Ad agosto 2023, Postel Spa ha subito un grave attacco ransomware, con l’esfiltrazione di dati personali di circa 25.000 persone, poi diffusi nel dark web. Tra le informazioni compromesse: dati di contatto, credenziali di accesso, dettagli su pagamenti, stato di salute e appartenenze sindacali.
L’attacco ha sfruttato vulnerabilità note di Microsoft Exchange Server (CVE-2022-41040 e CVE-2022-41082), segnalate già nel 2022 ma non risolte da Postel. Questa inazione, aggravata dalla mancata adozione di misure organizzative adeguate, ha evidenziato carenze nei processi di patch management e una violazione del principio di privacy by design.
Il Garante per la Privacy ha multato l’azienda per 900.000 euro e imposto interventi correttivi: analisi straordinaria delle vulnerabilità, piano di gestione dei rischi e tempi chiari per l’adozione di patch.
Lezioni apprese:
- Il patch management è una difesa cruciale contro i cyberattacchi.
- Aggiornamenti tempestivi riducono il rischio di violazioni e danni reputazionali.
- Integrare la sicurezza nei processi aziendali non è un’opzione, ma una necessità strategica.