Il Garante sanziona Postel: il data breach subito è la conseguenza di una vulnerabilità ignorata per un anno. Per l’azienda multa di 900.000 euro.

Il data breach di Postel

Nell’Agosto 2023, Postel ha subito un attacco informatico di tipo ransomware che ha compromesso la funzionalità dei server e di alcune postazioni di lavoro. L’incidente, avvenuto a causa di una vulnerabilità già nota, ha provocato l’esfiltrazione di file contenenti i dati personali di circa 25.000 individui. Tra i soggetti coinvolti figuravano dipendenti, ex dipendenti, loro congiunti, titolari di cariche societarie, candidati per posizioni lavorative e rappresentanti di imprese con rapporti commerciali con Postel.

I dati sottratti, in seguito diffusi anche nel dark web, includevano informazioni personali come dati anagrafici, di contatto, di accesso e identificazione, oltre a dati relativi ai pagamenti e informazioni su condanne penali e reati. Tra i dati violati vi erano anche categorie particolarmente sensibili, come l’appartenenza sindacale e informazioni sullo stato di salute.

La vulnerabilità già segnalata ma non risolta

La vulnerabilità sfruttata, anzi due, sono state CVE-2022-41040 e CVE-2022-41082. Entrambe sono vulnerabilità che affliggevano Microsoft Exchange Server. La prima è una vulnerabilità di escalaton dei privilegi, la seconda una vulnerabilità di esecuzione di codice arbitrario da remoto.

Nonostante queste vulnerabilità fossero già state segnalate per tempo, Postel non ha provveduto a implementare le misure necessarie per proteggere i propri sistemi informatici. Il primo avviso era stato inviato dal produttore del software a settembre 2022, con la disponibilità degli aggiornamenti necessari. In seguito, a novembre 2022, era poi avvenuta la segnalazione da parte dell’Agenzia per la Cybersicurezza Nazionale.

Tuttavia, la mancata applicazione dell’aggiornamento di sicurezza della piattaforma Microsoft Exchange ha lasciato i sistemi esposti per quasi un anno, evidenziando gravi carenze del processo di patching management della società.

Oltre a ciò, l’azienda non ha rispettato gli obblighi previsti dalla normativa sulla protezione dei dati personali, che richiede l’adozione di misure tecniche e organizzative adeguate al rischio. In particolare, è emersa una chiara violazione del principio di privacy by design. Questo perché l’azienda non è riuscita a garantire adeguatamente la riservatezza, l’integrità e la resilienza dei propri sistemi informatici.

Per saperne di più > Privacy by design e privacy by default: definizioni e differenze

Dal provvedimento è emerso anche che l’azienda, nella notifica del data breach fatta al Garante, non ha fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate. Questo ha inevitabilmente comportato un allungamento dei tempi per le verifiche dell’Autorità.

Il Garante sanziona Postel con 900.000 euro

Il Garante per la Protezione dei Dati Personali ha imposto a Postel Spa una sanzione amministrativa di 900.000 euro. La decisione è stata motivata dall’inerzia dell’azienda nel risolvere la vulnerabilità nota e dal conseguente grave data breach subito.

Oltre alla multa, il Garante ha ordinato a Postel di condurre un’analisi straordinaria delle vulnerabilità dei propri sistemi, di predisporre un piano per la loro gestione e di stabilire tempistiche precise per il rilevamento e la risposta ai rischi informatici.

Cosa ci insegna la vicenda del Garante che sanziona Postel

Il caso del Garante che sanziona Postel è un esempio emblematico di come una mancata gestione delle vulnerabilità informatiche possa avere ripercussioni molto gravi, non solo a livello di costi ma anche di sicurezza e protezione dati.

Questa vicenda sottolinea l’importanza cruciale di adottare un approccio strutturato e proattivo alla sicurezza informatica, in cui il patch management occupi un ruolo centrale. Una strategia efficace di gestione delle patch non è solo una buona pratica: rappresenta una linea di difesa fondamentale contro i cyberattacchi.

Gli aggiornamenti tempestivi dei sistemi informatici sono tra le misure più semplici e immediate per mitigare il rischio dello sfruttamento delle vulnerabilità. Questi, non solo proteggono dai rischi immediati, ma contribuiscono anche a costruire una cultura della sicurezza all’interno dell’organizzazione. Quando questa pratica viene integrata nei processi aziendali, oltre ad aumentare la conformità normativa, aumenta anche la capacità di prevenire attacchi futuri.

Il caso di Postel dimostra come sottovalutare queste misure possa trasformarsi in un costo elevatissimo, non solo in termini di sanzioni, ma anche per la gestione dell’incidente, il recupero dei sistemi compromessi e il danno reputazionale. Di fronte a un panorama di minacce informatiche in continua evoluzione, ogni azienda dovrebbe considerare il patch management non un’opzione, ma una necessità strategica per la protezione del proprio business.

Il provvedimento completo è consultabile qui.

Quando l’antivirus diventa un’arma: scopri come il malware sfrutta un driver legittimo per aggirare le difese di sicurezza. Proteggi il tuo sistema da attacchi BYOVD

Quando l’antivirus diventa un’arma…

Siamo abituati a pensare agli antivirus come una vera e propria barriera a difesa dei nostri computer. I ricercatori di Trellix hanno pubblicato un report tecnico che rovescia questa convinzione. Hanno cioè individuato in uso e analizzato un malware che “arma” un driver legittimo… di Avast.

In breve gli attaccanti hanno armato un driver legittimo, Avast Anti Rootkit, per terminare processi e software di sicurezza. Il malware che rilascia il driver modificato è una variante di un AV Killer; viene fornito con una lista integrata di 142 diversi processi di sicurezza di vari vendor da terminare. Il problema serio è che il driver può funzionare a livello del kernel e quindi ha accesso a “parti” critiche del sistema operativo.

I ricercatori hanno ribattezzato questo malware kill-floor.exe.

La catena di infezione

Andiamo un pò più sul tecnico e vediamo quanto descritto dai ricercatori di Trellix: qui è disponibile il report completo. Stando a quanto osservato dai ricercatori questo malware sfrutta l’approccio BYOVD – Bring-Your-Own-Vulnerable-Driver. La catena di infezione inizia con la diffusione del driver legittimo Avast Anti Rootkit sul dispositivo. l malware scarica il driver kernel legittimo come “ntfs.bin”.

Per saperne di più > Bring your own vulnerable driver: la tecnica di attacco sempre più popolare tra i cyber attaccanti

Gli attaccanti insomma non sfruttano un driver appositamente preparato. Usano anzi un driver già “fidato” perché pensato già per operare a livello del kernel. Una volta che il driver legittimo è stato scaricato, il malware usa sc.exe (Service Control Manager Configuration Tool) per creare un servizio ‘aswArPot.sys’ che registra il driver per eseguire azioni future.

A questo punto, una volta installato ed eseguito il driver, il malware con accesso a livello di kernel può terminare processi di sicurezza e assumere il controllo del sistema.

Il driver di sicurezza… che spegne gli antivirus

Come detto, il malware porta con sé una lista di 142 processi di sicurezza

Una volta creato il servizio aswArPot.sys, il malware entra in loop infinito e, per prima cosa, esegue un snapshot dei servizi attivi sul sistema. Raccoglie quindi informazioni sui processi che trova in esecuzione quindi li compara alla lista di servizi integrata. Se il malware incontra un match, crea un handle che riferisce al driver Avast installato.

