Σύντομος οδηγός για την ψηφιακή μας ασφάλεια

Η σωστή και ασφαλής χρήση των υπολογιστών και των πληροφοριακών συστημάτων του Πανεπιστημίου Πατρών, αποτελεί βασικό παράγοντα για την εύρυθμη λειτουργία των διοικητικών και ακαδημαϊκών διαδικασιών. Καθημερινά διαχειριζόμαστε έγγραφα, προσωπικά δεδομένα, αλληλογραφία και πληροφοριακά συστήματα που είναι κρίσιμα για την εξυπηρέτηση φοιτητών, προσωπικού, μελών Δ.Ε.Π. και συνεργατών.

Ο οδηγός αυτός δημιουργήθηκε με σκοπό την υποστήριξη του προσωπικού του Πανεπιστημίου Πατρών, δίνοντας απλές και πρακτικές κατευθύνσεις, συνοψίζοντας τι χρειάζεται να αποφεύγουμε και ποιες πρακτικές είναι καλό να εφαρμόζουμε.

Κωδικοί πρόσβασης

Η προστασία των κωδικών πρόσβασης στον ιδρυματικό λογαριασμό και τα πληροφοριακά συστήματα του Πανεπιστημίου είναι ένα πολύ σημαντικό κομμάτι της ασφάλειας.

  • Έχουμε την ευθύνη των κωδικών μας και δεν τους μοιραζόμαστε με άλλους. Ο ιδρυματικός λογαριασμός UpnetID σας είναι προσωπικός και με αυτόν έχετε πρόσβαση σε  όλες τις υπηρεσίες ΤΠΕ που παρέχει το Πανεπιστήμιο Πατρών, καθώς και τις υπηρεσίες συνεργαζόμενων φορέων. Η χρήση του από τρίτους εγκυμονεί κινδύνους, καθώς οι ηλεκτρονικές δραστηριότητες του λογαριασμού σας συνδέονται πάντα με εσάς, τον επίσημο κάτοχο, ως φυσικό πρόσωπο!
  • Κανένας οργανισμός (Π.Π., τράπεζα κ.α.) δεν θα ζητήσει ποτέ, με οποιονδήποτε τρόπο, να κοινοποιήσετε τον κωδικό πρόσβασής σας. Τυχόν email τα οποία ζητάνε αποκάλυψη κωδικών, πρέπει να αντιμετωπίζονται ως spam/phishing.
  • Ο ιδρυματικός λογαριασμός UpnetID δεν χρειάζεται διαδικασία ανανέωσης ή διατήρησης. Τυχόν email τα οποία ζητάνε ενέργειες για την διατήρηση/ανανέωση λογαριασμών, πρέπει να αντιμετωπίζονται ως spam/phishing.
  • Δεν χρησιμοποιούμε τον ίδιο κωδικό σε όλα τα συστήματα.
  • Δεν γράφουμε κωδικούς σε χαρτιά τα οποία είναι εκτεθειμένα (για παράδειγμα επάνω στο γραφείο μας).
  • Φυλάσσουμε τους κωδικούς μας σε ασφαλές σημείο (πχ κλειδωμένο ερμάριο, κρυπτογραφημένο usb). Προτείνεται να ακολουθείτε για τους υπηρεσιακούς σας κωδικούς την ίδια διαδικασία φύλαξης που ακολουθείτε στους προσωπικούς σας (πχ κωδικούς εφορίας, κωδικούς e-banking).
  • Δεν αποθηκεύουμε τους κωδικούς μας στους υπολογιστές που χρησιμοποιούμε, είτε στον χώρο εργασίας, είτε στο σπίτι. Σε περίπτωση που υπάρχουν αποθηκευμένοι κωδικοί για παράδειγμα σε browsers (Chrome, Firefox, Edge), θα πρέπει να σβηστούν. Δεν πρέπει στις οθόνες σύνδεσης (για παράδειγμα στο υπηρεσιακό email, στο DocuTracks, στην ψηφιακή υπογραφή κ.λπ.) να εμφανίζονται προσυμπληρωμένα τα πεδία των κωδικών.
  • Αλλάζουμε τους κωδικούς μας συχνά. Καλό είναι οι κωδικοί να περιέχουν πεζά και κεφαλαία γράμματα, ειδικά σύμβολα και αριθμούς και να μην περιέχουν το όνομα χρήστη του λογαριασμού. Για την αλλαγή του κωδικού του ιδρυματικού μας λογαριασμού, συνδεόμαστε στη διεύθυνση https://mussa.upnet.gr/ .

