La normativa europea sulla protezione dei dati personali (“GDPR”) impone, ai soggetti pubblici e privati, di adottare di contromisure atte a minimizzare la possibilità del furto di dati (“data breach”) e conseguenze per le libertà degli interessati.

Risulta pertanto necessario adottare ogni strategia possibile per minimizzare ogni “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità.” che per ottemperare alle tempistiche indicate agli artt. 33 e 34 del GDPR e garantire la libertà delle persone e la protezione dei loro dati personali.

E’ quindi opportuno adottare politiche di sicurezza per adeguare la Rete e i Sistemi informatici di Ateneo, come dal “considerando 83” del GDPR, “Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.”

Come riferimento tecnico-normativo per tutte le attività relative alla cybersecurity all’Università di Siena, oltre al già citato GDPR, sono inoltre considerate la Direttiva del Presidente del Consiglio dei Ministri 1 agosto 2015, “Misure minime di sicurezza ICT per le Pubbliche Amministrazioni” e la Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. “Direttiva NIS”)

Link utili

Articoli relativi alla cybersecurity

In merito alla notifica di “Attenzione: rilevato traffico anomalo originato da un Suo dispositivo”

Per tutti i dispositivi connessi alla Rete di Ateneo, sia attraverso rete fissa che WiFi, nel rispetto delle misure di sicurezza previste dalla normativa, viene effettuato un monitoraggio continuo automatico del traffico in uscita verso la Rete Internet. Tale monitoraggio è necessario per individuare eventuali indicatori di compromissione (in gergo tecnico, “IoC“) e permetterci sia… Read more »

[UniSI-CSIRT #01] Malware SolarMaker diffuso attraverso vulnerabilità plugin Formidable di WordPress

07 Luglio 2022 Si segnala che il National Cyber Security Center irlandese ha diramato un bollettino di attenzione relativamente al malware SolarMarker che si sta diffondendo sfruttando una vulnerabilità presente nel plugin Formidable (https://formidableforms.com). I dettagli della vulnerabilità sono in allegato, nel caso la Vs piattaforma utilizzasse tale plugin. In ogni caso, si raccomanda tutti… Read more »

UniSIcuri in Rete – Pulizie di primavera

Approfittiamo della primavera per stimolare maggiore consapevolezza sui rischi di gettare (o esporre) con troppa leggerezza documenti e dispositivi elettronici contenenti dati e informazioni personali. In questa puntata parliamo di – Rovistare nella spazzatura: il trashing – Shouldersurfing, sbirciare da dietro le spalle – Post-it e altre gaffe – Mercato dell’usato SCARICALA ORA => UniSIcuri… Read more »

UniSIcuri in Rete – Nel cloud

Sentiamo spesso parlare di cloud e di come questa nuova tecnologia possa aiutarci nelle nostre attività quotidiane. In questa newsletter, una panoramica su cos’è il cloud e quali sono i vantaggi e i rischi di questa tecnologia ormai così presente –talvolta a nostra insaputa– nella nostra quotidianità. SCARICALA ORA => UniSIcuri in Rete – Nel… Read more »

UniSIcuri in Rete – Ransomware!

Il ransomware è una particolare categoria di malware (malicious ware, “codice malevolo”) che colpisce i sistemi informatici cifrandone il contenuto e chiedendo, successivamente, un riscatto all’utente per ottenere la chiave (da qui “ransom”, che significa “riscatto”). Un vero e proprio “sequestro” del PC, che spesso comprende anche directory condivise e altre risorse di Rete non… Read more »

Emotet – Attenzione alle mail con mittente contraffatto @unisi.it

È stata segnalata da svariati utenti la ricezione di e-mail con mittente contraffatto @unisi.it. In realtà viene utilizzata una tecnica banale per trarre in inganno il destinatario della stessa: l’indirizzo mail mittente è quello cerchiato in rosso, non ciò che è scritto prima. Fermo restando che il mittente di una mail può essere contraffatto e,… Read more »

UniSIcuri in Rete – Occhio allo smartphone!

La memoria del nostro smartphone è quotidianamente infarcita di dati che riguardano la nostra vita, dalle e-mail ai documenti di lavoro, dalle foto alle chat personali: è quindi essenziale proteggere queste informazioni da utilizzi indesiderati, oltre a tutta una serie di attacchi specifici del mondo “mobile”, come il sim swapping. È opportuno considerare anche quanto… Read more »

Campagna di diffusione del malware Emotet attraverso mail con allegato cifrato

È stata segnalata la ricezione di mail contenenti un file allegato con testo che contiene la password dell’archivio .zip, invitando l’utente all’apertura. Alcuni esempio di mail: Gentile Sig. XXXXX,Sarebbe un piacere enorme, oltre che anche una buona pubblicità per voi.Password archivio: 936Cordiali saluti. Il testo può anche contenere il nome del destinatario e provenire da… Read more »

Vandali digitali: il fenomento dello “Zoom bombing”

Con l’aumento delle sessioni di didattica effettuate attraverso strumenti telematici di videoconferenza (Zoom, Skype, GMeet….) sono nate nuove tipologie di attacco con l’obiettivo di disturbare, danneggiare o sfruttare a scopi pubblicitari questi canali. Il fenomeno si chiama “Zoom Bombing”, dalla piattaforma di videoconferenze che per prima ha sofferto di questi attacchi. Molto semplicemente, accade che… Read more »

UniSIcuri in Rete – Lavorare e studiare (anche smart) in sicurezza

Il 2020 si è caratterizzato anche per la forte spinta alla didattica on-line e al lavoro agile, o “smart”. Innovazioni che portano con sé nuovi rischi di sicurezza, che è bene conoscere per lavorare e studiare al meglio, evitando noiose (e costose) spiacevoli conseguenze. In questo numero affrontiamo i rischi più diffusi e le buone… Read more »