Dato che i driver in modalità kernel possono sovrascrivere processi, il driver Avast procede a terminare quelli che individua nella propria lista aggirando, senza sforzo, i meccanismi difensivi comunemente utilizzati dalla maggior parte delle soluzioni antivirus e EDR.

Tra i processi di sicurezza presi di mira troviamo quelli appartenenti a soluzioni note come McAfee, Symantec, Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, Eset ecc…

Se l’antivirus diventa un’arma: casi precedenti

L’uso di driver legittimi come armi anziché strumenti di protezione non è affatto nuovo. Nel Dicembre 2021 i ricercatori scoprirono che il ransomware Cuba utilizzava uno script che abusava di una funzione presente sempre nel driver kerner Avast Anti Rootkit per terminare i processi di sicurezza sul sistema bersaglio.

Nello stesso periodo i ricercatori di SentinelOne pubblicarono informazioni relative a due vulnerabilità presenti sempre nel driver Anti Rootkit di Avast, utilizzato anche da AVG. Le vulnerabilità erano la CVE-2022-26522 e la CVE-2022-26523: entrambe potevano essere sfruttate per eseguire l’escalation dei privilegi e disabilitare, quindi, i prodotti di sicurezza.

Nel 2022 invece i ricercatori di TrendMicro denunciarono un uso del tutto identico di Avast Anti Rootkit da parte del gruppo ransomware AvosLocker.

Indicatori di compromissione

40439f39f0195c9c7a3b519554afd17a (kill-floor.exe)
a179c4093d05a3e1ee73f6ff07f994aa (ntfs.bin)

Attacchi che sfruttano driver vulnerabili: come proteggersi

Proteggersi da attacchi così insidiosi è complesso, ma possibile. Anzitutto è consigliabile utilizzare regole che indentificano e bloccano i componenti in base alle firme o agli hash. Importante è anche la scelta di soluzioni che garantiscano una blocklist di driver vulnerabili. Microsoft ha già introdotto questa blacklist che viene aggiornata a ogni rilascio di Windows. A partire da Windows 11 2022 questa lista è attiva di default su tutti i dispositivi.

La miglior difesa è comunque quella di implementare meccanismi di protezione contro gli attacchi BYOVD (Bring Your Own Vulnerable Driver). Questa tipologia d attacchi si basa proprio sull’uso illegittimo di driver legittimi ma vulnerabili e che hanno accesso a livello di kernel. Impostare quindi regole mirate per firma o hash per bloccare questi driver è fondamentale. Integrare questa regola nella soluzione antivirus o EDR garantisce che anche i driver legittimi con vulnerabilità vengano bloccati in maniera efficace.

Per approfondire > Endpoint Detection and Response (EDR) per combattere le minacce informatiche odierne

Il Garante Privacy afferma che in caso di violazione occasionale lieve, dovuta a errore umano involontario, potrà non scattare la sanzione. E’ ciò che emerge dal provvedimento n. 441/2024, grazie al quale una società di autonoleggio presso l’aeroporto di Venezia ha “scampato” la sanzione.

I fatti

Due cittadini norvegesi, in seguito ad un viaggio tra Italia e Croazia, hanno presentato un reclamo all’autorità di protezione dei dati personali norvegese. Lamentavano il fatto di aver ricevuto una multa per guida in aree non consentite da parte della polizia italiana e una contestazione per mancato pagamento di pedaggio autostradale da una società di recupero crediti. Gli stessi però, non c’entravano nulla. Avevano noleggiato una macchina durante il loro viaggio, ma non quella coinvolta nelle infrazioni. Inoltre, non si trovavano in Italia nel periodo in cui erano state commesse le violazioni.

Questo malinteso è dovuto ad un errore della società di autonoleggio presso l’aeroporto di Venezia, la quale ha associato ai due turisti norvegesi un numero di targa che non gli apparteneva. Di conseguenza, la società di autonoleggio ha comunicato, in maniera errata, alla polizia stradale e alle società delle autostrade i nomi dei due norvegesi, estranei alle violazioni.

Ovviamente, una volta appurato l’errore, le multe sono state ritirate. I due turisti hanno però deciso di presentare reclamo al Garante per la Protezione dei Dati Personali per la questione legata alla privacy dei loro dati.

Cooperazione transfrontaliera

La gestione del reclamo è stata trasferita dall’autorità norvegese al Garante italiano in conformità al meccanismo di cooperazione transfrontaliera previsto dal GDPR, in particolare dall’articolo 60.
Questo meccanismo garantisce all’interessato la possibilità di rivolgersi a un unico punto di contatto per i reclami relativi a trattamenti transfrontalieri di dati personali.

Si tratta di un meccanismo di co-decisione in cui l’Autorità capofila emette la decisione finale, previa consultazione delle altre Autorità coinvolte, per garantire consenso e coerenza.
Nel caso in questione, la procedura è stata presa in carico dal Garante italiano poiché, in base al GDPR, l’autorità capofila è quella del paese in cui si trova lo stabilimento principale del titolare del trattamento (ovvero, in questo caso, la società di autonoleggio).

La decisione del Garante

Il Garante ha accertato che il disguido era dovuto ad un errore commesso dagli operatori durante l’inserimento dei dati. Questo errore è stato definito dal Garante Privacy come un data breach. Questo perché si è verificata una comunicazione di dati non dovuta e i reclamanti non sono stati gli effettivi contravventori.

Ricordiamo infatti che, il GDPR, definisce un data breach in questo modo:

“la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Il Garante ha però fatto alcune valutazioni: si è trattato di un errore umano e di un fatto isolato. Non, quindi, di un problema informatico o operativo del sistema. Inoltre, l’autonoleggio ha subito rettificato i dati, fatto archiviare le multe e aggiornato, nel corso del provvedimento, le misure tecniche e organizzative impiegate, in modo tale da ridurre ulteriormente l’eventualità di errori simili in futuro.

A seguito di queste considerazioni, il Garante ha deciso di chiudere il caso senza adottare alcuna misura correttiva o sanzionatoria. Ha però invitato l’azienda di noleggio auto a prestare attenzione all’adeguatezza delle misure tecniche e amministrative implementate per il trattamento dei dati e, soprattutto, di garantire una formazione continua e adeguata per i dipendenti, al fine di ridurre al minimo il rischio di errori umani involontari.

Per saperne di più > Data breach: il 74% causati da errore umano

Errore umano involontario: il Provvedimento del Garante

Il provvedimento n. 441/2024 del Garante per la protezione dei dati personali introduce una novità rilevante, in linea con le indicazioni del Gruppo dei Garanti UE (EDPB). In particolare, stabilisce che, in caso di una violazione della privacy dovuta a un errore umano involontario o accidentale, come ad esempio una disattenzione da parte di un dipendente, e qualora il rischio per i diritti e le libertà degli interessati sia basso, il Garante non applicherà automaticamente una sanzione. In tali circostanze, l’autorità avrà la facoltà di decidere di non irrogare la sanzione, valutando caso per caso la situazione.

Inoltre, in casi di questo tipo, non saranno necessarie nemmeno:

• la comunicazione di data breach all’autorità di controllo;
• la comunicazione di data breach agli interessati.

Ciò che viene dichiarato nel provvedimento potrà essere applicato anche in casi simili caratterizzati da disattenzione, occasionalità, conseguenze limitate o buona fede del dipendente nel gestire la situazione.

Il provvedimento completo è consultabile qui.

