Ha, vidjeli smo takve primjere u Hrvatskoj. Nisu dobro završili, zlonamjernici su ih brzo otkrili, odskenirali i samo ih je sreća spasila da nije bilo kompromitiranja sustava.
No, takve sreće niti pameti nije bila talijanska pošta, glavni pružatelj poštanskih usluga u Italiji.
U kolovozu 2023. im je haker ušao u središnje sustave i ukrao osobne podatke zaposlenika i kandidata za zapošljavanje, njih ukupno oko 25.000.
Njihovi osobni podaci (ime, prezime, datum rođenja, članstvo u sindikatu, podaci o zdravlju, evidencije o kaznenim dijelima) su završili na Dark webu.
Kad su uočili opseg i osjetljivost situacije, prijavili su povredu osobnih podataka u skladu s člankom 33. GDPR-a nadzornom tijelu za zaštitu osobnih podataka.
Uobičajeno, nadzorno tijelo ih je povratno tražilo više informacija o prirodi povrede, što se zaista dogodilo i koji su uzročnici, s obzirom da je talijanska pošta „zaboravila“ te detalje dostaviti odmah unutar prijave povrede.
Nisu pri tom naveli koji su IT sustavi kompromitirani niti koje su mjere poduzeli u svrhu smanjenja rizika za kompromitirane osobe o čijim se osobnim podacima radi.
Tijekom istrage je nadzorno tijelo uočilo stvarni uzrok sigurnosnog incidenta, a to je bio izostanak patchiranja softvera na Microsoft Exchange platformi talijanske pošte, čime su ostavili otvorena vrata hakerima, drugim riječima, znalcima koji su odlučili vlastitu stručnost iskoristiti s one strane zakona.
Da bude stvar gora, Microsoft je jasno alarmirao sve korisnike Exchange sustava mjesecima kao i nacionalni CERT.
No, ekipa talijanske pošte nije baš marila i svojim nečinjenjem prouzročila izostanak nužnih sigurnosnih mjera na svojim sustavima.
Stigla ih je kazna od 900.000 EUR.
Prije nego netko od čitatelja krene čitati objavu na donjem linku, prvo provjerite vlastite operativne sustave na svojim računalima, serverima i pametnim uređajima jesu li na najnovijim verzijama softvera i ako nisu, odmah ih ažurirajmo. Nemojmo odgađati za sutra.
Više o slučaju talijanske pošte:
Image from FreePik
#gdprcroatia
