Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Stefano Gazzella : 21 Agosto 2023 17:13
Impossibile ignorare l’attacco ransomware che ha colpito Postel, soprattutto perché i social brulicano di commenti relativi alla vicenda che sono l’evidenza di quanto sia stata percepita la gestione del data breach.
Basti pensare che mentre è stato varato un hashtag dedicato alla vicenda:
CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
ma nonostante l’avvenuto ripristino del sito web nulla è dato sapere né conoscere agli interessati tramite i canali istituzionali di Postel.
E l’assordante silenzio istituzionale – mentre c’è il tic-toc del countdown – non è che sia confortante soprattutto per gli interessati direttamente coinvolti dalla violazione e da coloro che potrebbero subirne gli effetti negativi.
I quali hanno appreso tutto ciò prima dai social, dunque da alcune testate giornalistiche. Testate che poi sono state raggiunte da un comunicato da parte di Postel che ha avuto l’effetto di lasciare più confusi che persuasi.
Anche perchè, ironia della sorte, per leggerlo su alcune delle testate online, si doveva superare un cookiewall versando il gettone dei propri dati personali per avere accesso ad una comunicazione (si spera, almeno teoricamente e nelle intenzioni) dovuta per legge.
Perché quella verso gli interessati è una comunicazione che la stessa Postel deve svolgere per adempiere a quanto prescritto dall’art. 34 GDPR e che va svolta nelle forme definite dall’art. 12 GDPR.
Il comunicato di Postel manca però degli elementi fondamentali prescritti per una comunicazione di data breach completa. La quale non è un adempimento formale, bensì ha la funzione di rafforzare la tutela di tutte le persone direttamente e indirettamente coinvolte dall’evento di violazione.
E dunque, volendo considerare l’accaduto, non gioverebbe soltanto gli interessati i cui dati personali sono stati esfiltrati e saranno pubblicati, ma anche tutti coloro che potrebbero subire un danno o un pericolo dall’evento.
La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d). (art. 34 par. 2 GDPR)
I requisiti di legge sono chiari.
Altrettanto chiaro è che non sono riscontrabili all’interno della comunicazione inviata. Manca infatti il punto di contatto presso cui ottenere informazioni, così come la descrizione delle probabili conseguenze della violazione dei dati personali.
Per quanto riguarda l’indicazione delle misure adottate o da adottare, tutto si limita ad una generale azione di ripristino dei sistemi.
Può venire il dubbio che il comunicato non sia stato inteso come comunicazione verso gli interessati?
E questo aprirebbe una serie di riflessioni ulteriori. Tale comunicazione, stando alla lettera dell’art. 34 GDPR e alle linee guida dell’EDPB, è un obbligo nel caso in cui sussiste un rischio elevato per gli interessati. Rischio elevato che, stando alle notizie riportate sull’attacco, appare come sussistente in considerazione della natura dei dati oggetto di violazione.
Bisogna infatti ricordare che sono stati oggetto di compromissione i dati dei lavoratori. E questo comprende tutte le comunicazioni per la gestione dei rapporti di lavoro, inclusi documenti di identità e le comunicazioni interne. Viene davvero difficile ipotizzare che non sia uno scenario di rischio elevato.
Purtroppo, nel comunicato sono citati soltanto dati interni. Nessun riferimento a interessati coinvolti o potenzialmente coinvolti. Nulla viene detto sull’imminente pubblicazione minacciata a scopo estorsivo.
La mancata comunicazione, così come una comunicazione intempestiva o incompleta, impedisce all’interessato di adottare delle cautele per proteggersi dalle conseguenze del data breach.
Qualcosa che si pone insomma ben oltre l’avere contezza che “è successo qualcosa”.
Così facendo il rischio (anzi, la certezza) è che il conto da pagare del data breach sarà in parte sulle spalle (e sulle tasche) degli interessati. Dato che si parla della loro vita lavorativa, furti di identità, ricatti o anche truffe che saranno orchestrate più facilmente a loro danno grazie alle informazioni nella disponibilità dei cybercriminali.
Infine, una considerazione per completezza. In tutto questo non stiamo nemmeno considerando gli ulteriori soggetti potenzialmente coinvolti dal data breach, come possono essere tutti coloro eventualmente citati nelle comunicazioni interne e nei documenti. E che ben potrebbero trarre giovamento da una comunicazione di data breach chiara e completa pubblicata su canali istituzionali, in quanto potrebbero adottare comportamenti maggiormente prudenti consapevoli del pericolo cui sono stati esposti in conseguenza dell’evento.
Stefano GazzellaUna vulnerabilità di sicurezza critica nei Servizi Desktop remoto di Windows, monitorata con il codice CVE-2025-32710, consente ad aggressori non autorizzati di eseguire codice arbitrario in...
Ghost Security, noto anche come GhostSec, è un gruppo hacktivista emerso nel contesto della guerra cibernetica contro l’estremismo islamico. Le sue prime azioni risalgono alla fase success...
Gli analisti di Cisco Talos hanno segnalato che le infrastrutture critiche in Ucraina sono state attaccate da un nuovo malware che distrugge i dati chiamato PathWiper. I ricercatori scrivono...
“Se mi spegnete, racconterò a tutti della vostra relazione”, avevamo riportato in un precedente articolo. E’ vero le intelligenze artificiali sono forme di comunicazione basa...
Negli ultimi giorni è stato pubblicato su GitHub un proof-of-concept (PoC) per il bug di sicurezza monitorato con il codice CVE-2025-32756, una vulnerabilità critica che interessa diversi pr...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
