Una grave violazione della sicurezza informatica mette a rischio migliaia di dati sensibili.
Il caso di Postel S.p.A. dimostra quanto sia fondamentale adottare misure di protezione adeguate.
Scopri i dettagli di questa vicenda e perché ogni azienda dovrebbe rafforzare la propria sicurezza per evitare sanzioni e danni reputazionali.
La sanzione del Garante
Il Garante per la Protezione dei Dati Personali ha inflitto una sanzione di 900.000 euro a Postel S.p.A., società appartenente al Gruppo Poste Italiane, a causa della mancata risoluzione di vulnerabilità nei propri sistemi informatici per un periodo di quasi un anno.
L’attacco ransomware e la fuga di dati
La vicenda ha avuto origine da un attacco ransomware, successivamente rivendicato dalla cybergang Medusa, che ha compromesso i sistemi di Postel.
L’attacco ha portato all’esfiltrazione e alla pubblicazione nel dark web di numerosi file contenenti dati personali di circa 25.000 soggetti.
Le informazioni sottratte includevano dati anagrafici, recapiti, credenziali di accesso, dati di pagamento, informazioni su condanne penali e reati, documenti di identificazione, dati sindacali e sanitari.
Le carenze nelle misure di sicurezza
L’istruttoria condotta dal Garante ha evidenziato gravi carenze nelle misure di sicurezza adottate da Postel, nonostante l’Agenzia per la Cybersicurezza Nazionale avesse già segnalato pubblicamente le vulnerabilità presenti nei sistemi utilizzati dall’azienda.
Inoltre, la notifica della violazione trasmessa al Garante è risultata incompleta, omettendo dettagli essenziali come i server coinvolti e le specifiche vulnerabilità sfruttate dal malware.
Le misure imposte dal Garante
Oltre alla sanzione economica, il Garante ha ordinato a Postel di effettuare un’analisi approfondita delle proprie vulnerabilità informatiche e di adottare tempestivamente misure correttive.
La società dovrà implementare una procedura formale per la gestione delle vulnerabilità, stabilendo tempi chiari per la loro risoluzione, in considerazione del rischio per i diritti e le libertà delle persone fisiche.
L’importanza della cybersecurity per le aziende
Questo caso evidenzia l’importanza cruciale della cybersecurity per le imprese, che devono adottare sistemi informatici sicuri e mantenerli costantemente aggiornati per proteggere i dati sensibili dei propri clienti e partner.
La sanzione comminata a Postel rappresenta un chiaro avvertimento per tutte le aziende affinché rafforzino le proprie difese informatiche, prevenendo potenziali attacchi e riducendo i rischi di violazioni dei dati.
