1. Informação acerca deste documento Este documento descreve o serviço de coordenação de resposta a incidentes de segurança informática da Universidade de Lisboa de acordo com o RFC 2350. 1.1 Data da última atualização 2022/04/04 (yyyy/mm/dd) 1.2 Listas de distribuição para notificações Não existe um canal de distribuição para notificar alterações a este documento. Atualizações a este documento irão estar visíveis no local indicado no ponto 1.3. 1.3 Acesso a este documento A versão atualizada deste documento está disponível em https://www.ulisboa.pt/sites/ulisboa.pt/files/basicpage/docs/rfc2350-pt.txt A versão em língua inglesa está disponível em https://www.ulisboa.pt/sites/ulisboa.pt/files/basicpage/docs/rfc2350-en.txt 1.4 Autenticidade deste documento As versões Portuguesa e Inglesa deste documento estão assinadas digitalmente com a chave PGP do CSIRT-Ulisboa. As assinaturas encontram-se nas seguintes ligações: https://www.ulisboa.pt/sites/ulisboa.pt/files/basicpage/docs/rfc2350-pt.txt.asc https://www.ulisboa.pt/sites/ulisboa.pt/files/basicpage/docs/rfc2350-en.txt.asc 2.Informação de contacto 2.1 Nome da equipa CSIRT-ULisboa 2.2 Endereço correio Reitoria da Universidade de Lisboa Alameda da Universidade 1649-004 Lisboa Portugal 2.3 Zona horária Portugal/WEST (GMT+0, GMT+1 em horário de verão) 2.4 Telefone +351 217 967 624 2.5 Fax não seguro +351 210 113 402 2.6 Outras telecomunicações Não existentes. 2.7 Endereços de correio eletrónico Correio eletrónico para notificação de incidentes de cibersegurança: csirt@ulisboa.pt Correio eletrónico para suporte informático: suporte@ulisboa.pt Correio eletrónico para outros assuntos: reitoria@ulisboa.pt 2.8 Chaves públicas e informação de cifra PGP Key ID: 0xFFFDBB19 PGP Fingerprint: EF91 E037 C74F 5F55 F64F 5308 9DD6 9BDD E74C 9D07 A chave está disponível em: https://www.ulisboa.pt/sites/ulisboa.pt/files/basicpage/docs/pgp-csirt.asc 2.9 Membros da equipa Membros: André Jesus 2.10 Outra informação Mais informação sobre o CSIRT-ULisboa pode ser encontrada em https://www.ulisboa.pt/info/csirt/ 2.11 Meios de contacto para utilizadores O método preferencial de contacto é o correio eletrónico indicado na secção 2.7 utilizando o formulário indicado na secção 6. 3. Guião 3.1 Missão O objetivo do CSIRT-ULisboa é permitir à Universidade de Lisboa coordenar os esforços no âmbito da segurança e a resposta a incidentes de segurança informática. 3.2 Comunidade servida O CSIRT-ULisboa coordena a resposta a incidentes de cibersegurança envolvendo todas as unidades orgânicas da Universidade de Lisboa, incluindo dispositivos pertencentes a uma rede ou bloco de endereçamento atribuído à Universidade em exclusivo. 3.3 Filiação O CSIRT-ULisboa é um serviço integrante da Universidade de Lisboa. Mantém estreita coordenação com o RCTS CERT (https://www.fccn.pt/seguranca/rcts-cert/). 3.4 Autoridade O CSIRT-ULisboa é um serviço da Universidade de Lisboa, cuja competência é delegada pelo Reitor da Universidade de Lisboa. O CSIRT-ULisboa espera colaborar com os diversos administradores de sistemas e utilizadores de toda a universidade. Em caso de não haver resposta útil a um incidente que assim o exija, poderá existir a restrição ou bloqueio de acesso conforme necessário. 4. Políticas 4.1 Tipos de incidente e nível de suporte O CSIRT-ULisboa responde a todos os tipos de incidente de cibersegurança, das seguintes categorias: a) Código Malicioso b) Disponibilidade c) Recolha de Informação d) Tentativa de Intrusão e) Intrusão f) Segurança da Informação g) Fraude h) Conteúdo Abusivo i) Vulnerável j) Outros O nível de suporte dado pelo CSIRT-ULisboa varia consoante o tipo, gravidade e âmbito dos incidentes em curso além dos recursos disponíveis para o seu tratamento. O CSIRT-ULisboa não é uma equipa de suporte, não fazendo suporte com utilizadores, estes devem contactar a equipa de informática da sua escola correspondente. 