Per approfondire > Notifica data breach: l’EDPB aggiorna le linee guida

Le soluzioni di patch management rappresentano un’ottima opportunità di business per i MSP. Vantaggi competitivi, fidelizzazione dei clienti, efficienza operativa migliorata e non solo. Vediamo nell’articolo cos’è il patch management e perché è promettente per i rivenditori.

Patch Management: un’opportunità per MSP

In un panorama tecnologico in continua evoluzione, il patch management diventa cruciale per garantire la sicurezza contro le minacce informatiche. L’ENISA ha rilevato che oltre il 30% degli attacchi informatici utilizza falle di sicurezza in software non aggiornati. Tuttavia, molte aziende non hanno le risorse o le competenze per mantenere i sistemi aggiornati in modo proattivo. Questo rappresenta un’opportunità di business per i Managed Service Providers (MSP), che possono offrire soluzioni automatizzate per semplificare la gestione degli aggiornamenti, ridurre il rischio di esposizione alle vulnerabilità e migliorare la sicurezza complessiva.

Per saperne di più > Prevenire i Data Breach: soluzioni concrete per la sicurezza

Cos’è il Patch Management e perché è così importante per un’azienda?

Il Patch Management è un vero e proprio “kit di pronto soccorso” che mira ad equilibrare la sicurezza informatica con le esigenze operative aziendali.

Quando emergono vulnerabilità sconosciute nei sistemi IT, i criminali informatici possono sfruttarle per attacchi mirati e per diffondere malware. Gli analisti di sicurezza di Google Mandiant hanno rilevato che gli aggressori hanno capacità sempre maggiori di individuare vulnerabilità sconosciute nei software. Un ulteriore aspetto negativo di questo tipo di minacce, chiamate vulnerabilità 0-day, è che gli attaccanti impiegano solamente 5 giorni per sfruttare una vulnerabilità appena divulgata. Per contrastare queste minacce, i fornitori di software rilasciano aggiornamenti correttivi, noti come ‘patch’. Per citare un esempio, attacchi come il famoso ransomware WannaCry sono stati possibili grazie alla mancata applicazione di una patch critica di Microsoft.

Senza aggiornamenti tempestivi, le aziende rischiano di essere vulnerabili a tali minacce che potrebbero causare danni irreparabili, sia in termini di dati che di reputazione. Di conseguenza, per le aziende. diventa imprescindibile implementare una strategia di patch management efficace che sia proattiva e non reattiva.

Per saperne di più > Le vulnerabilità 0-day sono il 70% di quelle individuate nel 2023. Parola di Google

A cosa serve il Patch Management?

Il patch management è fondamentale per le aziende per diverse ragioni:

• risoluzione di vulnerabilità: le patch correggono vulnerabilità conosciute, impedendo che vengano sfruttate dagli attaccanti;
• riduzione del rischio: l’applicazione regolare delle patch riduce significativamente il rischio di attacchi informatici, poiché i sistemi non aggiornati sono bersagli ideali per gli attaccanti;
• conformità normativa: subire attacchi informatici può comportare gravi conseguenze economiche, tra cui multe salate. Una corretta gestione delle patch non solo previene tali attacchi, ma assicura anche la conformità al GDPR, proteggendo i sistemi aziendali da vulnerabilità.
• continuità operativa: le patch garantiscono il corretto funzionamento delle infrastrutture, evitando interruzioni o danni ai servizi aziendali;
• protezione della reputazione: una gestione adeguata delle patch dimostra l’impegno nella sicurezza dei dati dei clienti, proteggendo così la reputazione dell’azienda;
• risparmio a lungo termine: prevenire gli attacchi attraverso una gestione tempestiva delle patch è più economico rispetto ai costi derivanti da un attacco informatico.

Perché diventare MSP di soluzioni di patch management è un’ottima idea?

Diventare Managed Service Provider (MSP) di soluzioni di patch management offre numerosi vantaggi. Ecco i principali:

Mercato in crescita e alta domanda

La gestione delle patch è una delle pratiche di sicurezza IT fondamentali per le aziende di tutte le dimensioni. Con l’aumento delle minacce informatiche e l’introduzione di normative come il GDPR, molte organizzazioni sono obbligate a implementare soluzioni di patching regolari per evitare di subire attacchi. Essere un rivenditore o MSP di soluzioni di patch management ti permette di soddisfare una necessità crescente di sicurezza IT, che rende il servizio altamente richiesto e di offrire ai tuoi clienti un servizio fondamentale per la loro protezione.

Opportunità di entrate ricorrenti

Le soluzioni di patch management generano entrate ricorrenti. Questo ti consente di creare una base stabile di clienti che paga per l’uso continuativo del servizio.

Fidelizzazione del cliente

Le soluzioni di patch management non sono un prodotto che viene acquistato e dimenticato. Le aziende hanno bisogno di applicare regolarmente gli aggiornamenti per mantenere i loro sistemi sicuri e conformi. Come rivenditore o MSP, questo crea opportunità di:

• fidelizzare i clienti, offrendo supporto continuo e gestione regolare delle patch;
• espandere i servizi attraverso pacchetti di assistenza o soluzioni complementari, aumentando così il valore che puoi offrire ai tuoi clienti.

Vantaggio competitivo

Offrire soluzioni di patch management come parte del portafoglio di servizi consente agli MSP di differenziarsi dalla concorrenza. È possibile presentare questo servizio come un valore aggiunto che protegge l’infrastruttura IT e ottimizza le risorse dei clienti.

Miglioramento dell’efficienza operativa

Le soluzioni moderne di patch management sono automatizzate, il che significa che i clienti non devono gestire manualmente gli aggiornamenti. Come MSP, questo ti consente di:

• gestire più clienti contemporaneamente senza aumentare proporzionalmente il carico di lavoro, grazie all’automazione e alla centralizzazione;
• ridurre i costi operativi e migliorare la produttività, poiché il processo di gestione delle patch diventa più snello e veloce.

La soluzione di Patch Management di Seqrite

I prodotti Seqrite includono funzionalità avanzate di patch management, progettate per risolvere con successo le vulnerabilità delle applicazioni, tra cui i prodotti Microsoft. Rivendendo le soluzioni Seqrite, offrirai ai tuoi clienti una piattaforma centralizzata per la gestione delle patch, semplificando l’amministrazione e aumentando la produttività.

Oltre al patch management, le soluzioni Seqrite integrano anche altre misure di sicurezza, come firewall, antivirus e sistemi di rilevamento delle intrusioni. Questa protezione a più livelli assicura una difesa completa e robusta per l’infrastruttura IT aziendale, migliorando la sicurezza complessiva.

Attacchi ransomware 2024: il secondo quadrimestre ha fatto registrare un continuo aumento. A livello globale, rispetto al 2022, l’incremento è del 98,75%. Nell’articolo vediamo le statistiche, la distribuzione degli attacchi e come proteggersi.

Attacchi ransomware 2024: il Report di Ransomfeed

Ransomfeed, la piattaforma che monitora in modo continuo i gruppi ransomware per rilevare tutte le rivendicazioni pubblicate dai vari criminali, ha pubblicato il report del secondo quadrimestre 2024.

Per realizzarlo, ha raccolto i dati degli attacchi ransomware attraverso uno scraping periodico da fonti riconosciute nel dark web e dai leak site dove i gruppi ransomware pubblicano le rivendicazioni dell’attacco. Ha innanzitutto effettuato un’analisi globale, per poi analizzare in particolare l’Italia.

