NEWS

Impiegato riceve un sollecito per una fattura scaduta ma è un virus: violata privacy dei lavoratori e maxi sanzione per l’azienda

Deve essere riuscito a farsi odiare sia dall’azienda che dai suoi oltre centomila colleghi quell’ingenuo impiegato che di recente ha abboccato alla classica mail di phishing inviata da un sedicente fornitore che sollecitava il pagamento di una fattura scaduta con tanto di file allegato, che però non conteneva alcun documento amministrativo, bensì un ransomware in grado di crittografare tutti i dati presenti nei server aziendali, compresi appunto quelli del personale.

Nicola Bernardi

(Nella foto: Nicola Bernardi, presidente di Federprivacy)

Ironia della sorte, quando il dipendente apriva la mail di phishing era il 1° di aprile, e avendo evidentemente scartato l’ipotesi che potesse trattarsi di uno scherzo, aveva prontamente girato il sollecito al suo collega dell’amministrazione sottolineando che si trattava di una fattura da pagare, ma quando quest’ultimo cliccava sul file ZIP allegato scaricandolo ed estraendone il contenuto, la frittata era ormai fatta.

Il tutto accadeva però nella più assoluta inconsapevolezza dell’impiegato, perché l’antivirus segnalava il file sospetto mettendolo in quarantena, ma il dipendente assecondava l’avviso di sicurezza proseguendo il suo lavoro senza preoccuparsi troppo.

Peccato che, anche se la rimozione del virus sembrava essere andata a buon fine, in realtà l’hacker aveva mantenuto l’accesso al pc del dipendente che in quel periodo si trovava in smart working a causa della pandemia, e nei giorni seguenti il cybercriminale disinstallava pure l’antivirus per muoversi più liberamente all’interno della rete aziendale, compromettendo 283 sistemi e 16 account in quattro domini, e riuscendo a mettere le grinfie anche su 4 database in cui erano memorizzati tutti i dati personali dei 113.000 sventurati dipendenti, comprese molte informazioni sensibili di ciascuno di essi, come le coordinate bancarie, i numeri di previdenza sociale, ed anche la loro origine etnica, l’orientamento sessuale e la religione.

Se vi arriva un sollecito di una fattura scaduta fate attenzione: potrebbe essere un malware

Questa violazione dei dati potrebbe causare danni reali ai dipendenti, poiché li ha resi vulnerabili alla possibilità di furto di identità e frode finanziaria“, ha spiegato John Edwards, che guida l’autorità inglese per la protezione dei dati (Information Commissioner’s Office) la quale al termine dell’istruttoria su questo disastroso data breach lo scorso 24 ottobre ha reso noto di aver inflitto alla Interserve una sanzione da 4,4 milioni di sterline, pari a circa 5,1 milioni di euro.

E nel comunicato stampa pubblicato sul proprio sito istituzionale, il garante inglese si è espresso anche aspramente alludendo alla Interserve, società che nel Regno Unito opera in outsourcing come fornitore strategico del governo e tra i propri clienti annovera anche il Ministero della Difesa: “Lasciare la porta aperta ai cyber-attaccanti non è mai accettabile, soprattutto quando si ha a che fare con le informazioni più sensibili delle persone. Il più grande rischio informatico che le aziende devono affrontare non viene dagli hacker al di fuori della loro azienda, ma dalla noncuranza all’interno dell’azienda“.

Probabilmente, quelle parole messe nero su bianco dall’autorità che pesano come un macigno sulla reputazione della Interserve, sono scaturite anche dal fatto che, se da una parte la società aveva prodotto un fiume di procedure, (tra cui la policy sulla sicurezza delle informazioni, quella sulla gestione delle minacce e delle vulnerabilità, oltre a linee guida per la risposta agli incidenti ransomware, etc. etc.), nei fatti però tutto ciò serve a ben poco “se la tua azienda non monitora regolarmente le attività sospette nei suoi sistemi e non agisce in base agli avvisi, o non aggiorna il software e non fornisce formazione al personale“, come ha rimarcato lo stesso John Edwards.

Sprovveduto o incompetente quanto si voglia qualificare quell’impiegato pur di trovare un capro espiatorio, è chiaro però che in realtà il suo maldestro operato non è altro che il risultato di una gestione perlopiù burocratica dei temi della privacy e della cybersecurity che produceva tanta carta e pochi fatti.

di Nicola Bernardi (Nòva Il Sole 24 Ore)

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Il 98% dei siti web non tiene conto dei diritti privacy degli utenti svantaggiati
Next La Corte di Giustizia UE respinge il ricorso di WhatsApp contro l’European Data Protection Board per la maxi sanzione da 225 milioni di euro

Privacy Day Forum: il servizio di Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy