POSTEL - Un data breach che danneggia i tech workers
Lo scorso 15 Agosto Postel S.p.a., società del gruppo Poste Italiane, è stata vittima di un attacco ransomware. Gli hacker del gruppo Medusa, come segnalato dal DPO Christian Bernieri, hanno pubblicato dei samples e il treeview completo dei file estromessi. L’elenco, pur ristretto a informazioni inerenti i dipendenti dell’azienda, contiene di tutto: documenti di identità, attestati di idoneità fisica, adesioni sindacali, i dati per l’accesso a SPID, le informazioni di sicurezza su come interagire con i servizi software di altri gruppi/agenzie italiane.
Varie testate, come RedHotCyber, Wired e ilPost hanno pubblicato un resoconto della vicenda. Postel ha provato a rassicurare gli stakeholder, sostenendo che il breach riguarda solo dati interni, e che in ogni caso hanno dei backup degli stessi. Si tratta di una risposta del tutto insufficiente da più punti di vista.
In primo luogo è tutto da dimostrare che i dati prelevati siano esclusivamente interni: il treeview riporta esplicitamente nomi di cartelle e di file che fanno riferimento a informazioni critiche per l’interazione con i software di altri stakeholders. Inoltre il comunicato non basta a rassicurare le principali vittime del data breach, cioè i lavoratori e le lavoratrici Postel. Al netto del fatto che le misure di prevenzione e protezione dagli attacchi ransomware sono molto più articolate del semplice back-up, la diffusione delle informazioni estromesse avrebbe un impatto ben maggiore sul gruppo e sui suoi dipendenti. Per esser chiari: è davvero rassicurante dire “non vi preoccupate, abbiamo un backup”, quando si parla di abilitazioni a SPID, documenti di identità, password di account, aderenza sindacale e altro? Può bastare una nota di poche righe a rassicurare chi potrebbe a breve vedere pubblicati su internet i propri dati sensibili? Noi siamo convinti di no: è già emerso che questa comunicazione non rispetta i principi base della gestione dei data breach e non promette nulla di buono riguardo il pagamento del riscatto.
Come tech workers, riteniamo inaccettabile che un’azienda, peraltro già colpita 10 anni fa da un provvedimento del Garante della Privacy per violazione delle norme di protezione dei dati, non garantisca la sicurezza delle informazioni riservate dei propri dipendenti. La sicurezza sul luogo di lavoro è un concetto che è più ampio della salute dei dipendenti e anche la tutela dei dati che le aziende custodiscono deve farne parte, dato che la loro diffusione può compromettere l’equilibrio psicofisico della persona. Il caso di Postel dimostra che risparmiare sulla sicurezza informatica equivale a risparmiare sui dispositivi di protezione individuale o sull’ergonomia delle attrezzature; noi tech worker dobbiamo pretendere chiarezza sulle modalità di trattamento dei dati nei nostri luoghi di lavoro e segnalare alle aziende i rischi a cui siamo sottoposti.