Stefano Gazzella : 21 Agosto 2023 17:13
Impossibile ignorare l’attacco ransomware che ha colpito Postel, soprattutto perché i social brulicano di commenti relativi alla vicenda che sono l’evidenza di quanto sia stata percepita la gestione del data breach.
Basti pensare che mentre è stato varato un hashtag dedicato alla vicenda:
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
ma nonostante l’avvenuto ripristino del sito web nulla è dato sapere né conoscere agli interessati tramite i canali istituzionali di Postel.
E l’assordante silenzio istituzionale – mentre c’è il tic-toc del countdown – non è che sia confortante soprattutto per gli interessati direttamente coinvolti dalla violazione e da coloro che potrebbero subirne gli effetti negativi.
I quali hanno appreso tutto ciò prima dai social, dunque da alcune testate giornalistiche. Testate che poi sono state raggiunte da un comunicato da parte di Postel che ha avuto l’effetto di lasciare più confusi che persuasi.
Anche perchè, ironia della sorte, per leggerlo su alcune delle testate online, si doveva superare un cookiewall versando il gettone dei propri dati personali per avere accesso ad una comunicazione (si spera, almeno teoricamente e nelle intenzioni) dovuta per legge.
Perché quella verso gli interessati è una comunicazione che la stessa Postel deve svolgere per adempiere a quanto prescritto dall’art. 34 GDPR e che va svolta nelle forme definite dall’art. 12 GDPR.
Il comunicato di Postel manca però degli elementi fondamentali prescritti per una comunicazione di data breach completa. La quale non è un adempimento formale, bensì ha la funzione di rafforzare la tutela di tutte le persone direttamente e indirettamente coinvolte dall’evento di violazione.
E dunque, volendo considerare l’accaduto, non gioverebbe soltanto gli interessati i cui dati personali sono stati esfiltrati e saranno pubblicati, ma anche tutti coloro che potrebbero subire un danno o un pericolo dall’evento.
La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d). (art. 34 par. 2 GDPR)
I requisiti di legge sono chiari.
Altrettanto chiaro è che non sono riscontrabili all’interno della comunicazione inviata. Manca infatti il punto di contatto presso cui ottenere informazioni, così come la descrizione delle probabili conseguenze della violazione dei dati personali.
Per quanto riguarda l’indicazione delle misure adottate o da adottare, tutto si limita ad una generale azione di ripristino dei sistemi.
Può venire il dubbio che il comunicato non sia stato inteso come comunicazione verso gli interessati?
E questo aprirebbe una serie di riflessioni ulteriori. Tale comunicazione, stando alla lettera dell’art. 34 GDPR e alle linee guida dell’EDPB, è un obbligo nel caso in cui sussiste un rischio elevato per gli interessati. Rischio elevato che, stando alle notizie riportate sull’attacco, appare come sussistente in considerazione della natura dei dati oggetto di violazione.
Bisogna infatti ricordare che sono stati oggetto di compromissione i dati dei lavoratori. E questo comprende tutte le comunicazioni per la gestione dei rapporti di lavoro, inclusi documenti di identità e le comunicazioni interne. Viene davvero difficile ipotizzare che non sia uno scenario di rischio elevato.
Purtroppo, nel comunicato sono citati soltanto dati interni. Nessun riferimento a interessati coinvolti o potenzialmente coinvolti. Nulla viene detto sull’imminente pubblicazione minacciata a scopo estorsivo.
La mancata comunicazione, così come una comunicazione intempestiva o incompleta, impedisce all’interessato di adottare delle cautele per proteggersi dalle conseguenze del data breach.
Qualcosa che si pone insomma ben oltre l’avere contezza che “è successo qualcosa”.
Così facendo il rischio (anzi, la certezza) è che il conto da pagare del data breach sarà in parte sulle spalle (e sulle tasche) degli interessati. Dato che si parla della loro vita lavorativa, furti di identità, ricatti o anche truffe che saranno orchestrate più facilmente a loro danno grazie alle informazioni nella disponibilità dei cybercriminali.
Infine, una considerazione per completezza. In tutto questo non stiamo nemmeno considerando gli ulteriori soggetti potenzialmente coinvolti dal data breach, come possono essere tutti coloro eventualmente citati nelle comunicazioni interne e nei documenti. E che ben potrebbero trarre giovamento da una comunicazione di data breach chiara e completa pubblicata su canali istituzionali, in quanto potrebbero adottare comportamenti maggiormente prudenti consapevoli del pericolo cui sono stati esposti in conseguenza dell’evento.
Stefano GazzellaLa tempestività è fondamentale nella cybersecurity. Red Hot Cyber ha recentemente lanciato un servizio completamente gratuito che permette a professionisti IT, analisti della sicurezza e appassionat...
Una risposta rapida alle minacce in aumento contro l’infrastruttura di posta elettronica è stata fornita dalla Cybersecurity and Infrastructure Security Agency (CISA), in collaborazione con la Nati...
I ricercatori di Varonis hanno scoperto la piattaforma MaaS (malware-as-a-service) Atroposia. Per 200 dollari al mese, i suoi clienti ricevono un Trojan di accesso remoto con funzionalità estese, tra...
Peter Williams, ex dipendente dell’azienda appaltatrice della difesa, si è dichiarato colpevole presso un tribunale federale degli Stati Uniti di due capi d’accusa per furto di segreti commercial...
L’interruzione dei servizi cloud di Microsoft, avvenuta poche ore prima della pubblicazione dei risultati trimestrali, è solo l’ultimo episodio di una lunga serie di blackout che stanno mettendo ...
