---- page under construction

Qualora si manifestassero anche solo segnali di un possibile attacco cyber i suddetti responsabili, ma comunque ogni dipendente di Ateneo, sarà tenuto a contattare l’Incident Response Team, nel più breve tempo possibile, all’indirizzo incidenti.ict@unige.it.

Qualora l’incidente configurasse un profilo di rischio anche possibile rispetto alla compromissione di dati personali, varranno altresì le disposizioni previste ai sensi del GDPR, con particolare riferimento al data breach, come riportate nella sezione Privacy del sito di Ateneo.

Sintomi di un possibile attacco cyber in corso

(Elenco sintetico per Atenei soggetti alla direttiva NIS2 – D.lgs. 138/2024)

1. Anomalie nei sistemi e nei servizi istituzionali
   • Improvvisa indisponibilità di servizi critici (servizi di autenticazione, posta istituzionale, portale studenti, portali docenti, sistemi contabili, segreterie digitali, repository ricerca, ecc…)
   • Lentezza anomala non spiegabile da manutenzioni o carichi previsti
   • Impossibilità di autenticarsi anche con credenziali corrette
   • Accessi ripetuti negati o esposizione di messaggi di errore inattesi
2. Comportamenti sospetti sui dispositivi o nella rete
   • Finestra improvvisa che richiede pagamento di riscatto (ransomware)
   • Installazione non autorizzata di software o icone sconosciute sul desktop
   • Movimenti anomali di file (cancellazioni, spostamenti, criptazione improvvisa)
   • Apparizione improvvisa di pop-up, script o finestre di comando
   • Picchi inusuali di traffico di rete da e verso indirizzi esterni non riconosciuti
3. Anomalie nelle credenziali e negli account
   • Ricezione di notifiche di accesso da località insolite o da device sconosciuti
   • Blocchi improvvisi dell’account o reset non richiesti della password
   • Attivazione/disattivazione inattesa di autenticazione multi-fattore (MFA)
   • Evidenza, anche da altri corrispondenti, di email inviate dal proprio account senza che l’utente le abbia create
4. Compromissione di dati o identità digitali
   • Estrazione anomala di grandi volumi di dati (esfiltrazione)
   • Modifica non autorizzata di dati didattici o amministrativi (voti, carichi didattici, bilanci, contabilità, dataset di ricerca)
   • Segnalazioni esterne di diffusione di dati dell’Ateneo sul web o dark web
   • Download anomali da repository scientifici o sistemi HPC
5. Fenomeni legati a malware, phishing e social engineering
   • E-mail molto simili a quelle istituzionali che contengono link o allegati non sicuri
   • Messaggi che richiedono credenziali, firme digitali, pagamenti o urgenze anomale
   • Falsi avvisi di “aggiornamento password” o pagine di accesso (login) clonate o finte
   • Telefonate interne che richiedono informazioni tecniche o informazioni su accesso ai sistemi (es. username e password)
6. Problemi improvvisi nei sistemi di ricerca e di infrastruttura tecnologica
   • Malfunzionamenti nei sistemi HPC, storage di ricerca o cluster scientifici
   • Interruzioni nei sistemi di automazione di laboratori, sensori o apparati IoT
   • Attività imprevista su API, server di laboratorio, ambienti cloud
7. Evidenze di attacchi da parte di botnet o minacce esterne
   • Numerosi tentativi ripetuti di accesso fallito (brute force)
   • Attacchi DDoS con saturazione dei servizi pubblici
   • Presenza nei log di indirizzi IP precedentemente segnalati come malevoli
8. Violazioni fisiche o gestione anomala dei dispositivi
   • Smarrimento o furto di laptop, smartphone o dispositivi con dati istituzionali
   • Accesso non autorizzato a locali server, laboratori o armadi di rete