Trefn y Brifysgol wrth Ymateb i Ddigwyddiadau Diogelwch

Canfod:

Mae Tîm Ymateb i Argyfyngau Cyfrifiadurol y Gwasanaethau Gwybodaeth yn ymchwilio i ddigwyddiadau posib a allai beryglu diogelwch y sustem gyfrifiadurol drwy ddefnyddio gwybodaeth o'r ffynonellau isod:

  1. Cyswllt gan berchennog sustem: defnyddiwr neu weinyddwr sustem gyfrifiadurol ar rwydwaith y Brifysgol yn cysylltu â'r Gwasanaethau Gwybodaeth ac yn rhoi gwybod am arwyddion bod rhywbeth yn ymyrryd â'i sustem.
  2. Cyswllt gan berchnogion sustemau allanol: gweinyddwr sustem o safle allanol yn cysylltu â Thîm Ymateb y Gwasanaethau Gwybodaeth ac yn rhoi gwybod bod rhywbeth yn ymyrryd â sustemau o dan eu rheolaeth a bod dadansoddiad fforensig yn dangos iddynt gael eu defnyddio i ymosod ar sustemau ar rwydwaith y Brifysgol.
  3. Cyswllt gan Dimau Ymateb i Argyfyngau Cyfrifiadurol mewn cyrff eraill: adroddiadau gan gyrff diogelwch allanol yn dangos yr ymyrrwyd â sustem o dan ein rheolaeth a'i bod yn ymosod ar sustemau y tu allan i rwydwaith y Brifysgol.
  4. Adroddiadau am drafferthion / dulliau goddefol o fonitro: Cwynion am berfformiad y rhwydwaith, neu ddadansoddi rheolaidd ar y rhwydwaith yn dangos traffig amheus neu drwm yn deillio o un neu fwy o gyfrifiaduron ar rwydwaith y Brifysgol.
  5. Monitro'r rhwydwaith yn weithredol: Adroddiadau gan y Sustemau Canfod Ymyrraeth sy'n dangos gweithgarwch anaddas, anghywir neu afreolaidd.

Asesu:

Os tynnir sylw at broblem bosib, bydd y Tîm Ymateb yn ei dadansoddi a cheisio cadarnhau ai digwyddiad diogelwch sy'n ei hachosi. Gallai hyn gynnwys cofnodi llif traffig, cipio pecyn, neu gysylltu â pherchennog y sustemau dan sylw. Mae hyn yn golygu bod y Tîm Ymateb yn gallu asesu pa mor debygol yw hi bod digwyddiad diogelwch wedi digwydd a faint o fygythiad ydyw i'r rhwydwaith cyfan. Ar adegau bydd hyn yn golygu cau gwasanaethau'r rhwydwaith am gyfnodau byr, ond bydd y Tîm Ymateb yn gwneud ei orau glas i geisio sicrhau cyn lleied â phosib o darfu ar wasanaethau. Dyma, yn fras, y gwahanol fathau o ddigwyddiadau:

  1. Mae cyfrifiadur yr ymyrrwyd arno yn creu problemau yn ean sy'n effeithio ar nifer o rwydweithiau neu gyfrifiaduron yn y Brifysgol neu'r tu hwnt.
  2. Mae cyfrifiadur yn trosglwyddo gwybodaeth gyfrinachol neu sensitif i ddefnyddiwr heb awdurdod.
  3. Ymyrrwyd ar gyfrifiadur su'n hollbwysig i fusnes y Brifysgol ond nid yw'n achosi problemau yn weithredol.
  4. Mae cyrff Ymateb i argyfyngau Cyfrifiadurol allanol yn rhoi gwybod am ddigwyddiad i Dîm Ymateb y Brifysgol.
  5. Credir bod cyfrifiadur yn agored i fath penodol o ymosodiad.

Os yw'r digwyddiad yn debygol o efeithio ar nifer o gyfrifiaduron, efeithio ar y rhwydwaith yn ehangach neu lle mae posibilrwydd fod data wedi'i beryglu, bydd Gweithgor Diogelwch Gwybodaeth hefyd yn cael eu hysbysu cyn gynted â phosibl.  Mae hyn yn ymwneud yn benodol â senarios 1 a 2 uchod.

