Le aziende devono abituarsi: le carenze nella sicurezza informatica possono costare caro. Per pura coincidenza, mentre in Italia lo specialista dell’archiviazione di asset crittografici Ledger è stato sanzionato dalla CNIL, anche un’altra società è stata attaccata dal garante dei dati personali GPDP.
Nel suo Newsletter dal 22 ottobreQuesta autorità ha riferito di aver imposto un. Multa di 900mila euro a Postel. Questa filiale di Poste Italiane offre servizi di gestione documentale, stampa e mailing di marketing diretto digitale.
Un conto pesante che l’autorità italiana giustifica con l’inazione dell’azienda. Nell’agosto 2023, il gruppo del ransomware Medusa ha attaccato l’azienda, sostenendo: Italia cablataun riscatto di $ 500.000. L’attacco hacker al sistema informativo di Postel ha portato infine al furto e alla divulgazione dei dati personali di circa 25.000 persone, dipendenti, ex dipendenti o partner dell’azienda.
🇮🇹 La CNIL italiana multa di 900.000 euro un subappaltatore attaccato da un ransomware dopo che i dati di 25.000 persone sono stati pubblicati sul dark web. Le vulnerabilità sfruttate in Microsoft Exchange erano già state segnalate un anno prima, ma la patch non… pic.twitter.com/dUrFnYbLdb
— Guillaume Champeau (@gchampeau) 23 ottobre 2024
“Errore umano”
Il GDPD sottolinea un attacco che avrebbe potuto essere evitato, come dimostrano le due vulnerabilità di Microsoft Exchange ancora presenti nel sistema informativo. Questi erano quelli relativi a ProxyNotShell (CVE-2022-41040 e CVE-2022-41082). Alla fine consentono l’hacking dei server. Sono stati segnalati dall’editore Microsoft nel settembre 2022, con gli aggiornamenti resi disponibili due mesi dopo.
Autorità nazionale italiana per la sicurezza informatica aveva inoltre segnalato la vulnerabilità della sicurezza, classificata come grave, in un avviso pubblicato il 21 novembre 2023. Invano: nonostante “un processo strutturato di allarme rapido, rilevamento ed emissione”, Postel non disponeva di ciò che era necessario per colmare il divario degli “avvisi critici di sicurezza”, secondo l’azienda.
“A causa di un errore umano” nella configurazione delle attività di analisi e correzione dei sistemi informativi, “il server Exchange interessato dall’attacco è stato escluso dall’analisi”, si è difesa più dettagliatamente l’azienda. La società aveva segnalato all’autorità di regolamentazione lo sfruttamento da parte degli aggressori di due vulnerabilità, CVE-2022-41080 e CVE-2022-41082.
Processo di monitoraggio e controllo
Non una risposta sufficiente per il GDPD. L’azienda avrebbe dovuto impostare un processo per monitorare e controllare l’installazione degli aggiornamenti.
Una giurisprudenza che fa riflettere in Francia, in un momento in cui l’Anssi è allarmata per lo sfruttamento di compromissioni già note su dispositivi critici.
Nel gennaio 2023, presentando la panoramica delle minacce informatiche per il 2022, i vigili del fuoco informatici statali si sono lamentati del fatto che metà delle dieci vulnerabilità conosciute più sfruttate identificate da Anssi nel 2022 erano state risolte l’anno prima. Rimpianti che un giorno potrebbero giungere alle orecchie della CNIL.
Credito fotografico in prima pagina: Pepi Stojanovski / Unsplash