4.2 Cooperação, interação e política de privacidade A política de privacidade e proteção de dados do CSIRT-ULisboa prevê que informação sensível possa ser passada a terceiros, única e exclusivamente em caso de necessidade e com a autorização prévia expressa do indivíduo ou entidade a quem essa informação diga respeito, salvo comunicação com entidades policiais ou judiciais. Dados não confidenciais poderão ser utilizados para fins estatísticos, que poderão ser divulgados a outros organismos. 4.3 Comunicação e autenticação Dos meios de comunicação disponibilizados pelo CSIRT-ULisboa, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é necessário o uso de cifra PGP. 5. Serviços 5.1 Coordenação da resposta a incidentes O CSIRT-ULisboa presta um serviço de coordenação de resposta a incidentes entre as entidades envolvidas. Esta coordenação envolve, tipicamente, os responsáveis pelos ativos ou do segmento de rede envolvido. A coordenação da resposta a incidentes pode partir da iniciativa do CSIRT-ULisboa, por exemplo numa situação de incidente de larga escala, ou ser-lhe solicitada pelos canais designados para o efeito. Fluxos de dados e relatórios automáticos irão ser tratados de forma mais automatizada possível. A coordenação da resposta a incidentes inclui: 5.1.1 Triagem de incidentes 1) Triagem de notificações de incidentes, verificar a sua ocorrência se possível; 2) Determinar as partes envolvidas; 3) Averiguação da extensão do incidente e análise de prioridade. 5.1.2 Articulação com outras entidades 1) Contacto com as partes envolvidas para que procedam à investigação do incidente em questão e que sejam tomados os passos apropriados. 2) Contactos com outras partes que possam ajudar à resolução do incidente. 3)Envio de resposta à comunicação original ou outras equipas de CSIRT. O CSIRT-ULisboa funciona como central, tendo a capacidade de encaminhar os incidentes para o destinatário correto com o intuito de ajudar e facilitar a resolução de incidentes de segurança. 5.1.3 Resolução de incidentes Acompanhar o progresso das equipas responsáveis pela parte da infraestrutura envolvida no incidente. Caso um incidente não seja resolvido em tempo útil, o CSIRT-ULisboa poderá iniciar o processo de bloquear a conectividade e/ou analisar dispositivos envolvidos num incidente. Recolha de dados estatísticos. 5.2. Atividades proativas O CSIRT-ULisboa coordena e mantêm os seguintes serviços para melhoria da cibersegurança: i) Análise de criticidade ii) Produção de recomendações iii) Disseminação de alertas; iv) Configuração e manutenção de ferramentas/aplicações de segurança; v) Análise de detecção de intrusão; vi) Disseminação de informação relacionada com segurança. vii) Procura de vulnerabilidades internas. O CSIRT-ULisboa não executa as medidas de mitigação ou de resolução atrás referidas. Esta responsabilidade é de cada uma das pessoas responsáveis pelo ativo afetado. 6. Formulário de anúncio de incidente Ao submeter um incidente de segurança, é necessário que seja indicado de forma clara e simples: 1) Endereço IP e porta para a origem e destino (4 itens); 2) A data e hora, tal como o respectivo fuso/sistema horário de forma precisa, caso não seja possível qual o intervalo; 3) Cabeçalhos dos pacotes de informação; 4) Categoria de incidente reportado de acordo com secção 4.1 7. Salvaguarda de responsabilidade Embora todas as precauções sejam tomadas na preparação da informação divulgada, quer no portal Internet, quer através das listas de distribuição, o CSIRT-ULisboa não assume qualquer responsabilidade por erros ou omissões, ou por danos resultantes do uso dessa informação. A notificação de incidentes ao CSIRT-ULisboa não se substitui à comunicação à autoridade judiciária ou ao órgão de polícia criminal competente, quando esses incidentes configuram também um ilícito criminal cujo procedimento penal dependa de queixa ou de acusação particular.