Data breach Postel S.p.A.: il provvedimento del Garante

La newsletter del Garante per la Protezione dei Dati Personali pubblicizza come notizia il provvedimento numero 572 del 4 luglio 2024 in merito al data breach subìto da Postel S.p.A. il 17 agosto 2023 e ampiamente documentato in questo articolo.

Un provvedimento “duro ma giusto”

Il provvedimento offre alcuni spunti di riflessione che nascono da durissime considerazioni fatte dall’Autorità in tema di sicurezza dei dati personali e relativo trattamento. L’Italia, sempre più vicina alle varie scadenze della NIS 2, non può più permettersi di avere organizzazioni che trascurano o tradiscono i vincoli imposti dalla normativa ed il provvedimento del Garante sembra proprio voler sottolineare questo aspetto.

Impatto, multa e problematiche

Con un impatto di circa 25.000 interessanti, il data breach di Postel S.p.A. fece scalpore sui social per alcune cose che sembravano essere poco chiare da subito, tra cui la qualità della comunicazione pubblicata dall’azienda sulla quale il DPO Christian Bernieri si era espresso molto chiaramente.

A distanza di mesi il Garante della Protezione dei Dati, nella sua attività ispettiva, ha rilevato quanto segue:

In particolare, risulta accertato che la Società, nonostante la rilevanza del data breach subito, ha
trasmesso all’Autorità una notifica delle violazioni incompleta; è stato altresì accertato che la
Società non ha tenuto una condotta conforme alla disciplina di protezione dei dati neanche
relativamente alle misure di sicurezza che avrebbe dovuto adottare nei termini che verranno
indicati.

Il provvedimento è molto istruttivo perché nella prima parte (prima del “capitolo 3”) si apprendono alcune delle ragioni “difensive” dell’azienda Postel S.p.A. tra cui quella tesa a giustificare l’assenza d’installazione di una patch fondamentale e di cui era stata data ampia notizia sia da Microsoft che dai CSIRT internazionali (tra cui dalla stessa ACN). Postel, in tal senso, riporta quanto segue:

la mancata rimozione delle vulnerabilità in esame non è derivata dall’assenza di procedure e protocolli aziendali in materia di «patch and vulnerability management» o dall’inadeguatezza delle procedure e dei protocolli stessi.” […] Purtroppo, però, a causa di un errore umano nella configurazione delle attività di scansione, il server Exchange oggetto dell’attacco era rimasto escluso dalla scansione medesima: ciò ha accidentalmente determinato il mancato patching delle citate vulnerabilità, esclusivamente con riguardo a tale sistema.

In sostanza Postel S.p.A. sostiene due punti:

1. Che il danno non è derivato da un’assenza di procedure e protocolli di sicurezza, né dalla loro inadeguatezza.
2. Che il danno è stato creato da un errore umano nella configurazione delle attività di scansione il che avrebbe escluso il server di Exchange dall’attività di patching.

Postel S.p.A. è un’azienda certificata ISO 27001, uno standard “capostipite” nel mondo ISO. Nel fornire la risposta a tali affermazione, gli ispettori del Garante hanno riportato quanto segue:

Rileva il fatto che le predette vulnerabilità erano già state rese note, a settembre 2022, dal Microsoft Security Response Center che aveva altresì pubblicato le opportune azioni di mitigazione; inoltre, a novembre 2022, Microsoft aveva reso disponibili gli aggiornamenti necessari da apportare alla piattaforma Exchange per superare proprio le vulnerabilità indicate (per di più considerato che erano state valutate ad alta criticità). Tra l’altro, anche in Italia, diversi mesi prima dell’evento, l’esistenza della predetta vulnerabilità era stata opportunamente segnalata dall’Agenzia per la Cybersicurezza nazionale

Quindi, ricostruendo la linea temporale:

1. Microsoft scopre e segnala la vulnerabilità nel settembre 2022.
2. Microsoft mette a disposizione una soluzione nel novembre 2022.
3. Postel ignora la vulnerabilità fino al momento del data breach agosto 2023, ignorando anche la segnalazione inviata dall’ACN.

Vi è quindi un problema che si protrae nel tempo nonostante le segnalazioni ufficiali del produttore e quelle eseguite anche dai CSIRT. Un errore umano ha impedito la corretta configurazione ma nessun ciclo di controllo a rilevato il problema e questo sposta l’argomento da tecnico ad organizzativo.

Non solo tecnica

Vi è la necessità di porre attenzione non solo ai controlli “tecnici” ma anche (e soprattutto) a quelli di natura organizzativa. Chi conosce veramente gli standard sa che si parla spesso di procedure, politiche, strategie e quindi di una formalizzazione di aspetti organizzativi che spesso vengono trascurati. Dal provvedimento del Garante si apprende un’informazione molto utile in tal senso.

La valutazione effettuata dall’Autorità, quindi, non si è limitata a prendere in considerazione il verificarsi, in quanto tale, della violazione di dati […] ma, muovendo dalla violazione di dati oggetto dell’indagine, si è proceduto a verificare se la Società avesse adottato tutte quelle misure tecniche e organizzative che avrebbero potuto evitare la violazione di dati personali.

Le misure organizzative sono oggetto di ispezione e valutazione! C’è da sempre la falsa idea che il controllo avvenga al di fuori di questo contesto ed è chiaramente una conclusione errata. Il Garante della Protezione dei Dati Personali pone quindi la luce su un aspetto importante che gli consente di ingiungere a Postel S.p.A. “la predisposizione di una procedura formalizzata per la gestione delle vulnerabilità, che preveda, in particolare la pianificazione del controllo di tutti gli asset IT dell’organizzazione al fine di rilevare l’eventuale presenza di vulnerabilità note o potenziali nonché l’individuazione delle relative procedure di correzione e mitigazione“

La certificazione ISO 27001

Come dichiarato dalla stessa Postel S.p.A. l’azienda è certificata ISO 27001, una certificazione ambiziosa e completa, che se pienamente rispettata rende l’organizzazione assai ben strutturata e protetta contro gli incidenti. La ISO 27001 prevede diversi controlli di sicurezza essenziali tra cui:

• Controllo organizzativo 5.24: l’organizzazione deve pianificare e prepararsi per la gestione degli incidenti di sicurezza delle informazioni definendo, stabilendo e comunicando processi, ruoli e responsabilità di gestione degli incidenti di sicurezza delle informazioni.
• Controllo organizzativo 5.25: l’organizzazione deve valutare gli eventi di sicurezza delle informazioni e decidere se devono essere classificati come incidenti di sicurezza delle informazioni.
• Controllo tecnologico 8.08: devono essere ottenute informazioni sulle vulnerabilità tecniche dei sistemi informativi in uso, deve essere valutata l’esposizione dell’organizzazione a tali vulnerabilità e devono essere adottate misure appropriate.

Dichiarare di essere certificati ISO 27001 significa quindi dichiarare di conoscere, aver compreso e aver implementato tali controlli di sicurezza, molti dei quali si riferiscono ad attività strategiche, organizzative e alle attività di monitoraggio.

Conclusione

Con una sanzione di 900.000 euro e delle contestazioni molto dure, si spera che Postel S.p.A. possa far tesoro di quanto accaduto, anche e soprattutto nel rispetto di quella certificazione ISO 27001 che prevede un controllo di sicurezza particolarmente interessante, il 5.27:

Le conoscenze acquisite dagli incidenti di sicurezza delle informazioni sono utilizzate per rafforzare e migliorare i controlli di sicurezza delle informazioni.