Il Garante sanziona Postel: il data breach subito è la conseguenza di una vulnerabilità ignorata per un anno. Per l’azienda multa di 900.000 euro.
Il data breach di Postel
Nell’Agosto 2023, Postel ha subito un attacco informatico di tipo ransomware che ha compromesso la funzionalità dei server e di alcune postazioni di lavoro. L’incidente, avvenuto a causa di una vulnerabilità già nota, ha provocato l’esfiltrazione di file contenenti i dati personali di circa 25.000 individui. Tra i soggetti coinvolti figuravano dipendenti, ex dipendenti, loro congiunti, titolari di cariche societarie, candidati per posizioni lavorative e rappresentanti di imprese con rapporti commerciali con Postel.
I dati sottratti, in seguito diffusi anche nel dark web, includevano informazioni personali come dati anagrafici, di contatto, di accesso e identificazione, oltre a dati relativi ai pagamenti e informazioni su condanne penali e reati. Tra i dati violati vi erano anche categorie particolarmente sensibili, come l’appartenenza sindacale e informazioni sullo stato di salute.
La vulnerabilità già segnalata ma non risolta
La vulnerabilità sfruttata, anzi due, sono state CVE-2022-41040 e CVE-2022-41082. Entrambe sono vulnerabilità che affliggevano Microsoft Exchange Server. La prima è una vulnerabilità di escalaton dei privilegi, la seconda una vulnerabilità di esecuzione di codice arbitrario da remoto.
Nonostante queste vulnerabilità fossero già state segnalate per tempo, Postel non ha provveduto a implementare le misure necessarie per proteggere i propri sistemi informatici. Il primo avviso era stato inviato dal produttore del software a settembre 2022, con la disponibilità degli aggiornamenti necessari. In seguito, a novembre 2022, era poi avvenuta la segnalazione da parte dell’Agenzia per la Cybersicurezza Nazionale.
Tuttavia, la mancata applicazione dell’aggiornamento di sicurezza della piattaforma Microsoft Exchange ha lasciato i sistemi esposti per quasi un anno, evidenziando gravi carenze del processo di patching management della società.
Oltre a ciò, l’azienda non ha rispettato gli obblighi previsti dalla normativa sulla protezione dei dati personali, che richiede l’adozione di misure tecniche e organizzative adeguate al rischio. In particolare, è emersa una chiara violazione del principio di privacy by design. Questo perché l’azienda non è riuscita a garantire adeguatamente la riservatezza, l’integrità e la resilienza dei propri sistemi informatici.
Per saperne di più > Privacy by design e privacy by default: definizioni e differenze
Dal provvedimento è emerso anche che l’azienda, nella notifica del data breach fatta al Garante, non ha fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate. Questo ha inevitabilmente comportato un allungamento dei tempi per le verifiche dell’Autorità.
Il Garante sanziona Postel con 900.000 euro
Il Garante per la Protezione dei Dati Personali ha imposto a Postel Spa una sanzione amministrativa di 900.000 euro. La decisione è stata motivata dall’inerzia dell’azienda nel risolvere la vulnerabilità nota e dal conseguente grave data breach subito.
Oltre alla multa, il Garante ha ordinato a Postel di condurre un’analisi straordinaria delle vulnerabilità dei propri sistemi, di predisporre un piano per la loro gestione e di stabilire tempistiche precise per il rilevamento e la risposta ai rischi informatici.
Cosa ci insegna la vicenda del Garante che sanziona Postel
Il caso del Garante che sanziona Postel è un esempio emblematico di come una mancata gestione delle vulnerabilità informatiche possa avere ripercussioni molto gravi, non solo a livello di costi ma anche di sicurezza e protezione dati.
Questa vicenda sottolinea l’importanza cruciale di adottare un approccio strutturato e proattivo alla sicurezza informatica, in cui il patch management occupi un ruolo centrale. Una strategia efficace di gestione delle patch non è solo una buona pratica: rappresenta una linea di difesa fondamentale contro i cyberattacchi.
Gli aggiornamenti tempestivi dei sistemi informatici sono tra le misure più semplici e immediate per mitigare il rischio dello sfruttamento delle vulnerabilità. Questi, non solo proteggono dai rischi immediati, ma contribuiscono anche a costruire una cultura della sicurezza all’interno dell’organizzazione. Quando questa pratica viene integrata nei processi aziendali, oltre ad aumentare la conformità normativa, aumenta anche la capacità di prevenire attacchi futuri.
Il caso di Postel dimostra come sottovalutare queste misure possa trasformarsi in un costo elevatissimo, non solo in termini di sanzioni, ma anche per la gestione dell’incidente, il recupero dei sistemi compromessi e il danno reputazionale. Di fronte a un panorama di minacce informatiche in continua evoluzione, ogni azienda dovrebbe considerare il patch management non un’opzione, ma una necessità strategica per la protezione del proprio business.
Il provvedimento completo è consultabile qui.
Hai bisogno di supporto per valutare la sicurezza informatica della tua azienda? Sei sicuro di aver attuato tutte le misure tecniche e organizzative necessarie per proteggere i dati? Non improvvisare…