Email & συνημμένα αρχεία

  • Ελέγχουμε την εγκυρότητα των μηνυμάτων που έρχονται στον λογαριασμό μας. Στα διάφορα προγράμματα περιήγησης email (π.χ. webmail, outlook, thunderbird), οι ηλεκτρονικές διευθύνσεις εμφανίζονται με την μορφή: Επωνυμία <onoma@domain.com_gr_ktl>. Ελέγχουμε πάντα ΚΑΙ τα πεδία “onoma” και “domain”, εκτός από το “Επωνυμία”, γιατί το “Επωνυμία” είναι εύκολα παραποιήσιμο, ενώ τα “onoma και “domain όχι. Παραδείγματα κακόβουλων αποστολέων: Nikos Papadopoulos <Nikos.Papadopoulos@gr.ey.com>, Upatras <sales@a1-model.asia>, IT HELP DESK <ouvidoria@guaranidasmissoes.rs.gov.br>, Piraeus Bank <a.hammerlik@fs-jessen.bildung-lsa.de>.
  • Σε καμία περίπτωση δεν ανοίγουμε links ή αρχεία από ύποπτα μηνύματα, ούτε απαντάμε σε αυτά. Δεν εμπιστευόμαστε μηνύματα μόνο επειδή φαίνονται “επίσημα” ή “επείγοντα”.  Όλα τα email που είναι spam ή επικίνδυνα “μεταμφιέζονται” σε κάτι που φαίνεται επίσημο ή οικείο.
  • Αν ένα email μας προβληματίζει, ζητάμε βοήθεια για έλεγχο πριν το ανοίξουμε. Τα μέλη ΔΕΠ και οι υπάλληλοι γραμματειών μπορούν να απευθύνονται στον Τεχνικό Υπεύθυνο του Τμήματος και οι υπάλληλοι διοικητικών υπηρεσιών στο helpdesk@upatras.gr.
  • Διαγράφουμε spam ή ύποπτα μηνύματα.

Αποθήκευση και φύλαξη φυσικών και ηλεκτρονικών αρχείων

  • Δεν συνδέουμε στον υπολογιστή μας φλασάκια USB “τυχαίας προέλευσης”, ή προσωπικά μας και γενικά φλασάκια που δεν χρησιμοποιούνται αποκλειστικά για υπηρεσιακούς λόγους.
  • Για αρχεία που είναι σημαντικά, θα πρέπει να κρατάμε αντίγραφα ασφαλείας ανά τακτά χρονικά διαστήματα σε εξωτερικό μέσο αποθήκευσης (φλασάκι ή εξωτερικό σκληρό δίσκο). Θα πρέπει να συνδέουμε αυτά τα αποθηκευτικά μέσα στον υπολογιστή της υπηρεσίας μόνο όταν πρέπει να δημιουργήσουμε νέο back up και μετά να τα αποσυνδέουμε και να τα τοποθετούμε σε ασφαλές και προστατευμένο μέρος. Το εξωτερικό μέσο αποθήκευσης που χρησιμοποιείται για back up δεν πρέπει να συνδέεται σε άλλους υπολογιστές ή για μεταφορά αρχείων.
  • Οργανώνουμε τα υπηρεσιακά φυσικά έγγραφα σε εγκεκριμένους και ασφαλείς χώρους.

Cloud sharing-Διαμοιρασμός αρχείων

  • Δεν πρέπει να αποθηκεύουμε, να επεξεργαζόμαστε και να διακινούμε υπηρεσιακά έγγραφα με μη ιδρυματικές cloud υπηρεσίες (πχ Google Drive, Dropbox, We Transfer, iLovePDF) με μη ιδρυματικούς λογαριασμούς.
  • Το Π.Π. διαθέτει την εγκεκριμένη cloud υπηρεσία Microsoft One Drive (https://upatrasgr-my.sharepoint.com) μέσω του ιδρυματικού λογαριασμού.
  • Σε περίπτωση που ανεβάζουμε αρχεία στο One Drive για διαμοιρασμό, θα πρέπει μετά από ένα εύλογο χρονικό διάστημα να σταματάμε τον διαμοιρασμό και να τα σβήνουμε.

Χρήση Παραγωγικής Τεχνητής Νοημοσύνης - GenAI

  • Θα πρέπει να είμαστε ιδιαίτερα προσεκτικοί όταν χρησιμοποιούμε εργαλεία τεχνητής νοημοσύνης, όπως το ChatGPT, το Gemini, το Grok, κτλ. Αν και είναι ιδιαίτερα χρήσιμα εργαλεία, έχουν την τάση να θυμούνται όλα τα δεδομένα τα οποία θα τους δώσουμε. Έτσι θα πρέπει πάντα να αποφεύγουμε να τους δίνουμε πρόσβαση σε ευαίσθητα δεδομένα, όπως προσωπικά δεδομένα, κωδικούς πρόσβασης ή σε όλα τα αρχεία της συσκευής μας.

Πρόσβαση από εξωτερικά δίκτυα

  • Όταν συνδεόμαστε από εξωτερικά δίκτυα, π.χ. από wifi άλλων οργανισμών ή χώρων εστίασης, τότε το πρώτο που θα πρέπει να κάνουμε είναι να ενεργοποιήσουμε το εικονικό δίκτυο (VPN) του Πανεπιστημίου μας, έτσι ώστε τα δεδομένα που δέχεται και στέλνει η συσκευή μας να είναι κρυπτογραφημένα και προστατευμένα. Οδηγίες για την εγκατάσταση και χρήση του VPN μπορούμε να βρούμε εδώ.

