Il Garante privacy ha sanzionato Postel S.p.A. al pagamento di una somma di 900mila euro per una violazione di dati personali causata da un attacco informatico di tipo ransomware, poi rivendicato dalla cyber gang Medusa, che ha portato all’esfiltrazione di file contenenti dati personali relativi a circa 25.000 interessati e la successiva pubblicazione nel Dark Web. Per alcuni di questi file presenti nelle cartelle di rete, non è stato possibile effettuare il ripristino, comportando quindi una perdita di disponibilità di tali dati.
L’attacco era avvenuto tramite le vulnerabilità CVE-2022-41080 e CVE-2022-41082 e gli attaccanti erano riusciti a creare un’utenza che è stata aggiunta al gruppo degli amministratori di dominio, garantendo così la persistenza della loro presenza nel sistema.
Indice degli argomenti
Carenze nel processo di patching e violazioni GDPR
Il provvedimento ha evidenziato gravi carenze del processo di patching management della società, avendo omesso, la stessa, di effettuare l’aggiornamento di sicurezza della piattaforma Microsoft Exchange, nonostante le vulnerabilità fossero note e segnalate sia da Microsoft che dall’ACN.
E ciò ha evidenziato un problema sistemico nella gestione della sicurezza informatica, delle inadeguate misure tecniche e organizzative e una violazione del principio di privacy by design. In altri termini, secondo il provvedimento, la società non ha garantito la riservatezza, l’integrità e la resilienza dei sistemi, né l’attuazione di procedure per monitorare l’efficacia delle misure di sicurezza.
Tale elevata sanzione solleva interrogativi fondamentali sull’importanza di un approccio sistematico e automatizzato nella gestione delle patch di sicurezza e mette in luce non solo le conseguenze economiche di una negligenza, ma anche il rischio di compromettere la sicurezza dei dati e la fiducia dei clienti.
L’analisi della condotta di Postel S.p.A. ha poi rivelato ulteriori e significative inadempienze rispetto agli obblighi di protezione dei dati previsti dal GDPR, quali l’insufficienza delle informazioni contenute nella notifica di violazione dei dati.
Per quest’ultimo aspetto, il Garante ha ritenuto che la segnalazione della società abbia evidenziato importanti carenze rispetto a quanto richiesto dal GDPR, mancando quei dettagli specifici della violazione subita: il mancato riferimento alla piattaforma Exchange, la tipologia di vulnerabilità e sulle misure di sicurezza adottate.
Le vulnerabilità sfruttate nell’attacco
L’attacco subito dalla società, come detto, ha sfruttato due vulnerabilità specifiche (CVE-2022-41040 e CVE-2022-41082) della piattaforma Microsoft Exchange. Queste vulnerabilità hanno consentito all’attaccante di ottenere privilegi di amministratore e di eseguire codice malevolo, permettendo così il pieno controllo della piattaforma.
Le due vulnerabilità zero-day riguardavano Microsoft Exchange Server 2013, Exchange Server 2016 e Exchange Server 2019.
La prima, identificata come CVE-2022-41040, era una vulnerabilità di Server-Side Request Forgery (SSRF) che permetteva di elevare i propri privilegi all’interno della rete, mentre la seconda, CVE-2022-41082, segnalata anche dal Nist il 10 febbraio 2022, consentiva l’esecuzione di codice remoto (RCE) quando PowerShell è accessibile all’attaccante.
Sanzione privacy a Postel: cosa impariamo
Le censure mosse dal Garante per l’insufficienza delle informazioni della notifica da parte della società ci impongono una riflessione sulla gestione del processo di notifica dei data breach e delle informazioni approfondite, concrete e specifiche rispetto all’evento da comunicare all’Autorità di controllo.
La notifica non può risolversi in una mera compilazione del modello standard fornito dal Garante, che è un punto di partenza, una traccia, ma è un lavoro complesso e necessariamente di equipe.
Le vulnerabilità note invece rappresentano un obiettivo primario per gli attaccanti; pertanto, ogni ritardo nell’implementazione degli aggiornamenti può risultare un alto rischio.
In tali casi è essenziale che le organizzazioni non solo riconoscano l’urgenza di un aggiornamento, ma che abbiano anche in atto procedure che permettano un’applicazione rapida ed efficiente delle patch.
Questo non solo aumenta la sicurezza generale dei sistemi, ma migliora anche la conformità alle normative, riducendo il rischio di sanzioni, consentendo alle organizzazioni di dimostrare proattivamente il loro impegno nella sicurezza e protezione dei dati.
La sanzione al Garante privacy a Postel S.p.A. dovrebbe servire da campanello d’allarme per tutte le organizzazioni.
Investire in un processo di patching management automatizzato, ridondante sottoposto a controlli ripetuti, monitorare i bollettini di sicurezza dei fornitori di software e del CSIRT non è solo una questione di conformità, ma una necessità strategica per proteggere l’integrità dei dati e mantenere la fiducia dei clienti.
La sicurezza informatica, quale processo, richiede un impegno costante ed impone attenzione e investimenti adeguati.
