Novecentomila euro è la sanzione emessa dal Garante Privacy a Postel Spa. Un attacco ransomware ha portato alla violazione e alla diffusione sul dark web di dati personali di 25.000 interessati.
Cosa ha permesso l’attacco?
Sono state sfruttate le vulnerabilità nella gestione della sicurezza informatica. In particolare, la carenza ha riguardato il mancato aggiornamento di sicurezza della piattaforma Microsoft Exchange (nonostante le vulnerabilità fossero note e segnalate sia da Microsoft che dall’ACN).
Cosa impariamo?
I primi obiettivi degli attacchi sono le vulnerabilità. Occorre quindi procedere agli aggiornamenti e alle implementazioni attraverso prassi che consentano un’installazione rapida ed efficiente delle patch.
La gestione della sicurezza informatica e delle misure tecniche non sono da sottovalutare. Il provvedimento ha infatti giudicato Postel come una società che non ha garantito la riservatezza, l’integrità e la resilienza dei sistemi.
La protezione dei dati prevista dal GDPR è da prendere in considerazione fin dall’inizio (privacy by design), come impostazione predefinita e andando a ridurre al minimo il trattamento dei dati personali.
Le segnalazioni al Garante, in caso di data breach, sono da inviare in modo chiaro e completo, con i dettagli specifici della violazione subita. All’azienda Postel sono state notificate inadempienze sotto questi aspetti.
La sicurezza informatica richiede un impegno e un’attenzione continui, oltre a investimenti adeguati. Le conseguenze di eventuali negligenze possono compromettere sia la protezione dei dati sia la fiducia dei clienti.
Info articolo:
