Impiegato abbocca alla mail di phishing: privacy violata per 113.000 lavoratori e multa da 5 milioni di euro

Deve essere riuscito a farsi odiare sia dall’azienda che dai suoi oltre centomila colleghi quell’ingenuo impiegato che di recente ha abboccato alla classica mail di phishing inviata da un sedicente fornitore che sollecitava il pagamento di una fattura scaduta con tanto di file allegato, che però non conteneva alcun documento amministrativo, bensì un ransomware in grado di crittografare tutti i dati presenti nei server aziendali, compresi appunto quelli del personale.

Ironia della sorte, quando il dipendente apriva la mail di phishing era il 1° di aprile, e avendo evidentemente scartato l’ipotesi che potesse trattarsi di uno scherzo, aveva prontamente girato il sollecito al suo collega dell’amministrazione sottolineando che si trattava di una fattura da pagare, ma quando quest’ultimo cliccava sul file ZIP allegato scaricandolo ed estraendone il contenuto, la frittata era ormai fatta.

Il tutto accadeva però nella più assoluta inconsapevolezza dell’impiegato, perché l’antivirus segnalava il file sospetto mettendolo in quarantena, ma il dipendente assecondava l’avviso di sicurezza proseguendo il suo lavoro senza preoccuparsi troppo.

Peccato che, anche se la rimozione del virus sembrava essere andata a buon fine, in realtà l’hacker aveva mantenuto l’accesso al pc del dipendente che in quel periodo si trovava in smart working a causa della pandemia, e nei giorni seguenti il cybercriminale disinstallava pure l’antivirus per muoversi più liberamente all’interno della rete aziendale, compromettendo 283 sistemi e 16 account in quattro domini, e riuscendo a mettere le grinfie anche su 4 database in cui erano memorizzati tutti i dati personali dei 113.000 sventurati dipendenti, comprese molte informazioni sensibili di ciascuno di essi, come le coordinate bancarie, i numeri di previdenza sociale, ed anche la loro origine etnica, l’orientamento sessuale e la religione.

Questa violazione dei dati potrebbe causare danni reali ai dipendenti, poiché li ha resi vulnerabili alla possibilità di furto di identità e frode finanziaria“, ha spiegato John Edwards, che guida l’autorità inglese per la protezione dei dati (Information Commissioner’s Office) la quale al termine dell’istruttoria su questo disastroso data breach lo scorso 24 ottobre ha reso noto di aver inflitto alla Interserve una sanzione da 4,4 milioni di sterline, pari a circa 5,1 milioni di euro.

E nel comunicato stampa pubblicato sul proprio sito istituzionale, il garante inglese si è espresso anche aspramente alludendo alla Interserve, società che nel Regno Unito opera in outsourcing come fornitore strategico del governo e tra i propri clienti annovera anche il Ministero della Difesa: “Lasciare la porta aperta ai cyber-attaccanti non è mai accettabile, soprattutto quando si ha a che fare con le informazioni più sensibili delle persone. Il più grande rischio informatico che le aziende devono affrontare non viene dagli hacker al di fuori della loro azienda, ma dalla noncuranza all’interno dell’azienda“.

Probabilmente, quelle parole messe nero su bianco dall’autorità che pesano come un macigno sulla reputazione della Interserve, sono scaturite anche dal fatto che, se da una parte la società aveva prodotto un fiume di procedure, (tra cui la policy sulla sicurezza delle informazioni, quella sulla gestione delle minacce e delle vulnerabilità, oltre a linee guida per la risposta agli incidenti ransomware, etc. etc.), nei fatti però tutto ciò serve a ben poco “se la tua azienda non monitora regolarmente le attività sospette nei suoi sistemi e non agisce in base agli avvisi, o non aggiorna il software e non fornisce formazione al personale“, come ha rimarcato lo stesso John Edwards.

Sprovveduto o incompetente quanto si voglia qualificare quell’impiegato pur di trovare un capro espiatorio, è chiaro però che in realtà il suo maldestro operato non è altro che il risultato di una gestione perlopiù burocratica dei temi della privacy e della cybersecurity che produceva tanta carta e pochi fatti.

di Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi