Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach

Tempo di lettura stimato:3 Minuti, 24 Secondi

Il provvedimento n. 572 del 4 luglio 2024 emesso dal Garante per la Protezione dei Dati Personali e reso pubblico ieri, 22 ottobre 2024, rappresenta un severo intervento contro Postel S.p.A., a seguito di un attacco informatico subito dalla società e della gestione successiva del data breach. La vicenda illustra in modo emblematico l’importanza delle misure di sicurezza preventiva e della corretta notifica in caso di violazione di dati personali, evidenziando le responsabilità degli enti nel proteggere i dati personali gestiti, anche come responsabili del trattamento.

Dettagli dell’incidente e delle vulnerabilità sfruttate

Il caso in esame riguarda un attacco di tipo ransomware eseguito dalla cybergang nota come “Medusa”, che ha causato la perdita di disponibilità di alcuni dati personali e l’esfiltrazione di informazioni sensibili. Le vulnerabilità sfruttate dagli attaccanti sono state identificate come CVE-2022-41040 e CVE-2022-41082, entrambe note già da settembre 2022 e successivamente corrette da Microsoft attraverso aggiornamenti specifici. È emerso che tali vulnerabilità permettevano una combinazione che consentiva l’escalation dei privilegi e l’esecuzione di codice remoto sui server, compromettendo così l’intera infrastruttura IT aziendale.

Nonostante le vulnerabilità fossero state pubblicamente identificate e corrette dal fornitore, Postel non aveva applicato le patch necessarie al momento dell’attacco, rimanendo vulnerabile e favorendo l’incursione. Il Garante ha considerato questa omissione un mancato adempimento degli obblighi di sicurezza previsti dal GDPR, specificamente dagli articoli 5, 25 e 32.

La carenza informativa nella notifica del data breach

Un altro punto critico risiede nella notifica del data breach effettuata da Postel. Il Garante ha riscontrato che la comunicazione della violazione era priva degli elementi necessari per valutare la natura e l’entità del danno. In particolare, mancavano dettagli chiave quali:

  • la specifica dei server colpiti (in particolare, i server Exchange);
  • la tipologia di vulnerabilità sfruttata;
  • la catena di attacco (kill chain) e i meccanismi di persistente accesso al sistema da parte dell’attore malevolo.

Questi elementi sono considerati essenziali per garantire un’adeguata comprensione dell’incidente e per consentire un’azione tempestiva da parte delle autorità. La mancata inclusione di tali dettagli ha portato il Garante a ritenere insufficiente la notifica, in contrasto con l’articolo 33 del GDPR. La vaghezza delle informazioni ha non solo rallentato l’intervento dell’Autorità, ma ha anche evidenziato una mancanza di trasparenza nella comunicazione dell’evento.

Inadeguatezza delle misure di sicurezza

Postel ha inoltre adottato solo parzialmente le misure necessarie per mitigare i rischi derivanti dalle vulnerabilità di Microsoft Exchange. Nonostante l’esistenza di un processo di “early warning” e di scansione periodica dei sistemi, un errore umano nella configurazione delle scansioni ha portato all’esclusione di alcuni server dalla procedura di aggiornamento, compromettendo la protezione generale dell’infrastruttura. Questo errore ha evidenziato una criticità strutturale nell’approccio alla sicurezza informatica di Postel, ritenuto insufficiente rispetto ai requisiti di protezione continua e verifica dell’efficacia delle misure adottate, come richiesto dal GDPR.

Provvedimenti correttivi e sanzione amministrativa

Alla luce delle violazioni riscontrate, il Garante ha adottato una serie di provvedimenti correttivi e ha imposto a Postel una sanzione pecuniaria di 900.000 euro. Tra le prescrizioni correttive, vi è l’obbligo per Postel di:

  • verificare periodicamente le vulnerabilità nei propri sistemi, applicando tempestivamente le patch necessarie;
  • formalizzare e implementare una procedura di gestione delle vulnerabilità che includa la scansione regolare di tutti gli asset IT;
  • definire metriche di rilevamento e risposta per garantire tempi di reazione adeguati in caso di future minacce.

L’obiettivo di queste misure è assicurare che la società adotti una postura di sicurezza informatica proattiva, prevenendo il ripetersi di situazioni simili in futuro.

Conclusione

Questo caso costituisce un monito per tutte le organizzazioni che gestiscono dati personali. L’attacco a Postel e le successive carenze nella gestione della violazione hanno dimostrato che la sicurezza informatica è una responsabilità continua, che richiede non solo strumenti tecnologici, ma anche un’attenta gestione dei processi e un controllo accurato e regolare delle misure di protezione. La tempestività degli aggiornamenti e una comunicazione completa e dettagliata sono aspetti fondamentali per ridurre il rischio e rispettare i principi sanciti dal GDPR.