Complessivamente, sono stati monitorati 208 gruppi criminali operanti a livello globale. Le rivendicazioni degli attacchi ransomware sono state 1747, di cui 58 nel territorio italiano. Il mese di Maggio ha fatto registrare il picco, con un totale di 557 attacchi, seguito da Agosto (446), Luglio (405) e Giugno (339).

Per approfondire > Ransomware e data breach: cosa succede quando un attacco informatico “buca” un’organizzazione

Il ransomware nel mondo

Nel secondo quadrimestre 2024, la regione nord-occidentale del mondo si mostra la più colpita dai ransomware. Rimane quindi invariata la distribuzione geografica degli attacchi rispetto ai quadrimestri precedenti.

A livello globale, emerge chiaramente che l’impatto del conflitto tra Israele e Palestina ha contribuito all’aumento di attacchi registrati nei Paesi che supportano una delle due fazioni. Molti gruppi criminali sono nati in risposta all’ideologia politica di una delle due parti.

Gli Stati Uniti si aggiudicano il primo posto nella triste classifica delle vittime, rappresentando una quota significativa degli attacchi, ovvero il 48% del totale. A seguire troviamo il Regno Unito, con un 6,1% e il Canada con il 5,5%, L’Italia si aggiudica il 4° posto, con il 3,3% di attacchi subiti.

Questi Paesi rappresentano gli obiettivi privilegiati degli attaccanti perché sono sede di importanti attività economiche e dispongono di infrastrutture tecnologiche avanzate.

Proseguendo la lista, in ordine di numero di attacchi, nella top ten troviamo Germania, Spagna, Francia, Brasile, India, Israele e Australia. Come nei quadrimestri precedenti, anche in questo caso c’è però un ampio divario tra gli Stati Uniti e il resto del mondo. Non c’è da stupirsi: questo fenomeno riflette la maggior concentrazione di infrastrutture industriali e aziendali rispetto agli altri paesi.

Confrontando i dati con gli anni precedenti, emerge un trend in costante crescita. Se rispetto al 2023 l’incremento è stato “solo” dell’1,28%, rispetto al 2022 l’incremento ha raggiunto il 98,75%.

Le organizzazioni governative, le istituzioni educative e i servizi terziari, grazie alla loro centralità nel tessuto socio-economico, sono tra i bersagli preferiti dei criminali e testimoniano un incremento degli attacchi.

Attacchi ransomware 2024 in Italia

Nel territorio italiano sono stati registrati ben 58 attacchi, che equivalgono a un attacco ogni due giorni. Questi dati testimoniano un incremento di quasi il 100% rispetto al secondo quadrimestre del 2022.

Per quanto riguarda l’Italia, i settori maggiormente colpiti sono quelli dell’industria e del commercio. A seguire troviamo poi i settori della tecnologia, consulenza, dell’istruzione e dei servizi.

Per quanto riguarda la distribuzione geografica degli attacchi, l’attenzione dei criminali informatici è spesso rivolta al nord Italia. Un dato, questo, che si conferma costante nel tempo.

La mappa è disponibile cliccando qui.

Per approfondire > Subire un attacco ransomware non esime dalle responsabilità di protezione dati: il Garante Privacy sanziona la regione Lazio

E’ necessario un approccio proattivo alla sicurezza informatica

Questa tendenza rappresenta un segnale allarmante che evidenzia non solo la costante crescita degli attacchi ransomware, ma anche l’evoluzione delle tattiche e delle strategie adottate dai criminali informatici. L’analisi dei dati nel corso degli anni mostra che, sebbene gli attacchi siano in continuo aumento, il ritmo di crescita non è uniforme. L’incremento significativo registrato tra il 2022 e il 2024 segnala un’escalation particolarmente preoccupante negli ultimi due anni.

Analizzando i dati, emerge un’insufficiente consapevolezza delle minacce informatiche, sia tra le aziende che tra le istituzioni pubbliche e ciò si traduce spesso in una mancata adozione delle corrette misure di sicurezza. Nonostante il report sottolinei che i settori chiave dell’economia sono i bersagli privilegiati, gli investimenti in sicurezza informatica sono ancora scarsi e molte aziende non proteggono le loro infrastrutture in maniera adeguata.

Per fronteggiare questo tipo di minacce, è fondamentale che le aziende investano nella formazione del personale e nell’adozione di un approccio proattivo alla sicurezza, che non si limiti a reagire alle minacce ma le prevenga attraverso tecnologie avanzate dotate di AI e Machine Learning.

Per saperne di più > Tecniche di estorsione dei Ransomware: evoluzione e nuove frontiere

Proteggersi dai ransomware: step basilari

Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

• Predisponi un piano di backup. E’ fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
• Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso: le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
• Scegli una solida soluzione antivirus e mantienila sempre aggiornata: sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
• Adotta l’approccio zero trust: applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le autorizzazioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai sì che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili. Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
• Evita di scaricare file o cliccare su link contenuti nelle email. Spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, anzi. L’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine, non abilitare mai le macro contenute nei documenti circolanti via email. A meno che non ci sia l’assoluta certezza della legittimità della comunicazione. Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
• Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
• Implementa un modello di sicurezza stratificato (multi livello). Nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
  > sicurezza delle reti e dei server;
  > gestione degli endpoint;
  > gestione dei dispositivi mobile. Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
• Implementa sistemi di protezione preventiva: come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
• Adotta un SOC – Security Operation Center: un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette. Per approfondire > SOC – Security Operation Center: che cosa, perché, come attacchi ran

Il Data Protection Officer (DPO) è la figura professionale che si occupa di gestire e tutelare i dati personali di un’organizzazione. Scopriamo che cosa fa e il servizio DPO di GDPRlab

Chi è il DPO e quali sono i suoi compiti?

Nell’Articolo 37 del GDPR viene introdotto il DPO (Data Protection Officer), in italiano Responsabile della Protezione dei Dati, ovvero la figura professionale che si occupa dell’adempimento degli obblighi normativi ma soprattutto di tutelare il titolare e/o responsabile nel preservare i dati aziendali. La sua funzione è quella di affiancare il titolare e il responsabile del trattamento nella conservazione dei dati e gestione dei rischi in conformità con il Regolamento europeo.

Lo scopo del DPO non è quello di terrorizzare l’azienda minacciandola che arriveranno delle sanzioni, ma di facilitare il processo di autoconsapevolezza del cliente.

I compiti del DPOsono indicati nell’Articolo 39 del GDPR e possono essere ricondotti a tre attività:

• attività di sorveglianza: il DPO verifica l’implementazione di adeguate misure di sicurezza di tipo tecnico, organizzativo e documentale. Inoltre, identifica le criticità e propone correzioni o miglioramenti continui per garantire il rispetto delle normative e la protezione dei dati in una logica di accountability;
• attività di supporto: fornisce pareri e consulenze al titolare del trattamento su questioni specifiche relative alla gestione dei dati personali;
• attività informative: promuove e coordina le iniziative volte a sensibilizzare e formare tutti i soggetti coinvolti nel trattamento dei dati personali.

Di conseguenza, il DPO non solo consiglia e sorveglia, ma rappresenta anche un consulente tecnico e legale con potere esecutivo.

Inoltre, come indicato nell’Art. 39 del GDPR, il Data Protection Officer deve avere competenze giuridiche approfondite in modo tale da essere informato sulle normative e prassi in fatto di privacy. È cruciale privilegiare individui che possiedano una vasta gamma di conoscenze, in grado di affrontare la complessità del ruolo.

