Autor: Izabela Jaraszek

Data Publikacji: 25 maja 2021

Ataki socjotechniczne – zalecenia

Szanowni Państwo,

w świetle ostatnich wydarzeń związanych atakami socjotechnicznymi, które były kierowane do pracowników i studentów Uniwersytetu Wrocławskiego, a także udostępnianiem danych osobowych, w tym danych wrażliwych przez pracowników Uczelni do podmiotów zewnętrznych, chcemy, w porozumieniu i wspólnie z inspektorem ochrony danych UWr, zwrócić szczególną uwagę na konieczność ochrony przetwarzanych danych osobowych przez użytkowników systemów informatycznych Uczelni. Proszę pamiętać, że zgodnie z RODO, czyli Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Zalecenia dla użytkowników: 

  • przypominamy, że pracownicy są zobowiązani do chronienia danych, których przetwarzanie im polecono i powierzono w zakresie wykonywanych obowiązków służbowych (dostęp do danych osobowych mogą mieć wyłącznie osoby upoważnione przez Uczelnię);
  • należy bardzo uważać na coraz częstsze próby wyłudzenia danych poprzez ataki socjotechniczne na konta poczty elektronicznej; w przedmiotowych sprawach Dział Usług Informatycznych w minionym miesiącu przekazał Państwu z punktu widzenia bezpieczeństwa informatycznego nad wyraz ważne informacje;
  • dane przechowywane na komputerach służbowych lub prywatnych muszą być odpowiednio zabezpieczone, same urządzenia powinny być zabezpieczane hasłem, a dyski urządzeń powinny być szyfrowane;
  • staranności i uwagi wymaga korzystanie z drukarek, skanerów i kopiarek oraz urządzeń wielofunkcyjnych;
  • podkreślamy konieczność dbania o poufność własnych haseł dostępu;
  • odradzamy gromadzenia danych na przenośnych urządzeniach typu dyski usb, pendrive. Jeśli jednak zachodzi takowa konieczność składowania lub przekazywania danych na tego rodzaju nośnikach użytkownicy muszą zadbać o odpowiednie zabezpieczenie samego nośnika i danych tam magazynowanych poprzez między innymi:
    • szyfrowanie nośników,
    • szyfrowanie danych;
  • dane powinny być skutecznie usuwane z urządzeń po zakończeniu ich przetwarzania;
  • dane osobowe nie powinny być przekazywane na zewnątrz Uczelni. W koniecznych lub uzasadnionych przypadkach, np. w związku z prowadzonymi projektami lub grantami, dane należy przekazać stosując odpowiednie zabezpieczenia:
  • plik z danymi powinien być zaszyfrowany, a hasło do pliku powinno być przekazane innym kanałem (np. sms) niż sam plik, jeśli nie ma możliwości zaszyfrowania pliku wówczas plik powinien być przynajmniej spakowany np. do formatu zip z hasłem,
  • pliku nie należy dodawać jako załącznika do maila, tylko umieścić go w udostępnionych przez UWr usługach, np. OneDrive, Teams, Sharepoint, G-Suite. Nadać stosowne uprawnienia i udostępnić go określonym osobom;
  • należy starannie sprawdzać, czy wiadomość zawierająca chronione dane jest wysyłana do właściwego adresata. W przypadku wysyłania korespondencji e-mail do kilku lub większej ilości osób, w szczególności spoza UWr, należy korzystać z trybu UDW, aby nie ujawniać odbiorcy korespondencji danych pozostałych odbiorców;
  • naukowcy, wykładowcy, doktoranci i studenci powinni szczególną uwagę przykładać do danych związanych z prowadzoną działalnością naukową i dydaktyczną. Dane te powinny być poddawane szczególnym zabezpieczeniom zarówno poprzez ich odpowiednie zabezpieczanie jak i korzystanie z bezpiecznych rozwiązań do składowania plików takich jak:
    • chmurowe magazynowania danych udostępniane przez Uczelnię,
    • usługi związane ze składowaniem plików w ramach udostępnionych serwerów plikowych poddawanych dodatkowym restrykcją bezpieczeństwa, którym gwarantowane jest cykliczne wykonywanie kopii bezpieczeństwa,
    • materiały związane np. z zaliczeniami, pracami magisterskimi lub doktoranckimi, przekazujemy z wykorzystaniem usług magazynowania danych – nie przesyłamy ich mailem.
    • stosowane mechanizmy bezpieczeństwa danych w systemach informatycznych, muszą być adekwatne do ryzyka związanego z przetwarzaniem, muszą też być okresowo przeglądane. Dlatego w przypadku wątpliwości proszę zwracać się o pomoc do jednostek informatycznych Uczelni.

