Stefano Gazzella : 21 Agosto 2023 17:13
Impossibile ignorare l’attacco ransomware che ha colpito Postel, soprattutto perché i social brulicano di commenti relativi alla vicenda che sono l’evidenza di quanto sia stata percepita la gestione del data breach.
Basti pensare che mentre è stato varato un hashtag dedicato alla vicenda:
ma nonostante l’avvenuto ripristino del sito web nulla è dato sapere né conoscere agli interessati tramite i canali istituzionali di Postel.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
E l’assordante silenzio istituzionale – mentre c’è il tic-toc del countdown – non è che sia confortante soprattutto per gli interessati direttamente coinvolti dalla violazione e da coloro che potrebbero subirne gli effetti negativi.
I quali hanno appreso tutto ciò prima dai social, dunque da alcune testate giornalistiche. Testate che poi sono state raggiunte da un comunicato da parte di Postel che ha avuto l’effetto di lasciare più confusi che persuasi.
Anche perchè, ironia della sorte, per leggerlo su alcune delle testate online, si doveva superare un cookiewall versando il gettone dei propri dati personali per avere accesso ad una comunicazione (si spera, almeno teoricamente e nelle intenzioni) dovuta per legge.
Perché quella verso gli interessati è una comunicazione che la stessa Postel deve svolgere per adempiere a quanto prescritto dall’art. 34 GDPR e che va svolta nelle forme definite dall’art. 12 GDPR.
Il comunicato di Postel manca però degli elementi fondamentali prescritti per una comunicazione di data breach completa. La quale non è un adempimento formale, bensì ha la funzione di rafforzare la tutela di tutte le persone direttamente e indirettamente coinvolte dall’evento di violazione.
E dunque, volendo considerare l’accaduto, non gioverebbe soltanto gli interessati i cui dati personali sono stati esfiltrati e saranno pubblicati, ma anche tutti coloro che potrebbero subire un danno o un pericolo dall’evento.
La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d). (art. 34 par. 2 GDPR)
I requisiti di legge sono chiari.
Altrettanto chiaro è che non sono riscontrabili all’interno della comunicazione inviata. Manca infatti il punto di contatto presso cui ottenere informazioni, così come la descrizione delle probabili conseguenze della violazione dei dati personali.
Per quanto riguarda l’indicazione delle misure adottate o da adottare, tutto si limita ad una generale azione di ripristino dei sistemi.
Può venire il dubbio che il comunicato non sia stato inteso come comunicazione verso gli interessati?
E questo aprirebbe una serie di riflessioni ulteriori. Tale comunicazione, stando alla lettera dell’art. 34 GDPR e alle linee guida dell’EDPB, è un obbligo nel caso in cui sussiste un rischio elevato per gli interessati. Rischio elevato che, stando alle notizie riportate sull’attacco, appare come sussistente in considerazione della natura dei dati oggetto di violazione.
Bisogna infatti ricordare che sono stati oggetto di compromissione i dati dei lavoratori. E questo comprende tutte le comunicazioni per la gestione dei rapporti di lavoro, inclusi documenti di identità e le comunicazioni interne. Viene davvero difficile ipotizzare che non sia uno scenario di rischio elevato.
Purtroppo, nel comunicato sono citati soltanto dati interni. Nessun riferimento a interessati coinvolti o potenzialmente coinvolti. Nulla viene detto sull’imminente pubblicazione minacciata a scopo estorsivo.
La mancata comunicazione, così come una comunicazione intempestiva o incompleta, impedisce all’interessato di adottare delle cautele per proteggersi dalle conseguenze del data breach.
Qualcosa che si pone insomma ben oltre l’avere contezza che “è successo qualcosa”.
Così facendo il rischio (anzi, la certezza) è che il conto da pagare del data breach sarà in parte sulle spalle (e sulle tasche) degli interessati. Dato che si parla della loro vita lavorativa, furti di identità, ricatti o anche truffe che saranno orchestrate più facilmente a loro danno grazie alle informazioni nella disponibilità dei cybercriminali.
Infine, una considerazione per completezza. In tutto questo non stiamo nemmeno considerando gli ulteriori soggetti potenzialmente coinvolti dal data breach, come possono essere tutti coloro eventualmente citati nelle comunicazioni interne e nei documenti. E che ben potrebbero trarre giovamento da una comunicazione di data breach chiara e completa pubblicata su canali istituzionali, in quanto potrebbero adottare comportamenti maggiormente prudenti consapevoli del pericolo cui sono stati esposti in conseguenza dell’evento.
Stefano GazzellaNe avevamo parlato con un articolo sul tema diverso tempo fa redatto da Massimiliano Brolli. Oggi la sicurezza informatica non è più un’opzione né un valore accessorio: è un...
Scienziati della Nanyang Technological University, insieme a colleghi giapponesi, hanno creato la prima linea robotica al mondo per la produzione in serie di scarafaggi cyborg. Ciò ha permesso di...
Fermi America ha firmato un memorandum d’intesa con Hyundai Engineering & Construction (Hyundai E&C) per progettare e costruire la parte nucleare di un progetto infrastrutturale energet...
La Polizia di Stato, in esecuzione di ordinanza di custodia cautelare emessa dal GIP di Torino, ha proceduto all’arresto di un quarantenne medico torinese indagato per produzione di contenuti m...
L’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. ...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