Per saperne di più > Data Protection Officer (DPO): chi è, che cosa fa, perché serve

Per quali organizzazioni è obbligatorio nominare un DPO?

In determinate circostanze è obbligatorio nominare un DPO. In particolare, è sempre necessario se si tratta di un ente pubblico o parapubblico (ovvero aziende private con una determinata percentuale di partecipazione dello Stato, ad esempio gli ospedali regionali). Sono escluse le autorità giurisdizionali nel momento in cui esercitano le loro funzioni giurisdizionali.

Nel caso di soggetti privati invece, la nomina dipende da alcune condizioni. E’ necessaria quando sono presenti:

• trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• trattamenti su larga scala di dati particolari (ad esempio quelli che riguardano la salute) o relativi a condanne penali e reati.

Tra queste casistiche rientrano:

• imprese assicurative
• istituti di credito
• sistemi di informazione creditizia
• società finanziarie, di informazione commerciale, di revisione contabile, di recupero crediti
• istituti di vigilanza
• partiti politici
• CAF e patronati
• società che operano nel settore delle utilities (telecomunicazioni, energia elettrica e gas)
• imprese di somministrazione lavoro o ricerca di personale
• ospedali privati
• terme
• laboratori di analisi mediche e riabilitazione
• società di call center, di servizi informativi e televisivi a pagamento
• hosting di posta e società di informatica

Ad ogni modo, il Garante Privacy ritiene che la nomina del DPO sia sempre opportuna, anche laddove non obbligatoria. Questo perché il Data Privacy Officer rappresenta un elemento fondante ai fini della responsabilizzazione, aumenta il margine competitivo delle imprese, facilita l’osservanza della normativa e funge da interfaccia tra i soggetti coinvolti (autorità di controllo, interessati, ecc…).

Va inoltre ricordato che, in caso di controlli, il titolare del trattamento è obbligato a dimostrare di aver valutato se nominare il DPO e perché ha deciso di non farlo.

Conseguenza della mancata nomina del DPO

Nel caso in cui un’organizzazione obbligata alla nomina decida di non farlo, le sanzioni possono arrivare a 10 milioni di euro o al 2% del fatturato annuo globale. La mancata nomina del Data Protection Officer (DPO) comporta quindi l’irrogazione di sanzioni ingenti. Diverse aziende sono già state sanzionate in seguito a tale violazione.

Per approfondire > Nomina DPO: azienda tedesca sanzionata per DPO in conflitto d’interessi

Data Protection Officer: interno o esterno all’azienda?

Il GDPR non vieta che il ruolo di DPO sia affidato a soggetti interni all’azienda. Ciò che viene però specificato è che non deve sussistere nessun conflitto di interesse tra questo ruolo e i compiti e le funzioni “ordinarie” svolte all’interno dell’organizzazione.

Questo significa che il DPO deve essere in grado di operare in modo indipendente, autonomo e neutrale, senza che le sue responsabilità di protezione dei dati vengano influenzate o compromesse da altri ruoli o interessi all’interno dell’azienda.

In situazioni in cui l’organizzazione è di piccole dimensioni o ha risorse limitate, potrebbe essere difficile trovare un DPO interno che possa dedicarsi esclusivamente a questo ruolo. Per questo, potrebbe essere preferibile ricorrere a un DPO esterno.

Per approfondire > Nominano DPO il responsabile Affari Generali: il Garante Privacy sanziona il comune di Villabate

Il servizio DPO di GDPRLab

Alla luce di queste considerazioni, GDPR Lab si occupa di svolgere l’attività di DPO per i clienti che ne hanno bisogno e anche di provvedere alla registrazione della nomina sul sito del Garante Privacy.

Attraverso il servizio DPO GDPRLab garantisce supporto continuo nella gestione della conformità al GDPR e tutti gli adempimenti privacy necessari. I DPO si occupano di valutare la tua organizzazione, di mappare i trattamenti dei dati personali, i rischi connessi e di aiutarti ad adeguare la tua organizzazione agli obblighi previsti dal GDPR.

I DPO di GDPRLab, attraverso una consulenza tecnico-informativa, ti forniscono le informazioni necessarie per garantire la conformità della tua organizzazione alla normativa privacy e mantenerla nel tempo.

I nostri DPO sono certificati Accredia UNI 11697:2017

Le principali attività dei DPO di GDPRLab sono le seguenti:

• cooperazione con l’Autorità di Controllo e con gli interessati del trattamento;
• valutazione di impatto sulla protezione dei dati (DPIA): vengono analizzati tutti i rischi connessi ai trattamenti e previste misure di mitigazione per gestire i rischi;
• gestione violazione dei dati personali (Data Breach): i DPO forniscono l’assistenza necessaria per notificare alle autorità competenti l’accaduto e per gestire il rapporto con gli interessati a cui sono stati esposti i dati;
• gestione delle richieste di esercizio dei diritti da parte degli interessati: supporto e definizione delle procedure interne e preparazione e gestione dei moduli di richiesta;
• supporto all’implementazione e manutenzione di un sistema di governance privacy;
• mappatura delle attività di trattamento dei dati;
• definizione della struttura organizzativa e delle figure incaricate al trattamento dei dati;
• redazione di tutta la documentazione privacy necessaria;
• conformità della tua azienda alla direttiva NIS 2.

Data breach ad Amazon: esposti milioni di record dei dipendenti tramite un fornitore. Vediamo rischi, conseguenze e come proteggersi dagli attacchi supply chain.

Il data breach ad Amazon

Amazon ha subito un data breach a causa di una violazione della sicurezza che ha coinvolto la supply chain cioè un fornitore. Nam3L3ss, l’attore della minaccia, avrebbe sfruttato una vulnerabilità critica in MOVEit, software di trasferimento file, riuscendo ad avere quindi accesso ai dati di Amazon (e di moltre alte aziende). Il numero esatto dei dipendenti Amazon interessati non è stato reso noto, anche se, stando alla rivendicazione dell’aggressore, il database messo in vendita dovrebbe contenere oltre 2,8 milioni di record.

L’incidente, come anticipato, sembra essere legato al software di trasferimento file MOVEit. In particolare, pare sia stata sfruttata la vulnerabilità CVE-2023-34362 dell’applicazione web di MOVEit Transfer. Questa CVE in realtà era già nota ed è stata utilizzato per la prima volta già nel Maggio 2023. Questa vulnerabilità ha permesso di organizzare attacchi alla supply chain che hanno compromesso oltre 1.000 organizzazioni a livello globale. Tra i primi a sfruttare questa vulnerabilità figura il gruppo dietro il ransomware Clop.

Per approfondire > La gestione della catena esterna della Data Protection

Nam3L3ss rivendica il data breach ad Amazon su Breach Forums

Nam3L3ss avrebbe rivendicato il data breach ad Amazon su Breach Forums, un popolare forum di rivendita dati rubati. Il database messo in vendita includerebbe indirizzi e-mail aziendali, numeri di telefono fissi e altre informazioni legate al lavoro. I record contengono campi come: last_name, first_name, display_name, cost_center_code, cost_center_name, phone, email, e title.

Va detto comunque che, stando a quanto dichiarato dall’attaccante, i dati esposti sarebbero ben più dei 2.8 milioni di record già citati. Ma non ha indicato un numero preciso. Sicuramente infatti il data breach riguarda più aziende: anche Lenovo, HP, TIAA, Schwab, HSBC, Delta, McDonald’s risultano riguardate dal breach.

