Attacco ransomware Postel: sanzione del Garante e lezioni di sicurezza
L’attacco ransomware Postel avvenuto ad agosto 2023 rappresenta un caso emblematico di come una gestione inefficace delle vulnerabilità possa portare a gravi violazioni dei dati personali e a pesanti sanzioni GDPR. Postel Spa ha subito un attacco informatico che ha causato l’esfiltrazione e la successiva diffusione nel dark web dei dati personali di circa 25.000 interessati.
Tra le informazioni compromesse figurano dati di contatto, credenziali di accesso ai sistemi, dettagli relativi ai pagamenti, informazioni sullo stato di salute e dati riguardanti l’appartenenza sindacale. Si tratta di categorie di dati particolarmente sensibili, la cui esposizione comporta rischi elevati per i diritti e le libertà delle persone coinvolte.
Le cause dell’attacco ransomware Postel
L’attacco ransomware Postel è stato reso possibile dallo sfruttamento di vulnerabilità note di Microsoft Exchange Server, in particolare le CVE-2022-41040 e CVE-2022-41082. Tali vulnerabilità erano state segnalate pubblicamente già nel 2022, ma non risultavano adeguatamente mitigate o corrette dall’azienda.
Questa mancata applicazione delle patch di sicurezza ha evidenziato gravi carenze nei processi di patch management. A ciò si è aggiunta l’assenza di misure organizzative adeguate, come procedure strutturate di gestione del rischio e controlli periodici sull’esposizione dei sistemi informativi.
Secondo il Garante, tali omissioni configurano una violazione del principio di privacy by design e by default, previsto dal GDPR, che impone di integrare la protezione dei dati personali sin dalla progettazione dei sistemi.
Il provvedimento del Garante Privacy
A seguito dell’istruttoria, il Garante per la protezione dei dati personali ha irrogato a Postel Spa una sanzione amministrativa di 900.000 euro. Oltre alla multa, l’Autorità ha imposto una serie di misure correttive obbligatorie.
In particolare, Postel è stata tenuta a:
- effettuare un’analisi straordinaria delle vulnerabilità dei propri sistemi;
- definire un piano strutturato di gestione dei rischi informatici;
- stabilire tempi certi e verificabili per l’adozione delle patch di sicurezza.
Questi interventi mirano a ridurre il rischio di futuri incidenti e a riallineare l’azienda ai requisiti del GDPR.
Lezioni apprese dall’attacco ransomware Postel
Il caso dell’attacco ransomware Postel offre indicazioni chiare per tutte le organizzazioni:
- il patch management è una difesa essenziale contro i cyberattacchi;
- gli aggiornamenti tempestivi riducono il rischio di data breach e danni reputazionali;
- la sicurezza informatica deve essere parte integrante dei processi aziendali;
- la protezione dei dati personali non è un costo, ma una necessità strategica.