Podstawowe mechanizmy bezpieczeństwa pozwalające na bezpieczne przetwarzanie danych:

  • komputery służbowe zabezpieczane są zarówno systemami antywirusowymi, antymalware a dyski urządzeń przenośnych są szyfrowane,
  • oprogramowanie na komputerach służbowych i prywatnych jest zawsze aktualne, wykorzystywanie pracujących na nie wspieranych przez producenta systemach operacyjnych zarówno Windows jak i MacOs jest potencjalnym źródłem możliwego wycieku danych,
  • komputery służbowe muszą posiadać uruchomione mechanizmy autentykacji użytkownika (logowanie z wykorzystaniem konta z usługi Office365),
  • system pocztowy posiada uruchomione reguły bezpieczeństwa w ramach funkcjonalności DLP (ochrona przed utratą danych), które w automatyczny sposób w oparciu o stworzone reguły bezpieczeństwa filtruje i wskazuje wiadomości zawierające następujące dane:
    • nr pesel,
    • nr dowodu osobistego,
    • nr kart kredytowych.
  • uruchomienie mechanizmów wielostopniowego potwierdzania tożsamości przez użytkownika.

Informacje związane z polityką bezpieczeństwa przetwarzania danych:

  • Realizując czynności (procesy), w których przetwarzane są dane osobowe, należy przestrzegać następujących zasad, wskazanych przez RODO:
  • zgodność z prawem, rzetelność i przejrzystość – dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,
  • ograniczenie celu – pozyskane dane nie mogą być przetwarzane niezgodnie z celami dla jakich zostały zebrane,
  • minimalizacja – należy przetwarzać jedynie dane adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
  • prawidłowość – dane powinny być prawidłowe i w razie potrzeby uaktualniane,
  • ograniczenie przechowywania –pozyskane dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
  • Integralność i poufność – dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed przypadkową utratą oraz ujawnieniem danych osobom nieuprawnionym,
  • Rozliczalność – Uczelnia jest odpowiedzialna za przestrzeganie powyższych zasad i musi być w stanie to wykazać.
  • Każdy pracownik powinien mieć świadomość, że zarówno on jak i Uczelnia może odpowiadać finansowo w przypadku naruszenia przepisów o ochronie danych osobowych, szczególnie reguł RODO,
  • Politykę ochrony danych i inne kwestie związane z ochroną danych osobowych w Uczelni, określa Zarządzenie Nr 79/2018 Rektora Uniwersytetu Wrocławskiego z dnia 13 czerwca 2018 r. w sprawie ochrony danych osobowych w Uniwersytecie Wrocławskim.”

Kwestie bezpieczeństwa danych w systemach informatycznych reguluje Zarządzenie Nr 142/2019 Rektora Uniwersytetu Wrocławskiego z dnia 19 listopada 2019 r. w sprawie wprowadzenia Regulaminu bezpieczeństwa informacji przetwarzanych w systemach informatycznych oraz zasad korzystania z infrastruktury informatycznej Uniwersytetu Wrocławskiego.

Z poważaniem
Dyrektor ds. informatycznych – Damian Mroczyński
Inspektor Ochrony Danych – dr Krzysztof Ziemba
Kierownik Działu Usług Informatycznych – Grzegorz Grys

Projekt "Zintegrowany Program Rozwoju Uniwersytetu Wrocławskiego 2018-2022" współfinansowany ze środków Unii Europejskiej z Europejskiego Funduszu Społecznego

NEWSLETTER