Nel messaggio pubblicato, l’attaccante ha evidenziato anche il livello di dettaglio dei dati rubati. Nel post si legge:

“Ragazzi, fate attenzione, queste sono le directory dei dipendenti aziendali, alcuni siti includono la struttura organizzativa ecc.”.

Nam3L3ss non è una figura nuova nella comunità della criminalità informatica: è già noto per l’estrazione di dati dalle aziende tramite incidenti ransomware o accesso non autorizzato a database esposti.

La risposta di Amazon

Adam Montgomery, il portavoce dell’azienda, ha dichiarato che i sistemi di Amazon restano sicuri e non sono stati rilevati eventi di sicurezza interni. Un fornitore terzo, che si occupa della gestione immobiliare, ha però subito una violazione che ha interessato diversi clienti, tra cui anche Amazon. Ha poi spiegato che i dati coinvolti riguardano esclusivamente informazioni di contatto lavorative dei dipendenti, come indirizzi e-mail aziendali, numeri di telefono fisso e ubicazioni degli edifici. Non sono stati esposti, invece, dati personali sensibili e informazioni finanziarie, poiché tali dati non erano accessibili al fornitore coinvolto.

Data breach ad Amazon… ma non solo!

Bleeping Computer ha riportato che il data breach non vede coinvolta solo Amazon, ma anche molti altri colossi. Nell’elenco delle aziende riguardate troviamo nomi di peso come McDonald’s, Schwab, HSBC e molti altri. Vediamoli tutti con i rispettivi record rubati:

• MetLife — 585,130 record
• Cardinal Health — 407,437 record
• HSBC — 280,693 record
• Fidelity (fmr.com) — 124,464 record
• U.S. Bank — 114,076 record
• HP — 104,119 record
• Canada Post — 69,860 record
• Delta Airlines — 57,317 record
• Applied Materials (AMAT) — 53,170 record
• Leidos — 52,610 record
• Charles Schwab — 49,356 record
• 3M — 48,630 record
• Lenovo — 45,522 record
• Bristol Myers Squibb — 37,497 record
• Omnicom Group — 37,320 record
• TIAA — 23,857 record
• UBS — 20,462 record
• Westinghouse — 18,193 record
• Urban Outfitters (URBN) — 17,553 record
• Rush University — 15,853 record
• British Telecom (BT) — 15,347 record
• Firmenich — 13,248 record
• City National Bank (CNB) — 9,358 record
• McDonald’s — 3,295 record

Cosa rischiano le aziende riguardate dal data breach?

Quando un fornitore subisce un data breach, le aziende clienti, come Amazon e altre, si trovano a dover affrontare gravi rischi nonostante non abbiano responsabilità dirette nella violazione. I dati sottratti, come credenziali di accesso, dettagli finanziari o informazioni personali dei clienti, possono essere sfruttati per una varietà di attacchi informatici. Tra i rischi più concreti:

1. Phishing mirato: con le informazioni rubate, i criminali possono inviare email o messaggi altamente personalizzati, ingannando gli utenti e convincendoli a fornire ulteriori dati sensibili o a eseguire transazioni fraudolente.
2. Frode finanziaria: dati bancari o di pagamento rubati possono essere utilizzati per effettuare acquisti non autorizzati, svuotare conti o orchestrare altre truffe economiche.
3. Attacchi business email compromise (BEC): le informazioni aziendali sottratte possono servire per impersonare dirigenti o dipendenti, convincendo partner o fornitori a effettuare bonifici fraudolenti o a condividere informazioni strategiche.
4. Danni reputazionali: i clienti finali, venendo a conoscenza della violazione, potrebbero perdere fiducia nell’azienda che si avvale del fornitore compromesso, associando l’evento a una mancanza di sicurezza o vigilanza.

In uno scenario simile, le aziende rischiano anche procedimenti legali o multe se i dati non erano adeguatamente protetti secondo le normative come il GDPR, e possono trovarsi a dover giustificare il proprio processo di selezione e monitoraggio dei fornitori. La sicurezza della supply chain non è solo una questione tecnica, ma una priorità strategica per tutelare il business e i clienti.

Come proteggersi da questo tipo di attacchi? Il Controllo dei fornitori

L’incidente descritto evidenzia come le vulnerabilità nei servizi di terze parti possano compromettere anche i sistemi aziendali più sicuri, mettendo a rischio le operazioni quotidiane di imprese che si affidano a fornitori esterni per soddisfare specifiche esigenze operative. Per prevenire il verificarsi di attacchi simili, la selezione dei fornitori gioca un ruolo fondamentale nella gestione della sicurezza aziendale. È essenziale scegliere aziende che implementino misure di sicurezza all’avanguardia e adottino un approccio proattivo nella protezione delle loro infrastrutture digitali. La vigilanza continua e il monitoraggio delle pratiche di sicurezza dei fornitori sono imprescindibili.

Per approfondire > La catena della privacy nel contratto software

Ecco alcune azioni fondamentali:

• Clausole contrattuali di sicurezza: includere nei contratti con i fornitori requisiti di sicurezza chiari, misurabili e specifici, che coprano la protezione dei dati, la gestione delle vulnerabilità e le modalità di intervento in caso di attacco;
• Audit periodici: effettuare regolari audit sui fornitori per verificare che rispettino gli standard di sicurezza e gli obblighi contrattuali. Questo aiuta a identificare eventuali aree vulnerabili prima che possano essere sfruttate;
• Penalità per non conformità: prevedere penalità o clausole risolutive per i fornitori che non rispettano gli obblighi di sicurezza, incentivando così una gestione responsabile e tempestiva della sicurezza.

Aumento del phishing: gli attacchi sono finalizzati soprattutto al settore finanziario ed e-commerce. L’80% delle risorse false create usa marchi di aziende note.

Allarmante aumento del phishing e nuove tecnologie criminali

FACCT, azienda specializzata in tecnologie di cybersecurity, ha riportato un incremento notevole delle risorse di phishing che usano i marchi di note organizzazioni finanziarie per truffare le vittime. Nella prima metà del 2024, le truffe di phishing sono aumentate del 48,3% rispetto al 2023. Secondo gli analisti di F.A.C.C.T., questo è dovuto all’automazione delle attività illecite e all’impiego dell’intelligenza artificiale.

Quasi l’80% di tutte le risorse false create usa marchi di aziende note. Per rilevarlo è stato utilizzato uno dei programmi di affiliazione fraudolenti. Gli attacchi sono mirati soprattutto ai settori finanziario ed e-commerce.

Per saperne di più > Phishing adattivo: un fenomeno in crescita anche in Italia

Aumento del phishing nel settore finanziario

Guardando al settore finanziario, nella prima metà del 2024 i criminali hanno creato il 48,3% in più di risorse di phishing rispetto al 2023. Il numero medio di minacce di questo tipo per marchio di società cliente è passato da 495 a 734. Ogni giorno, gli aggressori creano in media 4 risorse di phishing per ogni marchio. Tra queste, il 94% è progettato per rubare i dati delle carte bancarie, mentre il 6% punta alle credenziali dell’account.

Il numero di truffe finalizzate a sottrarre pagamenti che utilizza marchi del settore finanziario è aumentato del 29,4%. Il numero di minacce di questo tipo per marchio è passato da 2.026 a 2.621. In media, ogni marchio è bersagliato da 14 nuove risorse false al giorno, composte per il 70% da siti web. Seguono poi account, bot di messaggistica, app mobili e offerte su siti di annunci.

