edición general
64 meneos
213 clics
650 empleados a casa y millones de euros en el aire: un nuevo ciberataque sacude al CSIC

650 empleados a casa y millones de euros en el aire: un nuevo ciberataque sacude al CSIC

Dos años después del devastador ciberataque sufrido por el CSIC, un centro adscrito a este organismo vuelve a caer. Un 'hackeo' ha inutilizado los sistemas del INIA, que ha enviado a casa a sus más de 650 investigadores y administrativos.

| etiquetas: ciberataque , csic , inia
#6 Trabajo con Data Scientists que saben Python y R para hacer su trabajo y saben de algoritmos y de machine learning y ya está. Esa gente no tiene ni la experiencia ni el tiempo para dedicarse a gestionar sistemas de respaldo y copias mínimamente serios. Para eso tienes a los ingenieros de sistemas. Yo mismo soy ingeniero de software, ahora ingeniero de datos. ¿Crees que tengo los conocimientos para desplegar, configurar y administrar un cluster de Kubernetes? No, no los tengo. Y no es…   » ver todo el comentario
#20 pero venga.. que no estaba hablando de un back-up "de verdad" , estaba diciendo que deberían tener los conocimiento mínimos informáticos para guardar sus datos esenciales del ordenador*ordenadores con un maldito NAS o con un mero disco duro externo.. ya que la "empresa" no les daba nada y tampoco está dinero de las becas de investigación para esos dispendios.

¿De verdad crees que con las miseras becas que reciben van a tener presupuesto para montar una minima red?
#21 Entiendo lo que quieres decir, pero conozco de cerca el mundo académico y no, los científicos no tienen por qué saber lo que es un NAS, ni configurar la red en un NAS ni hablemos ya de copias periódicas automatizadas o cosas que son básicas en el mundo IT empresarial.

En serio tío xD es que la mayoría de ellos no lo saben, ni tienen por qué saberlo tampoco. Además de que no es un uso eficiente de su tiempo (y sus salarios) el ponerles a configurarse ellos mismos esas cosas.
#22 Gracias, creo que he debido tener buena suerte, los doctorandos/postdoc incluso alguno ya dentro del CSIC que he conocido unos fieras inusuales.
no existe un sistema de back-up centralizado. La normativa que tenemos es de 2017 y dice que cada investigador es responsable de hacer sus propios back-ups a cargo del presupuesto de cada proyecto. Es decir, tienes a biólogos o filósofos, que no saben nada de tecnología, ni tienen que saber, obligados a realizar por su cuenta copias constantes de terabytes de datos. Es un sinsentido

:clap:
#1 poco nos pasa ...
#3 Al CSIC se le está pasando lo de "poco"... :roll:
#1 Entiendo que es una hipérbole. Me cuesta creer que un biólogo investigador actual de laboratorio (no un dinosaurio de universidad ni alguien de "campo"), no tenga no ya conocimientos de informática sino que directamente no tenga conocimientos básicos de algún lenguaje de programación básico para el procesado de base de datos/análisis estadístico, a día de hoy un pilar fundamental para publicar casi cualquier cosa.

Hace unos años se metieron hasta la cocina en muchos…   » ver todo el comentario
#1 Eso significaría que el CSIC no está aplicando el Esquema Nacional de Seguridad el cual es obligatorio para toda la AAPP y para empresas críticas del sector privado.

Cc a #6 #4
#7 Efectivamente. Por no contar que

Otra fuente consultada asegura que, pese a haberse anunciado cursos de concienciación y ciberseguridad a los más de 13.000 empleados del CSIC, los supuestos cursos en realidad se quedaron en presentaciones colgadas en una intranet disponibles para aquel que las quisiera consultar.
#8 En otros ministerios el curso básico de ciberdefensa fue obligatorio e incluía cuestionarios que había que aprobar para darlo por hecho. A sumar unos 8.000 miembros que han realizado los cursos de competencias digitales (15 ECTS)

Luego está la formación del CCN-CERT
angeles.ccn-cert.cni.es/es/
Requiere registro fuerte por ser algo institucional, pero tiene un montón de cursos en automatricula.
#12 No he mirado esos cursos, pero entiendo que la formación del CCN es para profesionales del ámbio de las TIC, no?
#13 la mayoría si, pero tienes los "Cursos familiarización en ciberseguridad" que están muy bien como formación para el día a día.
Desde el básico de ciberseguridad hasta los de Seguridad en correo electrónico, navegación segura, seguridad En dispositivos móviles y el de ransomware

angeles.ccn-cert.cni.es/es/oferta-formativa#familiarizacion-cibersegur
#13 Tienen hasta una sección de formación gamificada. Aunque está si es para gente con conocimientos

angeles.ccn-cert.cni.es/es/gamificacion
#7 Eso significa que el CSIC está hecho endémicamente unos zorros. Yo pude tener contrato, pero ya me han visto y me verán.
#10 Imagino que manejará información clasificada en alguno de los proyectos, lo que no sé es como lo harán

Desde luego a alguien se deberían de crujir.

www.boe.es/buscar/act.php?id=BOE-A-2022-7191&p=20241106&tn=1#a  media
#7 que yo sepa el ens obliga a hacer copia de seguridad de los servidores, pero no de los equipos de usuario
#17 Pero es que los proyectos no los debes de guardar en el equipo del usuario, sino en carpetas en red que para eso son.
#6 Puedes ser un experto en Perl, Python y sus prefijos bio- y R y no tener NPI de sistemas o configuración.

He ayudado a ingenieros usuarios de Irix mediojubilados a rular cosas de TCL 8.4 a TCL 8.6 con ligeros ajustes, (y enlazar hacia la librería C de TCL 8.6) y yo no soy ingeniero...
#1 tampoco serán tantos terabytes, y con darles un cursillo de 5 minutos y enseñarles la regla del backup 3 2 1 es más que suficiente.
Los medios: pues según el presupuesto, por poner un ejemplo, tienes 16 TB de datos en la nube por unos 25€ al mes...
Un disco duro cuesta lo que cuesta y un NAS tampoco es algo que sea muy caro para un departamento con tanto científico...
#1 Trabajo en investigación en Australia y os puedo decir que esto que ha pasado en el CSIC, podría pasar aquí en muchos laboratorios que conozco, empezando por donde trabajo actualmente.
Así que el CSIC no son los únicos ni los peores. Hay que ponerse las pilas en todos lados.

En mi laboratorio actual también hemos sido blanco de ciberataques, y seguimos siéndolo. En este sentido cada pocos meses llega un correo de que ha habido otro intento y que no abramos cierto email, pulsemos en los links, etc.
#24 No me cabe la menor duda. Trabajo en ciberseguridad y esto es el pan de nuestro de cada día. Pero la cuestión en este caso ya no es que no se esté haciendo lo recondable, sino que no se está cumpliendo con la ley. El CSIC, en su calidad de organismo de la adminsitración pública, está obligado a implementar un esquema de seguridad (el ENS) que, todo parecer indicar, no está cumpliendo.

Lo peor es que no sólo implica una pérdida económica para el organismo, sino también el trabajo de muchas investigaciones que ha costado mucho financiar y que, en muchos casos, no volverán a contar con esa oportunidad. Algo que seguramente podrás explicar mucho mejor que yo.
Pudiendo hackear la sede del PP, PSOE, etc, etc. Joden al CSIC.
Jamás te lo perdonaré Camena.
#_1 Sin justificar nada, estás tu que encuentras hoy un biólogo investigador que no sea mejor programador que cualquier graduado en ingeniería informática...Es más, me atrevería a aventurar de donde procede la ciberrepresalia :roll:

menéame