Impiegato riceve un sollecito per una fattura scaduta ma è un virus: privacy dei dipendenti violata e sanzione all’azienda.
Un ingenuo impiegato di Interserve, una grossa società che nel Regno Unito opera come fornitore strategico del governo e tra i propri clienti, ha abboccato ad una classica mail di phishing inviata da un falso fornitore che sollecitava il pagamento di una fattura scaduta con tanto di file allegato che conteneva, invece del documento, un ransomware capace di crittografare tutti i dati presenti nei server aziendali compresi quelli del personale.
Quando il dipendente ha aperto la mail contente il malware ha scartato l’ipotesi che si potesse trattare di un messaggio nefasto per l’attività girandola così al collega dell’amministrazione sottolineando che si trattava di una fattura da pagare. Quando quest’ultimo ha cliccato sul file ZIP allegato la segnalazione dell’antivirus ha riconosciuto il file scaricato ed estratto come sospetto mettendolo in automatico in quarantena per poi proseguire con la propria mansione senza preoccuparsene troppo. Il danno, ormai, era stato fatto.
Anche se la rimozione del virus da parte del programma sembrava essere andata a buon fine in realtà l’hacker aveva mantenuto l’accesso al pc del dipendente che in quel momento si trovava in smart working a causa della pandemia e, durante i giorni seguenti, il cybercriminale ha compromesso 283 sistemi e 16 account in quattro domini e riuscendo a mettere le grinfie anche su 4 database in cui erano memorizzati tutti i dati personali dei 11300 dipendenti comprese molte informazioni sensibili di ciascuno di essi.
“Questa violazione dei dati potrebbe causare danni reali ai dipendenti, poiché li ha resi vulnerabili alla possibilità di furto di identità e frode finanziaria“, ha spiegato John Edwards, che guida l’autorità inglese per la protezione dei dati, la quale al termine dell’istruttoria su questo disastroso data breach lo scorso 24 ottobre ha reso noto di aver inflitto alla Interserve una sanzione pari a circa 5,1 milioni di euro.
Nel comunicato stampa pubblicato sul proprio sito istituzionale, il garante inglese si è espresso anche aspramente nei confronti della società: “Lasciare la porta aperta ai cyber-attaccanti non è mai accettabile, soprattutto quando si ha a che fare con le informazioni più sensibili delle persone. Il più grande rischio informatico che le aziende devono affrontare non viene dagli hacker al di fuori della loro azienda, ma dalla noncuranza all’interno della stessa“.
Probabilmente, quelle parole messe nero su bianco dall’autorità che pesano come un macigno sulla reputazione della Interserve, sono scaturite anche dal fatto che, se da una parte la società aveva prodotto un fiume di procedure, (tra cui la policy sulla sicurezza delle informazioni, quella sulla gestione delle minacce e delle vulnerabilità, oltre a linee guida per la risposta agli incidenti ransomware, etc.), nei fatti però tutto ciò serve a ben poco “se la tua azienda non monitora regolarmente le attività sospette nei suoi sistemi e non agisce in base agli avvisi, o non aggiorna il software e non fornisce formazione al personale“, come ha rimarcato lo stesso John Edwards.
“Sprovveduto o incompetente quanto si voglia qualificare quell’impiegato pur di trovare un capro espiatorio, è chiaro però che in realtà il suo maldestro operato non è altro che il risultato di una gestione perlopiù burocratica dei temi della privacy e della cybersecurity che produceva tanta carta e pochi fatti.”
Se avete dei dubbi non esitate a contattarci! Eco-Verde è una società di consulenza che offre attività di supporto, supervisione e revisione della documentazione e delle procedure aziendali che comportano il trattamento di dati personali per l’adeguamento ad una normativa in costante evoluzione, a seguito dell’entrata in vigore del GDPR.
🥚🐇Tutto lo staff di Eco-Verde augura alla gentile clientela una Buona Pasqua!🐇🥚
