Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Stefano Gazzella : 21 Agosto 2023 17:13
Impossibile ignorare l’attacco ransomware che ha colpito Postel, soprattutto perché i social brulicano di commenti relativi alla vicenda che sono l’evidenza di quanto sia stata percepita la gestione del data breach.
Basti pensare che mentre è stato varato un hashtag dedicato alla vicenda:
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765
per richiedere informazioni
"
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
ma nonostante l’avvenuto ripristino del sito web nulla è dato sapere né conoscere agli interessati tramite i canali istituzionali di Postel.
E l’assordante silenzio istituzionale – mentre c’è il tic-toc del countdown – non è che sia confortante soprattutto per gli interessati direttamente coinvolti dalla violazione e da coloro che potrebbero subirne gli effetti negativi.
I quali hanno appreso tutto ciò prima dai social, dunque da alcune testate giornalistiche. Testate che poi sono state raggiunte da un comunicato da parte di Postel che ha avuto l’effetto di lasciare più confusi che persuasi.
Anche perchè, ironia della sorte, per leggerlo su alcune delle testate online, si doveva superare un cookiewall versando il gettone dei propri dati personali per avere accesso ad una comunicazione (si spera, almeno teoricamente e nelle intenzioni) dovuta per legge.
Perché quella verso gli interessati è una comunicazione che la stessa Postel deve svolgere per adempiere a quanto prescritto dall’art. 34 GDPR e che va svolta nelle forme definite dall’art. 12 GDPR.
Il comunicato di Postel manca però degli elementi fondamentali prescritti per una comunicazione di data breach completa. La quale non è un adempimento formale, bensì ha la funzione di rafforzare la tutela di tutte le persone direttamente e indirettamente coinvolte dall’evento di violazione.
E dunque, volendo considerare l’accaduto, non gioverebbe soltanto gli interessati i cui dati personali sono stati esfiltrati e saranno pubblicati, ma anche tutti coloro che potrebbero subire un danno o un pericolo dall’evento.
La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d). (art. 34 par. 2 GDPR)
I requisiti di legge sono chiari.
Altrettanto chiaro è che non sono riscontrabili all’interno della comunicazione inviata. Manca infatti il punto di contatto presso cui ottenere informazioni, così come la descrizione delle probabili conseguenze della violazione dei dati personali.
Per quanto riguarda l’indicazione delle misure adottate o da adottare, tutto si limita ad una generale azione di ripristino dei sistemi.
Può venire il dubbio che il comunicato non sia stato inteso come comunicazione verso gli interessati?
E questo aprirebbe una serie di riflessioni ulteriori. Tale comunicazione, stando alla lettera dell’art. 34 GDPR e alle linee guida dell’EDPB, è un obbligo nel caso in cui sussiste un rischio elevato per gli interessati. Rischio elevato che, stando alle notizie riportate sull’attacco, appare come sussistente in considerazione della natura dei dati oggetto di violazione.
Bisogna infatti ricordare che sono stati oggetto di compromissione i dati dei lavoratori. E questo comprende tutte le comunicazioni per la gestione dei rapporti di lavoro, inclusi documenti di identità e le comunicazioni interne. Viene davvero difficile ipotizzare che non sia uno scenario di rischio elevato.
Purtroppo, nel comunicato sono citati soltanto dati interni. Nessun riferimento a interessati coinvolti o potenzialmente coinvolti. Nulla viene detto sull’imminente pubblicazione minacciata a scopo estorsivo.
La mancata comunicazione, così come una comunicazione intempestiva o incompleta, impedisce all’interessato di adottare delle cautele per proteggersi dalle conseguenze del data breach.
Qualcosa che si pone insomma ben oltre l’avere contezza che “è successo qualcosa”.
Così facendo il rischio (anzi, la certezza) è che il conto da pagare del data breach sarà in parte sulle spalle (e sulle tasche) degli interessati. Dato che si parla della loro vita lavorativa, furti di identità, ricatti o anche truffe che saranno orchestrate più facilmente a loro danno grazie alle informazioni nella disponibilità dei cybercriminali.
Infine, una considerazione per completezza. In tutto questo non stiamo nemmeno considerando gli ulteriori soggetti potenzialmente coinvolti dal data breach, come possono essere tutti coloro eventualmente citati nelle comunicazioni interne e nei documenti. E che ben potrebbero trarre giovamento da una comunicazione di data breach chiara e completa pubblicata su canali istituzionali, in quanto potrebbero adottare comportamenti maggiormente prudenti consapevoli del pericolo cui sono stati esposti in conseguenza dell’evento.
Stefano GazzellaNel corso di un’analisi di sicurezza effettuata sul prodotto ZENIC ONE R58 di ZTE Corporations, il RED Team Research di TIM ha individuato un bug critico di tipo Formula Injection, una vulnerab...
Microsoft ha recentemente rilasciato un avviso di sicurezza per CVE-2025-21396, una vulnerabilità critica di bypass dell’autenticazione che potrebbe consentire agli attaccanti di falsifica...
Norton, marchio consumer di sicurezza informatica, ha pubblicato il suo Consumer Cyber Safety Report – Online Dating Edition 2025. Il report ha intervistato gli italiani per esplorare il loro r...
Gli specialisti della sicurezza informatica non sono apprezzati per le loro conoscenze teoriche, ma per la loro capacità di applicarle nella pratica. L’esercizio in questo settore è p...
“Ora che il Genio è uscito dalla lampada, è difficile rimettercelo dentro!”. E con le AI, questa non è solo un’analogia, ma una realtà sempre più evidente...
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009