Aumento del phishing nel settore dell’e-commerce

La situazione è simile nel settore dell’e-commerce. Il numero di risorse di phishing create nella prima metà del 2024 che utilizzano i marchi delle aziende di e-commerce è aumentato del 33,7% rispetto allo stesso periodo dell’anno precedente. Tra queste risorse, il 98% è progettato per rubare i dati delle carte bancarie. Il resto, invece, è progettato per rubare le credenziali dell’account personale di un cliente.

Anche la società di trading ne è stata interessata. Le truffe create sotto l’apparenza di società di trading online sono aumentate del 20,7%. Il numero di minacce per marchio è passato da una media di 1105 a 1333, con un massimo di 7 risorse false create al giorno. Il 63% delle risorse fraudolente sono siti web, seguiti da gruppi e account social, canali e bot di messaggistica, offerte su siti di annunci e app per dispositivi mobili.

Aumento del phishing e nuove strategie criminali

Gli esperti credono che l’aumento del numero di minacce sia dovuto allo sviluppo di programmi di affiliazione e di grandi schemi fraudolenti che coinvolgono centinaia di partecipanti (e in alcuni casi migliaia).

Per attirare il pubblico verso questo tipo di risorse, gli attaccanti non si limitano a creare siti web che imitano marchi reali, ma creano anche account falsi sui social network e sulla messaggistica istantanea, nei quali pubblicano notizie fasulle.

Gli esperti ritengono che, oggi, i criminali informatici non abbiano più bisogno di competenze tecniche avanzate. Tutti i servizi necessari sono disponibili in modo semplice e accessibile attraverso programmi di affiliazione “one-stop” o tramite bot specializzati su Telegram.

Come difendersi dal phishing

Proteggersi dal phishing richiede una combinazione di formazione e soluzioni di sicurezza avanzate.

Formazione del personale

Come evidenziato nel Data Breach Investigation Report 2024, l’essere umano spesso è l’anello debole della sicurezza informatica. Gli attacchi di social engineering sfruttano proprio l’incapacità di riconoscere le minacce, giocando su emozioni come urgenza e paura per indurre le vittime a compiere azioni rischiose, come inviare denaro o condividere credenziali sensibili.

È quindi essenziale che individui e dipendenti conoscano i comportamenti da evitare per difendersi dalle truffe. Ad esempio:

• non cliccare su link o file sospetti da mittenti sconosciuti di cui non si conosce l’affidabilità;
• prestare attenzione a email con domini simili a quelli ufficiali;
• utilizzare, dove possibile, l’autenticazione a due fattori (2FA) in modo tale che, anche se un attacco di phishing va in posto, l’attaccante avrà meno probabilità di riuscire a compromettere gli account e i conti correnti.

Per le aziende è consigliabile una formazione mirata, che permetta ai dipendenti di riconoscere un’email di phishing nel momento in cui la ricevono, così come quali misure attuare.

Campus Digitale è una scuola di formazione online che offre corsi di sicurezza informatica e privacy per tutti i livelli, dai principianti agli esperti. Scopri Campus Digitale > https://campusdigitale.online/

Soluzioni di sicurezza

Come anticipato, è necessario affiancare alla formazione misure di sicurezza in grado di rispondere efficacemente alle minacce informatiche. Innanzitutto, è necessario dotarsi di un antivirus che presenti funzionalità anti-phishing (per rilevare e bloccare i tentativi di furto di credenziali via link e email), anti-spam (per filtrare i messaggi indesiderati e potenzialmente pericolosi), protezione alla navigazione (per bloccare i siti web e download pericolosi) e protezione email (per prevenire l’apertura di contenuti dannosi).

Scopri l’antivirus Quick Heal Total Security > https://quick-heal.it/quick-heal-total-security/

Inoltre, essendo che gli attacchi di phishing mirano a rubare le credenziali degli utenti per esporle e rivenderle nel dark web, è necessario dotarsi di una soluzione che permetta di individuare in tempi brevi le violazioni dei dati. Sticky Password offre una protezione attiva contro le violazioni, avvisandoti quando le tue credenziali sono a rischio. In questo modo, puoi aggiornare le password compromesse prima che i malintenzionati accedano ai tuoi account.

Scopri Sticky Password > Proteggiti con il monitoraggio del Dark Web 

Ma non è finita qui: l’approccio reattivo alle minacce è ormai superato e non più sufficiente! Per combattere il phishing, è fondamentale dotarsi di soluzioni avanzate e innovative che ti permettano, attraverso l’utilizzo dell’Intelligenza Artificiale, di rilevare in maniera preventiva e proattiva le minacce informatiche. Le soluzioni EDR- Endpoint Detection and Response vanno oltre la mera prevenzione, offrendo funzionalità avanzate di individuazione, analisi e risposta automatica.

Per saperne di più > Perchè l’Endpoint Detection and Response (EDR) è il futuro della sicurezza per gli endpoint

Proteggiti con Seqrite EDR > https://www.seqrite.com/endpoint-detection-response-edr

Valutazione d’impatto sulla protezione dei dati (DPIA): la valutazione d’impatto e il rischio del trattamento. Che cosa è, di chi è responsabilità e chi ha l’obbligo di farla?

DPIA: cosa è?

La Valutazione di impatto sulla protezione dei dati (DPIA dall’inglese Data Protection Impact Assessment) è uno strumento previsto esplicitamente dall’art. 35 del GDPR. Lo scopo della DPIA è quello di delineare un trattamento di dati, valutarne necessità, proporzionalità e gestire gli eventuali rischi ai diritti e alla libertà ai quali il trattamento può esporre gli interessati. Emerge quindi come il primo step, necessario, sia quello di individuare, analizzare, stimare i rischi e predisporre idonee misure di minimizzazione del rischio. Infatti la DPIA va effettuata in maniera preventiva, prima cioè di avviare il trattamento dati.

Il GDPR, da questo punto di vista, sposta tutta la responsabilità sul titolare del trattamento. E’ questa la figura che deve gestire i rischi potenziali legati ad uno specifico trattamento. Una grande differenza rispetto al passato, dove invece era necessaria un’autorizzazione preventiva al trattamento dati concessa dall’Autorità di Controllo.

Ciò non impedisce però l’affidamento dello svolgimento della DPIA ad un soggetto diverso, anche nel caso in cui questo sia terzo rispetto all’azienda. Il titolare del trattamento resterà responsabile dello stesso e dovrà vigilare lo svolgimento della DPIA, ma potrà avvalersi dei servizi di un responsabile IT oppure di un Data Protection Officer (DPO).

Valutazione di impatto sulla protezione dei dati (DPIA): perché?

La valutazione del rischio ha lo scopo di portare il titolare a individuare, in autonomia e correntemente al principio di accountability, se sussistono o meno rischi elevati conseguenti ad un dato trattamento. Se infatti, da un trattamento dati, possono derivare rischi per le libertà e i diritti degli interessati, il titolare avrà la responsabilità di individuare e approntare misure specifiche per minimizzare o eliminare tali rischi.

Qualora e solo nel caso in cui il titolare del trattamento non dovesse trovare misure idonee di eliminazione o minimizzazione del rischio, dovrà consultare il Garante per la protezione dei dati personali.

