enviar urgentment un correu al compte incidentes@upv.es i addicionalment hem de notificar-lo per telèfon al CAU en el telèfon 963877750 o en l’extensió 77750. Aquestes incidències han de ser tractades de manera urgent i hem de posar en marxa el circuit de gestió d’incidències sense que les cues de Gregal introduïsquen demores en un procés que podria ser urgent. Exemples d’això poden ser:

• Trobem dades que no haurien de ser públics en pàgines d’internet
• Trobem contrasenyes d’usuaris de la UPV en pàgines d’internet per casualitat o perquè algú ens avisa
• Trobem en el nostre disc dur o en les nostres carpetes de xarxa o OneDrive fitxers encriptats o amb missatges estranys (sospita que estem sent atacats per ransomware). Per a aquells que no sou coneixedors d’aquest argot, aquesta pràctica delictiva consisteix en el fet que els atacants encripten la informació local de l’equip amb la intenció de demanar diners a la víctima a posteriori per a recuperar els seus fitxers.

Incidents en els quals hi ha implicades Dades Personals

Si a més de tot l’anterior tenim certesa o sospitem que en l’incident hi ha qualsevol implicació de dades personals, s’han de tractar d’una forma especial. A més de tot l’anterior, hem d’informar immediatament per correu electrònic al Delegat de Protecció de Dades (DPD) i a més al compte de notificació d’incidents greus de l’ASIC.

Aquests dos comptes són:

• dpd@upv.es
• incidentes@upv.es

Aquesta comunicació també es produirà de manera duplicada des del servei tècnic al qual hàgem notificat la incidència, però en aquests casos, per estar implicades dades personals, és una exigència legal comunicar-li-ho al DPD.

La normativa de comunicació de bretxes de seguretat relatives a dades personals està publicada en aquest enllaç

La informació sobre Protecció de Dades la pots consultar en la web de la Delegació de Protecció de Dades.

Si vols recordar les qüestions més importants a tenir en compte quant a protecció de dades personals, et recomanem aquesta presentació molt interessant d’un curs que es va impartir recentment per al personal de la UPV. Pots consultar les diapositives en aquest enllaç.