Sicurezza informatica e tutela dati personali
La sicurezza informatica di infrastrutture, sistemi, servizi e dati messi a disposizione degli studenti dell’Ateneo (es. Wi-Fi, posta elettronica ecc.) riveste un ruolo fondamentale per il funzionamento delle tecnologie informatiche in uso.
Attraverso l’Ufficio di Staff Sicurezza ICT, l'Università degli Studi di Milano, in coerenza con la normativa nazionale e con i propri regolamenti:
- promuove l'adozione di buone pratiche in materia di sicurezza informatica e protezione dei dati per minimizzare il rischio di incidenti
- interviene limitando o precludendo l'accesso alle risorse informatiche, qualora si verifichino comportamenti che possano mettere a rischio la sicurezza dei propri sistemi e servizi.
All'immatricolazione vengono comunicate allo studente le credenziali di Ateneo composte da un nome utente (corrispondente all'indirizzo email dell'università) e da una password generata automaticamente dal sistema di autenticazione.
E' buona norma modificare al primo accesso ai servizi la password di sistema rispettando i seguenti requisiti, considerati buona norma per la sicurezza dell'accesso.
L'Università degli Studi di Milano utilizza i servizi di rete forniti dal GARR, la Rete Italiana dell'Università e della Ricerca. L'utilizzo della Rete e dei suoi servizi è soggetto al rispetto delle Acceptable Use Policy (AUP) da parte di tutti gli utenti.
Periodicamente il servizio di posta elettronica di Ateneo è soggetto a un particolare tipo di attacco informatico, chiamato phishing, che ha lo scopo di rubare le credenziali di accesso.
In genere, in questi casi, il mittente delle e-mail si spaccia per amministratore del sistema di posta dell'Ateneo e segnala un grave problema, risolvibile solo rispondendo alla e-mail e indicando le proprie credenziali in chiaro o usando un link o un indirizzo internet che porta a un sito fraudolento, che richiede l'inserimento delle proprie credenziali. Esempi di questo tipo di e-mail sono:
Gentile Utente, la sua casella di posta è piena e non sarà possibile ricevere o spedire ulteriori mail. Per ripristinare il servizio si prega di connettersi al sito http://securemail.unimi.it.globetrotter.info/ ed inserire le proprie credenziali.
oppure
Gentile utente, a causa di un increscioso incidente informatico il servizio di posta deve essere ripristinato. Per completare questa operazione sono necessarie le sue credenziali in modo da recuperare l’intero dataset delle sue mail. La preghiamo quindi di rispondere a questa mail riempendo i campi di seguito:
username:---------------
password:---------------
Attenzione
Questi messaggi sono falsi: gli amministratori dei servizi di Ateneo non chiedono mai le credenziali via e-mail.
Cadere in queste trappole può comportare una serie di ricadute, sia personali che collettive, piuttosto pericolose.
Le credenziali di posta elettronica rubate possono venire usate per generare flussi consistenti di e-mail indesiderate e/o pericolose (anche milioni di e-mail in pochi minuti). Questi flussi malevoli in uscita dai nostri server ne compromettono la reputazione a livello internazionale, e possono comportare l'inserimento in blacklist di penalizzazione che, nei casi più gravi portano a un blocco dell'intero servizio di posta elettronica di Ateneo l’Ateneo per ore o addirittura giorni.
L' Ufficio di Staff Sicurezza ICT pubblica sul portale dedicato al personale di Ateneo gli avvisi sui tentativi di attacco e di phishing in corso.