DPIA: un consiglio utile
E’ utile ricordare che la DPIA può riguardare un singolo trattamento, ma anche più trattamenti. Purchè questi, ovviamente, siano simili. Un caso classico? Un gruppo di società diverse che utilizzano simile tecnologia per la stessa raccolta dati e per un trattamento che abbia me medesime finalità. Insomma non è necessario svolgere una nuova DPIA se l’impatto e i rischi derivanti da un determinato trattamento sono già stati analizzati e valutati da altri soggetti.

Per saperne di più> L’analisi del rischio e il principio di accountability

In quali casi è un obbligo legale?

Premesso che una valutazione d’impatto è sempre utile per avere maggiore consapevolezza rispetto ai trattamenti dati in essere, l’art 35 dettaglia i casi nei quali la DPIA è obbligatoria. In dettaglio, il paragrafo 3 elenca questi casi:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

In concreto, i casi più comuni di trattamento che richiede la DPIA sono quei trattamenti che:

• si basano su decisioni automatizzate (tracciamento online);
• prevedono un monitoraggio costante (geolocalizzazione);
• prevedono di trattare dati su larga scala (videosorveglianza);
• hanno scopo valutativo (affidabilità creditizia, scoring bancario – finanziario ecc…)
• trattano dati di soggetti vulnerabili (ad esempio minori);
• confrontano basi di dati (machine learning in uso per assistenzi digitali ecc…)

Il Garante italiano ha individuato dodici diverse casistiche

SpyNote è uno spyware dotato di varie funzionalità che permettono agli aggressori di rubare dati personali e finanziari. Non solo: permette anche di ottenere il controllo completo dei dispositivi. Vediamo nell’articolo di cosa si tratta.

SpyNote: cronistoria

SpyNote è uno spyware, ovvero un tipo di malware progettato per monitorare in maniera segreta l’attività del dispositivo e per rubare informazioni personali. Non si tratta di uno spyware nuovo: documentato per la prima volta nel 2016 dalla Unit 42 di palo Alto, ha poi subito varie evoluzioni nel corso degli anni. La più importante è stata l’introduzione della funzionalità RAT, che ha aggiunto alle sue tradizionali operazioni di trojan bancario anche quelle spyware e di controllo remoto. In Italia è comparso per la prima volta nel 2022, con una campagna ai danni di utenti di Poste Italiane.

Ultimamente, SpyNote ha iniziato ad essere presente con maggior frequenza nei Report settimanali del CERT. È stato riscontrato sia nella settimana del 19-25 ottobre 2024 che in quella del 26 ottobre – 1 novembre 2024.

Il CERT-AGID ha confermato un aumento delle varianti malware di tipo banking trojan, che integrano funzionalità di trojan ad accesso remoto (RAT), capaci di prendere il controllo completo dei dispositivi Android, rubare informazioni personali e spiare le vittime. SpyNote è uno di questi malware. Solitamente è diffuso tramite campagne di smishing (phishing via SMS) camuffate da messaggi di istituti bancari o enti che invitano le vittime a installare aggiornamenti o app infette.

Tutte le funzionalità di SpyNote

SpyNote si distingue dalle altre famiglie spyware per la ricchezza di funzionalità che possiede. Tra le sue funzionalità troviamo:

• auto-abilitazione delle autorizzazioni: lo spyware abusa dei servizi di accessibilità per concedersi autorizzazioni che simulano click come se fossero eseguiti da un utente. Consente, ad esempio, di ottenere codici di autenticazione a due fattori all’insaputa della vittima. Le foto sottostante mostra tutte le autorizzazioni che il malware può richiedere.

• controllo completo del dispositivo: ottiene l’accesso alla fotocamera, ai contatti, può acquisire screenshot, registrare telefonate e intercettare SMS;
• rilevamento degli emulatori: SpyNote utilizza una funzione che ricerca keyword specifiche per verificare che l’ambiente in cui sta operando non sia un ambiente test (o una sandbox). L’immagine sottostante contiene le keyword controllate prima di iniziare l’aggressione. Se presenti, lo spyware entrerà in modalità standby;

• localizzazione del dispositivo: monitora la posizione GPS del dispositivo in modo costante. Ciò permette all’aggressore di sapere dove si trova la vittima;
• esclusione dalle app recenti: non compare tra le app usate di recente;
• sistemi per eludere il rilevamento: il sistema riesce a confondere l’analisi e rendere il malware più difficile da rilevare;
• attacchi overlay per rubare le credenziali quando si aprono applicazioni bancarie, wallet di criptovaluta e social network;
• keylogging: raccoglie informazioni, le codifica in base 64 e le conserva in un file txt per poi inviarle al server C2. Una caratteristica questa che rende SpyNote molto attraente per i criminali informatici;
• comunicazioni continue con il C2: ottenere l’accesso alla rete consente al malware di manipolare le impostazioni di rete e di comunicare con i server di comando e controllo.

SpyNote si distingue quindi per l’elevata capacità di raccogliere informazioni e per la flessibilità che offre agli attaccanti di estendere le funzionalità grazie alle costanti interazioni con il C2. E’ un malware molto apprezzato dagli attaccanti perché non consente solo di svuotare conti correnti, ma anche di effettuare operazioni complesse che puntano allo spionaggio.

Campagna italiana di SpyNote di aprile 2024

Durante il mese di aprile è comparsa in Italia una campagna che mirava a compromettere i dispositivi Android con il malware SpyNote. Per diffondere il malware è stata creata una falsa applicazione, spacciata per INPS Mobile. La pagina che mirava a trarre in inganno le vittime era stata creata nel dettaglio, riproducendo i loghi e contenuti che riprendevano quelli ufficiali.

Cliccando sul pulsante “Scaricare” la vittima riceveva un file APK che richiedeva di concedere determinati permessi. Alla fine, veniva mostrata dall’applicazione la pagina ufficiale del sito INPS .

L’APK scaricato fungeva da copertura per celare il vero malware. Se installato sul dispositivo, era scaricato un ulteriore file APK, identificato proprio come SpyNote. L’aggressore da questo momento in poi otteneva il controllo totale sul dispositivo.

Contrastare i malware: alcuni suggerimenti

Uno dei principali vettori di diffusione di SpyNote sono le campagne di smishing, nelle quali il malware si camuffa da enti o istituti bancari ufficiali. Anche se non esiste una protezione totale al 100%, è possibile adottare alcune azioni preventive che possono ridurre il rischio. Ecco alcune raccomandazioni utili:

• evitare di cliccare su link o allegati sospetti, che potrebbero nascondere malware o reindirizzare a siti web malevoli (per verificare di non essere reindirizzati ad una pagine differente è possibile vedere in anteprima l’effettivo indirizzo di navigazione passando il puntatore del mouse sopra i link senza cliccarci);
• non scaricare file, se non provenienti da fonti fidate;
• verificare la legittimità di app e software prima di aggiornarli o scaricarli;
• per le aziende, investire nella formazione in cyber security di tutti i dipendenti. Ricordiamo infatti che il fattore umano rimane l’anello debole della catena di sicurezza;
• usare software antivirus avanzati, come le soluzioni Seqrite, perfette per contrastare i malware come SpyNote, dato che comprendono:
  • soluzioni EDR (Endpoint Detection and Response), ottime per monitorare, rilevare e rispondere a comportamenti sospetti in tempo reale;
  • firewall;
  • monitoraggio attività file, che notifica all’azienda quando i file sono stati copiati, modificati o cancellati;