Χρήση προσωπικών και υπηρεσιακών ηλεκτρονικών υπολογιστών

  • Χρησιμοποιούμε διαφορετικές ηλεκτρονικές συσκευές (σταθερούς ή φορητούς υπολογιστές, κινητά τηλέφωνα κτλ) για προσωπική και για υπηρεσιακή χρήση.
  • Εάν χρειάζεται να έχουμε πρόσβαση σε υπηρεσιακά αρχεία από προσωπικές συσκευές (πχ από το σπίτι μας), χρησιμοποιούμε την υπηρεσία διαμοίρασης Microsoft One Drive. Δεν αποθηκεύουμε τα αρχεία τοπικά στις προσωπικές συσκευές και δεν χρησιμοποιούμε το υπηρεσιακό ή άλλο email σαν αποθηκευτικό χώρο.
  • Ο υπηρεσιακός υπολογιστής πρέπει να είναι πάντοτε προστατευμένος, με ισχυρό κωδικό (password) χρήστη. Ρυθμίζουμε την συσκευή μας έτσι ώστε να απαιτεί την εισαγωγή του κωδικού για ξεκλείδωμα οθόνης και κατά την σύνδεση του χρήστη. Όταν απομακρυνόμαστε προσωρινά από το γραφείο μας, κλειδώνουμε την οθόνη της συσκευής. Επίσης, ρυθμίζουμε την συσκευή έτσι ώστε η οθόνη να κλειδώνει αυτόματα μετά από λίγα λεπτά αδράνειας. Στην λήξη του ωραρίου, απενεργοποιούμε (shut down) τις υπηρεσιακές συσκευές.

Ransomware & ιοί

  • Δεν αγνοούμε τις προειδοποιήσεις ασφαλείας.
  • Δεν ανοίγουμε αρχεία που ζητούν “Ενεργοποίηση περιεχομένου” ή macros.
  • Δεν κατεβάζουμε συνημμένα αρχεία από το email τα οποία φαίνονται ύποπτα, ούτε τα ανοίγουμε, ούτε πατάμε σε ύποπτα links.
  • Πρέπει να επιτρέπουμε στα Windows να ολοκληρώνουν τις ενημερώσεις τους και να κάνουμε επανεκκίνηση όταν μας το ζητάει το σύστημα. Δεν πρέπει να ακυρώνουμε τη διαδικασία σε καμία περίπτωση.

Περίπτωση εντοπισμού περιστατικού ασφαλείας

Σε περίπτωση που εμφανιστεί στην οθόνη του υπολογιστή μας κάποιο μήνυμα που να δηλώνει παραβίαση, ή διαπιστώσουμε ότι έχουν “κλειδώσει” αρχεία, ακολουθούμε τα παρακάτω βήματα:

Ενημερώνουμε αμέσως την Ομάδα Ασφάλειας Πληροφοριακών Συστημάτων στο e-mail: cybersectf@upatras.gr

Ενημερώνεται άμεσα επίσης ως εξής:

  • αν η παραβίαση αφορά Διοικητικές Υπηρεσίες, ο προϊστάμενος του Τμήματος.
  • αν η παραβίαση αφορά Εργαστήριο, ο Διευθυντής του Εργαστηρίου, ο οποίος ενημερώνει τον Πρόεδρο και τον Τεχνικό Υπεύθυνο του Τμήματος.
  • αν η παραβίαση αφορά Ακαδημαϊκό Τμήμα, ο Πρόεδρος και ο Τεχνικός Υπεύθυνος του Τμήματος.

Ο καθένας από τους προηγούμενους θα πρέπει να ενημερώσει την Ομάδα Ασφαλείας Πληροφοριακών Συστημάτων στο email cybersectf@upatras.gr

Παράλληλα:

  1. Αποσυνδέουμε οπωσδήποτε τον υπολογιστή από το δίκτυο βγάζοντας το καλώδιο δικτύου από το πίσω μέρος της κεντρικής μονάδας του υπολογιστή ή από τον τοίχο. Αν χρησιμοποιούμε laptop που συνδέεται ασύρματα, κλείνουμε το ασύρματο δίκτυο. Αποσυνδέουμε εξωτερικές συσκευές που τυχόν είναι συνδεδεμένες (π.χ. USB και εξωτερικούς δίσκους)
  2. Δεν κάνουμε επανεκκίνηση ή τερματισμό στον υπολογιστή μας, ούτε διαγράφουμε αρχεία.
  3. Μόνο σε περίπτωση που δεν μπορούμε να βρούμε ποιο είναι το καλώδιο δικτύου για να αποσυνδέσουμε τον υπολογιστή, τον σβήνουμε.
  4. Δεν επιχειρούμε μόνοι μας να “διορθώσουμε” μολύνσεις, ούτε διαγράφουμε αρχεία, ακόμα και αν φαίνονται κλειδωμένα.

Ομάδα Ασφαλείας Συστημάτων Πληροφορικής και Επικοινωνιών  του Πανεπιστημίου Πατρών