Ateneo
Didattica
Ricerca
InternazionaleSi fa seguito alla comunicazione preliminare effettuata in data 8 maggio tramite apposita pubblicazione sul sito web di Ateneo, con la quale si dava immediata notizia dell’attacco ai sistemi informatici universitari da parte di un’organizzazione cybercriminale, per informare che si è verificata una violazione dei dati personali potenzialmente suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Dall’analisi finora svolta dagli uffici tecnici dell’ateneo, con il supporto di una società specializzata in materia e con la collaborazione dell’Agenzia per la cybersicurezza nazionale (ACN), è stato rilevato che l’attacco informatico ha interessato esclusivamente l’infrastruttura di virtualizzazione dell’Ateneo e ha comportato la perdita di alcuni dati, una minima parte dei quali è attualmente non recuperabile, e la perdita di confidenzialità di una parte degli stessi, quantificabile in circa 500 GByte, tra cui sono presenti anche dati personali.
Tramite le opportune operazioni di analisi del danno, con conseguente avvio delle operazioni di bonifica e ripristino dei sistemi – allo stato ancora in corso – è stato verificato che la violazione ha riguardato dati personali identificativi di contatto, anagrafici, amministrativi, contrattuali, potenzialmente anche sensibili, nei riguardi di soggetti interessati appartenenti a diverse categorie di stakeholders (personale tecnico amministrativo, personale docente, studenti, fornitori e lavoratori autonomi e in generale chi, a diverso titolo, sia venuto in contatto con l’Ateneo).
Al momento i tecnici hanno verificato che l’organizzazione criminale denominata “Lockbit 3.0”, oltre ad aver avuto accesso a un significativo volume di dati personali trattati dall’Ateneo per i propri fini istituzionali, ha proceduto all’esfiltrazione anche dei files contenuti in alcune cartelle presenti sullo storage condiviso tra gli uffici, nonché alla cifratura di un volume consistente di dati personali. In particolare, è stato cifrato un data base contenente dati di varia natura; la maggior parte dei dati che hanno subito la cifratura erano repliche di dati conservati e gestiti da altri sistemi che non sono stati interessati dall’attacco; di detti dati l’Ateneo ha il pieno controllo e ne ha controllato l’integrità. I dati per i quali al momento non è possibile garantire il ripristino sono in corso di censimento.
L’organizzazione cybercriminale Lockbit 3.0 ha diffuso nel dark web la notizia dell'attacco e della esfiltrazione dei dati, pubblicando a dimostrazione alcune immagini dei documenti sottratti e dichiarando che procederà a rendereli disponibili sul loro DLS (Data Leack Site) a partire dal 28 maggio alle ore 18:03 UTC, ossia le 20:03 italiane.
Procedendo nell’attività di monitoraggio e contenimento degli effetti negativi della violazione, l’ateneo ha implementato le seguenti misure ulteriori rispetto a quelle già adottate nell’immediatezza dell’evento e descritte nella precedente comunicazione:
- monitoraggio continuo e costante del traffico Internet in entrata ed in uscita dalla rete di Ateneo per individuare eventuali minacce residue durante le operazioni di ripristino dell’operatività;
- adozione di misure tecniche ed organizzative necessarie ad innalzare il livello di sicurezza dei sistemi dell’Ateneo, come l’ampliamento del perimetro di monitoraggio degli eventi sul SIEM istituzionale, enforcement delle politiche di traffico sul Firewall perimetrale, implementazione di ulteriori misure di sicurezza sugli accessi alla VPN e sugli account unisiPass;
- ripristino in sicurezza delle funzionalità dei servizi di rete che erano stati disattivati sia a seguito dell’attacco, sia precauzionalmente al fine di evitare la compromissione di ulteriori sistemi; in particolare, sono stati ripristinati pienamente gli accessi allo storage condiviso da parte del personale che accede tramite terminali virtuali. L’accesso allo storage per il personale che lavora con PC fisici verrà attivato solo dopo aver accertato l’installazione sui loro PC dell’agente del software antivirus;
- disposizione al personale tecnico amministrativo delle nuove modalità di accesso da remoto ai servizi di rete interni previo confronto sindacale;
- implementazione della dotazione organica dell’Area organizzazione e sistemi informativi con l’assunzione di 5 unità di personale una delle quali destinata specificamente alla cyber security di Ateneo.
- censimento delle cartelle condivise oggetto di esfiltrazione: l’analisi del contenuto è in corso al fine di individuare sia la tipologia dei dati personali violati, sia i soggetti specificamente interessati;
- censimento dei dati di cui si è completamente persa la disponibilità per le specifiche comunicazioni di rito;
- frequenti riunioni dell’Incident Response Team per monitoraggio dell’avanzamento delle attività di ripristino, adozione delle misure conseguenti e definizione di politiche di comunicazione interna;
- comunicazione agli organi accademici per la divulgazione delle politiche di innalzamento dei livelli di sicurezza e conseguenti determinazioni.
Allo stato abbiamo valutato che i rischi potenziali e le probabili conseguenze della violazione dei dati personali per gli interessati conseguenti a tale attacco, seppur non ancora accertati in maniera definitiva, potrebbero, tra le altre, essere:
- furto o usurpazione di identità;
- trattamento dei dati esfiltrati in modo e per scopi contrari al diritto e illeciti;
- perdita di controllo dei dati personali;
- limitazioni dei diritti degli interessati;
- conoscenza dei dati da parte di terzi non autorizzati.
L’Università, nel rammaricarsi per l’accaduto, consiglia già fin d’ora agli interessati, al fine di contenere e attenuare i possibili effetti negativi dell’illecito trattamento, di porre attenzione ad eventuali comunicazioni con le quali venga richiesto di effettuare transazioni finanziarie e/o fornire informazioni personali, in quanto potrebbero essere tentativi di utilizzo di dati per finalità non autorizzate o illecite (per esempio tentativi di frode informatica, phishing, sostituzione di persona); in tale ottica si raccomanda di accertare sempre l’effettiva autenticità e provenienza delle stesse.
Inoltre, a maggior tutela di ogni interessato, si suggerisce la modifica della password unisiPass attraverso la piattaforma MY dell’Ateneo – https://my.unisi.it – per la quale sono state inviate puntuali notifiche per le credenziali non aggiornate da oltre un anno.
In ogni caso ulteriori accorgimenti volti a proteggersi da attacchi di phishing sono reperibili sul sito internet del Garante Privacy, alla seguente pagina informativa:
https://www.garanteprivacy.it/temi/cybersecurity/phishing.
L’Università degli Studi di Siena e la Responsabile per la protezione dei dati restano a completa disposizione per ogni necessità e chiarimento, fin d’ora precisando che, non appena sarà possibile, in base a tempi tecnici necessari a identificare i tipi di dati e i singoli interessati e/o le categorie di dati e di interessati specificatamente coinvolte dalla violazione provvederanno alle ulteriori comunicazioni nelle forme più opportune.
L’Incident Response Team e la Responsabile per la Protezione dei Dati possono essere contattati all’indirizzo dedicato ai data breach: [email protected]
La Responsabile per la Protezione dei Dati è la Dott.ssa Chiara Silvia Armida Angiolini, ed è contattabile anche agli indirizzi: [email protected] o [email protected].