Cyfyngu a Chael Gwared:

Ar ôl inni wybod yn union beth yw natur y diggwydiad, bydd Tîm Ymateb y wasanaethau Gwybodath yn gweithredu i ynysu'r peiriannau yr effeithiwyd arnynt. Gwesteiwyr yr ymyrrwyd â nhw, yn aml, yw ffynonellau ymosodiadau Gwrthod Gwasanaeth, sydd yn amharu yn ddifrifol ar berfformiad rhwydwaith y Brifysgol, ac fe ellid eu defnyddio i ymosod ar sustemau eraill, a allao olygu y byddai'r Brifysgol yn atebol o dan y gyfraith. O ganlyniad rhaid i Dîm Ymateb y Gwasanaethau Gwybodaeth weithredu heb oedi i ddatrys problemau diogelwch.

Mae achosion difrifol, gallai fod angen i Dîm Ymateb y Gwasanaethau Gwybodaeth weithio â'r heddlu yn unol â chyfarwyddyd y Brifysgol.

Hysbysu:

  1. Os bydd cyfrifiaudr yr ymyrrwyd ag ef sy'n achosi problemau yn eang yn amharu ar rwydweithiau neu gyfrifiaduron yn y Brifysgol neu'r tu hwnt, bydd y Tîm Ymateb yn cau'r cyfrifiadur allan o'r rhwydwaith ac wedyn rhoi gwybod i'r perchennog.
  2. Os ymyrrwyd â chyfrifiadur ond nid yw'n achosi problemau, bydd staff y Rhwydwaith yn rhoi gwybod i berchennog y sustem yn gyntaf, a gofyn i'r perchennog ei dynnu oddi ar y rhwydwaith.
  3. Os cawn adroddiad gan gorff ymateb allanol am ymyrrath, bydd y Tîm Ymateb yn torri cyswllt y cyfrifiadur â'r rhwydwaith a gofyn i'r defnyddiwr esbonio ei weithgareddau, neu roi caniatâd i Dîm Ymateb y Gwasanaethau Gwybodaeth ddadansoddi'r sustem.
  4. Os bydd sganiau diogelwch mewnol yn dangos y gallai cyfrifiadur fod yn agored i fath penodol o ymyrrath, bydd y Tîm Ymateb yn rhoi gwybod i berchennog y sustem a rhoi cyfarwyddiadau a dyddiad cau erbyn pryd y dylid ymdrin â'r gwendid. Bydd yr amserlen yn amrywio ynghylch difrifoldeb yr ymyrrath a sawl gwaith y mae'r prif gyswllt wedi ceision cywiro'r broblem. Os na chymerwyd camau erbyn y dyddiad a roddwyd, bydd y cyfrifiadur yn cael ei dynnu o'r rhwydwaith.

Camau Canlyn

Pan fydd cyfrifiadur wedi'i ddatgysylltu o'r rhwydwaith, cyfrifoldeb y perchennog yw ailfformatio disgiau ac ailosod meddalwedd ar y peiriant a chymryd unrhyw gamau eraill sydd eu hangen er mwyn ei ddiogelu rhag ymosodiadau yn y dyfodol. Efallai y bydd y Gwasanaethau Gwybodaeth yn gallu cynnig cyngor, ond byddai hynny'n dibynnu ar elfennau megis pa mor gyfarwydd ydynt â'r sustem dan sylw, ac ai'r Gwasanaethau Gwybodaeth fu'n ei ddarparu a'i gyflunio yn wreiddiol.

Ar ôl i'r cyfrifiadur gael ei ddiogelu, cyfrifoldeb y perchennog yw cysylltu â Thîm Ymateb y Gwasanaethau Gwybodaeth, a fydd wedyn yn rhoi caniatâd i'w ailgysylltu â'r rhwydwaith. Cynhelir sgan diogelwch i wirio a yw'r sustem wedi'i diogelu. Bydd y canlyniadau yn cael ei hanfon ymlaen at berchennog y cyfrifiadur.

Os bydd perchennog y sustem yn gwrthod cydweithredu'n llawn â cheisiadau Tîm Ymateb y Gwasanaethau Gwybodaeth, fe roddir gwybod i awdurdodau'r Brifysgol.

Y Tîm cewch gysylltu â nhw yma is-cert@aber.ac.uk