Il Garante Privacy ha inflitto a Postel una sanzione di 900mila euro, imponendo inoltre al gruppo di effettuare un’azione straordinaria di analisi delle vulnerabilità e di predisporre un piano ad hoc. La società infatti, per quasi un anno, non è intervenuta su una già nota e segnalata vulnerabilità dei propri sistemi, a causa della quale ha poi subito una violazione dei dati personali.
L’evoluzione del caso
Nell’agosto del 2023, Postel è stata oggetto di un attacco informatico di tipo ransomware che ha causato il blocco dei server e di alcune postazioni di lavoro.
In particolare l’attacco ha comportato l’esfiltrazione – e in alcuni casi la perdita di disponibilità – dei file contenenti i dati personali di circa 25mila interessati, fra dipendenti, ex dipendenti, congiunti, titolari di cariche societarie, candidati a posizioni lavorative e rappresentanti di imprese che intrattenevano rapporti commerciali con Postel.
Le informazioni, successivamente pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l’appartenenza sindacale e relativi alla salute.
Nonostante la vulnerabilità fosse stata segnalata, prima dal produttore del software (settembre 2022, con la messa a disposizione degli aggiornamenti necessari a novembre 2022) e poi dall’Agenzia per la cybersicurezza nazionale (novembre 2022), Postel non aveva aggiornato, come raccomandato, i propri sistemi.
La ricostruzione del Garante Privacy
In particolare, è emerso che il soggetto che ha posto in essere l’attacco informatico nei confronti di Postel ha sfruttato due vulnerabilità della piattaforma Microsoft Exchange.
“La combinazione delle predette vulnerabilità, considerate le caratteristiche delle stesse (la prima consente l’escalation dei privilegi utente, la seconda permette l’esecuzione di codice remoto sulla macchina target dell’attacco), ha permesso, in termini generali, a un attaccante di assumere privilegi di amministratore sulla macchina attaccata ed eseguire un codice malevolo remoto, prendendo così il pieno controllo della piattaforma”, si legge nel provvedimento dell’Autorità. “Nel caso di specie, come evidenziato dalla stessa Società, l’attaccante, a seguito di penetrazione nei sistemi, è stato in grado di creare un’utenza che è stata contestualmente inserita nel gruppo degli “amministratori di dominio”, al fine di assicurarsi la persistente possibilità di condurre attività fraudolente sulla piattaforma informatica della Società. Rileva il fatto che le predette vulnerabilità erano già state rese note, a settembre 2022, dal Microsoft Security Response Center che aveva altresì pubblicato le opportune azioni di mitigazione; inoltre, a novembre 2022, Microsoft aveva reso disponibili gli aggiornamenti necessari da apportare alla piattaforma Exchange per superare proprio le vulnerabilità indicate (per di più considerato che erano state valutate ad alta criticità).
Tra l’altro, anche in Italia, diversi mesi prima dell’evento, l’esistenza della predetta vulnerabilità era stata opportunamente segnalata dall’Agenzia per la Cybersicurezza nazionale.
Nonostante ciò, ad agosto 2023, mese in cui la Società ha subito l’attacco informatico, la stessa non aveva ancora adottato sui propri sistemi alcuna delle azioni specificatamente raccomandate da Microsoft, non avendo provveduto ad effettuare i necessari aggiornamenti della piattaforma Microsoft Exchange”.
Le mancanze di Postel e il provvedimento dell’Autorità
La società è venuta così meno agli obblighi previsti dalla normativa di protezione dei dati personali che richiedono l’adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio.
Dal provvedimento è emerso anche come, nella notifica di data breach al Garante e nelle successive integrazioni, l’azienda non abbia fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi per le verifiche dell’Autorità.
Nel provvedimento adottato, come detto, il Garante ha ingiunto a Postel, oltre al pagamento della sanzione di 900mila euro, di effettuare un’azione straordinaria di analisi delle vulnerabilità dei propri sistemi, di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio.
